防患于未然，DNA测序中隐藏着的计算机安全威胁

华盛顿大学研究团队：未来生物医学将与计算机安全同气连枝。

近日，华盛顿大学研究团队围绕DNA序列转录与分析的基础安全设施进行了研究与分析，发现了世界各地实验室使用的开源软件的基本漏洞，提出需要重视DNA测序安全问题。

经过近十年来的发展，DNA序列分析所需的成本和时间已经大幅降低，其中测序一组基因的成本已经降低到原来的十万分之一。对此，研究人员表示，这种改进速度之快源于现如今的DNA分析技术大多采用大规模的并行处理。

目前，现有的测序技术已经可以实现同时对数亿个DNA序列进行排序。在DNA 测序过程中，需要计算机来处理、分析和存储单个DNA样品中测序出的数十亿个DNA碱基。即便只是利用排序机来排序，它也是在计算机上运行的。

故而现在电子和生物系统之间存在不可分割的联系，对此研究人员Luis Ceze补充说道：“随着分子与电子世界越来越紧密，我们就不得不考虑它们之间的潜在互动。”

计算机安全和DNA操纵交叉学科的研究人员表示，希望了解生物分子信息与分析信息的计算机系统之间的相互作用，以及相互作用下有可能出现的计算机安全风险。

因此，研究团队试图通过像CRISPR这样的工具进行探索：首先，他们将DNA看作是包含生命信息的文件系统，接着利用分析程序读取DNA链的碱基（胞嘧啶、胸腺嘧啶等，我们都知道的A、T、G、C），并将其转化为二进制数据输入计算机进行处理。

在这一过程中，研究人员表示，有两点细节之处值得注意：一是DNA测序仪未能遵循计算机安全方面的最优编码原则；二是在DNA序列中存在编码恶意软件的可能性。

问题一|未遵循最优原则

通常，在DNA测序后，会让其通过DNA数据处理通道，在经过通道时让多个计算机程序对其进行处理和分析。从通道中，研究人员获取了常用的开源程序，并针对计算机安全层面分析了这些程序，结果发现它们都没有遵循计算机安全方面的最佳编码准则。

现有计算机编程方面，原则上存在着不可避免的安全问题，因此在此过程中，有研究人员探寻出安全问题与易受攻击的代码之间的关系准则。在DNA测序中，由于开源程序并未遵循最佳准则，如果攻击者瞄准该通道，则DNA排序数据处理通道的安全性将会受到威胁。

问题二|存在序列漏洞

测序前，DNA首先存储标准的核苷酸，即DNA的基本结构单元（如A、C、G、T等字母所表示）。待其测序后，计算机程序再对该DNA数据进行处理和分析。从计算机安全层面来看，任何用作程序输入的数据都有可能包含危及计算机的代码。因此，既然可以实现排序和分析功能，也就有可能存在含有恶意计算机代码的DNA链，且会对计算机造成一定的损坏。

为了证明该理论的正确性，研究人员在DNA处理程序中加入了一个已知的安全漏洞，随后，他们设计并合成了一个DNA链，其中包含了在DNA链基础上编辑的恶意计算机代码。当DNA链被含有安全漏洞的程序排序和处理时，同时它也反过来对计算机进行远程控制，即研究人员能够使用合成的DNA链来获得对计算机的完全控制。这也就意味着恶意DNA链会对计算机造成致命的打击。

总结

研究团队表示，目前威胁尚不存在。对此，项目的研究科学家Lee Organick说：“制作的生物样品确实可以用作恶性DNA的载体，在测序后进行下游处理，然而，将恶意的DNA链从编辑的样本导入排序器是非常困难的，且存在许多技术挑战。即使能顺利地将它放入排序器进行排序，它也可能没有任何可以使用的形状（如它太分散，不能被有效地读取）。”

不过，该研究团队强调，虽然没有证据表明DNA测序或DNA数据的安全性正在受到威胁，但我们应当防患于未然，将这些结果作为DNA测序生态系统中计算机安全问题研究的第一步。计算机安全研究的一个主题是，在技术成熟之前，最好在新兴技术的早期发展阶段考虑安全威胁，因为安全问题在真正显现之前更容易解决。

研究人员还表示，鼓励DNA测序在编码生物信息学软件时遵循最佳准则，特别是用于商业或敏感之处时。此外，在应用时，还应当考虑来自各种来源的威胁，包括被排序的DNA链、作为计算机攻击的载体等。未来，生物医学安全问题无疑要与计算机安全紧密联系。

最后，记得关注微信公众号：镁客网（im2maker），更多干货在等你！