DNA测序工具缺乏对网络安全风险的强有力保护

DNA测序的快速改进引发了医学和基因测试的激增，这些测试有望揭示从一个人的祖先到健康水平到生活在肠道中的微生物的一切。

华盛顿大学研究人员的一项新研究分析了常见的开源DNA处理程序的安全卫生，发现了整个领域使用的计算机安全实践不良的证据。

该研究将于8月17日在不列颠哥伦比亚省温哥华举行的第26届USENIX安全研讨会上展示，研究小组还首次证明了利用恶意计算机代码破坏计算机系统的可能性 - 尽管仍具有挑战性 - 储存在合成DNA中。当分析该DNA时，代码可以成为攻击运行该软件的计算机系统的可执行恶意软件。

到目前为止，研究人员强调，没有证据表明恶意攻击DNA合成，测序和处理服务。但他们对整个管道中使用的软件的分析发现了已知的安全漏洞，这些漏洞可能允许未经授权的各方获得对计算机系统的控制 - 可能使他们获得个人信息或甚至操纵DNA结果的能力。

“我们在计算机安全社区尝试做的一件大事就是避免出现这样的情况，即我们说'拍摄对手，对手就在这里，敲门，我们没准备好'，”共同作者Tadayoshi说道。 Kohno，威斯康星大学Paul G. Allen计算机科学与工程学院教授。

“相反，我们宁愿说，'嘿，如果你继续目前的轨迹，对手可能会在10年内出现。所以，让我们开始谈谈如何在问题成为问题之前提高你的安全性，'”Kohno说。他之前的研究引发了有关新兴技术漏洞的高调讨论，例如互联网汽车和植入式医疗设备。

“我们不想让人们发出警报或让患者担心基因检测，这可能会产生非常有价值的信息，”共同作者和艾伦学校副教授Luis Ceze说。“我们确实想让人们了解一下，随着这些分子和电子世界越来越紧密，我们之前就没有必要考虑过潜在的相互作用。”

在新论文中，来自威斯康星大学安全与隐私研究实验室和威斯康星大学分子信息系统实验室的研究人员提出了加强DNA合成，测序和处理中计算机安全和隐私保护的建议。

研究小组确定了一些不同的方式，一个邪恶的人可能会损害DNA测序和处理流。研究人员表示，首先，他们展示了一种科学上令人着迷的技术 - 虽然可能不是对手可能尝试的第一件事。

“这仍然有待观察，但我们想知道，在半现实的情况下，是否可以使用生物分子通过正常的DNA处理来感染计算机，”共同作者和艾伦学校的博士生Peter Ney说。 。

DNA的核心是编码核苷酸序列信息的系统。通过反复试验，该团队找到了一种方法，包括可执行代码 - 类似于计算机蠕虫，偶尔会在互联网上造成严重破坏 - 合成DNA链。

为了为对手创造最佳条件，他们将一个已知的安全漏洞引入到一个软件程序中，该程序用于分析和搜索DNA序列中出现的原始文件中的模式。

“要明确，涉及到很多挑战，”共同作者，分子信息系统实验室的研究科学家Lee Organick说。“即使有人想要恶意这样做，它也可能不起作用。但我们发现它是可能的。”

在可能被证明是一个更具目标的对手可以利用的领域，研究团队还发现了许多用于分析DNA测序数据的开源软件程序中的已知安全漏洞。

有些是用已知易受攻击的不安全语言编写的，部分原因是它们最初是由小型研究小组制作的，这些研究小组可能没有期待太多(如果有的话)对抗性压力。但是，由于DNA测序的成本在过去十年中急剧下降，开源程序已经在医疗和消费者应用中得到更广泛的采用。

威斯康星大学分子信息系统实验室的研究人员正致力于通过编码合成DNA链中的数字数据来创建下一代档案存储系统。尽管他们的系统依赖于DNA测序，但它并没有受到本研究中发现的安全漏洞的影响，部分原因是MISL团队已经预见到了这些问题，并且因为他们的系统不依赖于典型的生物信息学工具。

解决DNA测序管道中其他地方漏洞的建议包括：遵循安全软件的最佳实践，在设置流程时加入对抗性思维，监控谁控制物理DNA样本，在处理DNA样本之前验证DNA样本的来源，并制定方法检测DNA中的恶意可执行代码。

“人们可以通过运行标准的软件分析工具来解决安全问题并推荐修复工作，这是一些非常低调的成果，”合着者Karl Koscher说道，他是威斯康星大学安全与隐私实验室的研究科学家。“有些功能已知存在使用风险，并且有一些方法可以重写程序以避免使用它们。这将是一个很好的初始步骤。”