Gepersonaliseerde kwetsbaarheid voor software

Gepersonaliseerde kwetsbaarheid voor software

Gepersonaliseerde kwetsbaarheid voor softwaresoftware ontdekt

Een zwakte in één gemeenschappelijke open source software voor genomische analyse maakte DNA-gebaseerde medische diagnostiek kwetsbaar voor cyberaanvallen Gepersonaliseerde kwetsbaarheid.

Onderzoekers van Sandia National Laboratories hebben de zwakte vastgesteld en de softwareontwikkelaars op de hoogte gebracht, die een patch hebben uitgegeven om het probleem op te lossen. Het probleem is ook opgelost in de nieuwste versie van de software. Hoewel er geen aanval van dit beveiligingslek bekend is, hebben de National Institutes of Standards and Technology dit onlangs beschreven in een notitie aan softwareontwikkelaars, genomicsonderzoekers en netwerkbeheerders.

De ontdekking onthult dat het beschermen van genomische informatie meer inhoudt dan het veilig opslaan van de genetische informatie van een persoon. De cybersecurity van computersystemen die genetische gegevens analyseren is ook cruciaal, zei Corey Hudson, een bioinformatica-onderzoeker bij Sandia die de kwestie heeft blootgelegd.

Gepersonaliseerde geneeskunde – het proces van het gebruiken van de genetische informatie van een patiënt voor medische behandeling – omvat twee stappen: het sequentiëren van de volledige genetische inhoud uit . Door die vergelijking identificeren artsen specifieke genetische veranderingen in een patiënt die verband houden met ziekte.

Genoomsequencing begint met het knippen en repliceren van iemands genetische informatie in miljoenen kleine stukjes. Vervolgens leest een machine elk stuk meerdere keren en transformeert afbeeldingen van de stukken in reeksen van bouwstenen, meestal voorgesteld door de letters A, T, C en G. Ten slotte verzamelt software die reeksen en koppelt elk fragment aan zijn plaats op een gestandaardiseerde mens genoomsequentie. Een matching-programma dat op grote schaal wordt gebruikt door gepersonaliseerde genomics-onderzoekers heet Burrows-Wheeler Aligner (BWA).

Sandia-onderzoekers die de cybersecurity van dit programma bestudeerden, vonden een zwakke plek toen het programma het gestandaardiseerde genoom van overheidsservers importeerde. De gestandaardiseerde genoomsequentie reisde over onzekere kanalen, waardoor de mogelijkheid ontstond voor een gemeenschappelijke cyberaanval genaamd “man-in-the-middle”.

Bij deze aanval kan een tegenstander of een hacker de standaard genoomsequentie onderscheppen en deze vervolgens naar een BWA-gebruiker verzenden samen met een kwaadaardig programma dat genetische informatie verandert die is verkregen door sequencing. De malware kan vervolgens de ruwe genetische gegevens van een patiënt tijdens het genoom in kaart brengen, waardoor de uiteindelijke analyse onjuist is zonder dat iemand het weet. In de praktijk betekent dit dat artsen een medicijn kunnen voorschrijven op basis van de genetische analyse dat, als ze de juiste informatie hadden gehad, ze hadden geweten dat het niet effectief of toxisch zou zijn voor een patiënt Gepersonaliseerde kwetsbaarheid

Forensische laboratoria en bedrijven voor genoomsequencing die ook deze kaartsoftware gebruiken, waren ook tijdelijk kwetsbaar voor het op dezelfde manier veranderen van resultaten.

Beveiliging cybersleuths

Om deze kwetsbaarheid te vinden, gebruikten Hudson en zijn cybersecurity-collega’s aan de Universiteit van Illinois op Urbana-Champaign een door Sandia ontwikkeld platform genaamd Emulytics om het proces van genoommapping te simuleren. Eerst importeerden ze genetische informatie die gesimuleerd was om op die van een sequencer te lijken. Vervolgens lieten ze twee servers informatie naar Emulytics sturen. De ene zorgde voor een standaard genoomsequentie en de andere fungeerde als de ‘man-in-the-middle’-interceptor. De onderzoekers brachten de sequencingresultaten in kaart en vergeleken de resultaten met en zonder een aanval om te zien hoe de aanval de uiteindelijke volgorde veranderde.

“Toen we eenmaal ontdekten dat deze aanval de genetische informatie van een patiënt kon veranderen, volgden we verantwoorde openbaarmaking,” zei Hudson. De onderzoekers namen contact op met de open source-ontwikkelaars, die vervolgens een patch uitbrachten om het probleem op te lossen. Ze namen ook contact op met openbare instanties, waaronder experts op het gebied van cyberbeveiliging van het Amerikaanse Computer Emergency Readiness Team, zodat ze meer informatie over dit probleem konden verspreiden.

Het onderzoek, gefinancierd door Sandia’s Laboratory Directed Research and Development-programma, gaat door met het testen van andere software voor het in kaart brengen van genoom op zwakke plekken in de beveiliging. Verschillen tussen elk programma betekenen dat de onderzoekers een vergelijkbaar, maar niet identiek, probleem kunnen vinden in andere programma’s, zei Hudson.

kanalen en het gebruik van software die voorkomt dat sequentiegegevens worden gewijzigd. Ze moedigen ook beveiligingsonderzoekers aan die routinematig open source software analyseren op zwakke punten om naar genomics-programma’s te kijken. Deze praktijk is gebruikelijk in industriële besturingssystemen in het energienetwerk en software die wordt gebruikt in kritieke infrastructuur, zei Hudson, maar zou een nieuw gebied voor genomicsbeveiliging zijn.

admin

Leave a Reply

Your email address will not be published. Required fields are marked *