Η Apple δημιούργησε ένα Εικονικό Περιβάλλον Έρευνας για να επιτρέψει την πρόσβαση του κοινού στη δοκιμή της ασφάλειας του Private Cloud Compute του συστήματος και κυκλοφόρησε τον πηγαίο κώδικα για ορισμένα «βασικά στοιχεία» για να βοηθήσει τους ερευνητές να αναλύσουν τα χαρακτηριστικά απορρήτου και ασφάλειας στην αρχιτεκτονική.
Η εταιρεία επιδιώκει επίσης να βελτιώσει την ασφάλεια του συστήματος και έχει επεκτείνει το πρόγραμμα επιβράβευσης ασφάλειας για να περιλαμβάνει ανταμοιβές έως και 1 εκατομμυρίου $ για τρωτά σημεία που θα μπορούσαν να θέσουν σε κίνδυνο “τις θεμελιώδεις εγγυήσεις ασφάλειας και απορρήτου του PCC”.
Το Private Cloud Compute (PCC) είναι ένα σύστημα νοημοσύνης cloud για πολύπλοκη επεξεργασία τεχνητής νοημοσύνης δεδομένων από συσκευές χρηστών με τρόπο που δεν θέτει σε κίνδυνο το απόρρητο.
Αυτό επιτυγχάνεται μέσω κρυπτογράφησης από άκρο σε άκρο, για να διασφαλιστεί ότι τα προσωπικά δεδομένα από συσκευές Apple που αποστέλλονται στο PCC είναι προσβάσιμα μόνο στον χρήστη και ούτε καν η Apple μπορεί να τα παρατηρήσει.
Λίγο αφότου η Apple ανακοίνωσε το PCC, η εταιρεία έδωσε έγκαιρη πρόσβαση σε επιλεγμένους ερευνητές και ελεγκτές ασφάλειας, ώστε να μπορούν να επαληθεύσουν τις υποσχέσεις περί απορρήτου και ασφάλειας για το σύστημα.
Εικονικό Περιβάλλον Έρευνας
Σε μια ανάρτηση ιστολογίου σήμερα, η Apple ανακοινώνει ότι η πρόσβαση στο PCC είναι πλέον δημόσια και οποιοσδήποτε ενδιαφέρεται μπορεί να επιθεωρήσει πώς λειτουργεί και να ελέγξει εάν ανταποκρίνεται στις υποσχεθείσες αξιώσεις.
Η εταιρεία διαθέτει τα Private Cloud Compute Security Guideτο οποίο εξηγεί την αρχιτεκτονική και τις τεχνικές λεπτομέρειες των εξαρτημάτων και τον τρόπο λειτουργίας τους.
Η Apple παρέχει επίσης ένα Εικονικό Περιβάλλον Έρευνας (VRE), το οποίο αναπαράγει τοπικά το σύστημα νοημοσύνης cloud και επιτρέπει την επιθεώρησή του καθώς και τη δοκιμή της ασφάλειάς του και την αναζήτηση προβλημάτων.
«Το VRE εκτελεί το λογισμικό του κόμβου PCC σε μια εικονική μηχανή με μικρές μόνο τροποποιήσεις. Το λογισμικό Userspace εκτελείται πανομοιότυπα με τον κόμβο PCC, με τη διαδικασία εκκίνησης και τον πυρήνα προσαρμοσμένα για εικονικοποίηση», εξηγεί η Apple, μοιράζοντας τεκμηρίωση σχετικά με τον τρόπο ρυθμίστε το Εικονικό Περιβάλλον Έρευνας στη συσκευή σας.
πηγή: Apple
Το VRE είναι παρόν στο macOS Sequia 15.1 Developer Preview και χρειάζεται μια συσκευή με Apple silicaon και τουλάχιστον 16 GB ενοποιημένης μνήμης.
Τα εργαλεία που είναι διαθέσιμα στο εικονικό περιβάλλον επιτρέπουν την εκκίνηση μιας έκδοσης PCC σε απομονωμένο περιβάλλον, την τροποποίηση και τον εντοπισμό σφαλμάτων του λογισμικού PCC για πιο ενδελεχή έλεγχο και την εκτέλεση συμπερασμάτων έναντι μοντέλων επίδειξης.
Για να διευκολύνει τους ερευνητές, η Apple αποφάσισε να κυκλοφορήσει τον πηγαίο κώδικα για ορισμένα στοιχεία PCC που εφαρμόζουν απαιτήσεις ασφάλειας και απορρήτου:
- Ο CloudAttestation έργο – υπεύθυνο για την κατασκευή και την επικύρωση των βεβαιώσεων του κόμβου PCC.
- Ο Δακτυλήθρα έργο – περιλαμβάνει τον υπολογισμένο δαίμονα privatecloud που εκτελείται στη συσκευή ενός χρήστη και χρησιμοποιεί το CloudAttestation για την επιβολή επαληθεύσιμης διαφάνειας.
- Ο ψεκασμένος δαίμονας – φιλτράρει τα αρχεία καταγραφής που μπορούν να εκπέμπονται από έναν κόμβο PCC για προστασία από τυχαία αποκάλυψη δεδομένων.
- Ο srd_tools έργο – περιέχει το εργαλείο VRE και μπορεί να χρησιμοποιηθεί για να κατανοήσει πώς το VRE επιτρέπει την εκτέλεση του κώδικα PCC.
Η Apple παρέχει επίσης κίνητρα για έρευνα με νέες κατηγορίες PCC στο πρόγραμμα επιβράβευσης ασφαλείας της για τυχαία αποκάλυψη δεδομένων, εξωτερικό συμβιβασμό από αιτήματα χρηστών και φυσική ή εσωτερική πρόσβαση.
Η υψηλότερη ανταμοιβή είναι 1 εκατομμύριο $ για μια απομακρυσμένη επίθεση σε δεδομένα αιτήματος, η οποία επιτυγχάνει απομακρυσμένη εκτέλεση κώδικα με αυθαίρετα δικαιώματα.
Για να δείξει πώς να αποκτήσει πρόσβαση στα δεδομένα αιτημάτων ενός χρήστη ή σε ευαίσθητες πληροφορίες, ένας ερευνητής μπορεί να λάβει ένα μπόνους 250.000 $.
Η επίδειξη του ίδιου τύπου επίθεσης, αλλά από το δίκτυο με αυξημένα προνόμια, συνοδεύεται από πληρωμή μεταξύ 50.000 και 150.000 $.
Ωστόσο, η Apple λέει ότι εξετάζει για ανταμοιβές τυχόν ζητήματα που έχουν σημαντικό αντίκτυπο στο PCC, ακόμα κι αν βρίσκονται εκτός των κατηγοριών του προγράμματος επιβράβευσης σφαλμάτων.
Η εταιρεία πιστεύει ότι το “Private Cloud Compute είναι η πιο προηγμένη αρχιτεκτονική ασφάλειας που έχει αναπτυχθεί ποτέ για υπολογισμό cloud AI σε κλίμακα”, αλλά εξακολουθεί να ελπίζει να τη βελτιώσει περαιτέρω όσον αφορά την ασφάλεια και το απόρρητο με τη βοήθεια ερευνητών.
VIA: bleepingcomputer.com
