Apple ha creado un entorno de investigación virtual para permitir al público probar la seguridad de su sistema Private Cloud Compute y ha publicado el código fuente de algunos «componentes clave» para ayudar a los investigadores a analizar las características de privacidad y seguridad de la arquitectura del sistema.
La compañía también busca mejorar la seguridad del sistema y ha ampliado su programa de recompensas de seguridad para incluir recompensas de hasta 1 millón de dólares por vulnerabilidades que podrían comprometer «las salvaguardias fundamentales de seguridad y privacidad de PCC».
Private Cloud Compute (PCC) es un sistema de inteligencia en la nube que permite el procesamiento complejo de IA de los datos de los dispositivos del usuario de una manera que no comprometa la privacidad.
Esto se logra mediante cifrado de extremo a extremo, para garantizar que los datos personales de los dispositivos Apple enviados al PCC solo sean accesibles para el usuario y ni siquiera Apple pueda observarlos.
Poco después de que Apple anunciara PCC, la compañía dio acceso temprano a algunos investigadores y auditores de seguridad para que pudieran verificar las promesas de privacidad y seguridad del sistema.
Entorno virtual de investigación
En una publicación de blog de hoy, Apple anuncio que el acceso al PCC ahora es público y que cualquier curioso puede inspeccionar su funcionamiento y comprobar si cumple con las exigencias prometidas.
La empresa proporciona la Guía de seguridad de la nube privadadonde se explica la arquitectura y detalles técnicos de los componentes así como su funcionamiento.
Apple también proporciona un entorno de investigación virtual (VRE), que replica el sistema de inteligencia en la nube localmente y permite inspeccionarlo y probarlo en cuanto a seguridad y resolución de problemas.
“El VRE ejecuta el software del nodo PCC en una máquina virtual con sólo modificaciones menores. El software Userspace funciona de manera idéntica al nodo PCC, con el proceso de arranque y el kernel adaptados para la virtualización”, explica Apple, compartiendo documentación sobre cómo configurar el entorno de investigación virtual en tu dispositivo.
fuente: manzana
VRE está presente en macOS Sequia 15.1 Developer Preview y requiere un dispositivo con Apple Silica y al menos 16 GB de memoria unificada.
Las herramientas disponibles en el entorno virtual le permiten iniciar una compilación de PCC en un entorno aislado, modificar y depurar el software de PCC para examinarlo más a fondo y realizar inferencias con respecto a modelos de demostración.
Para facilitar la tarea a los investigadores, Apple ha decidido publicar el código fuente de determinados componentes del PCC que implementan requisitos de seguridad y confidencialidad:
- EL Atestación en la nube proyecto – responsable de la construcción y validación de las certificaciones de nodos PCC.
- EL De proyecto: incluye el demonio computado de nube privada que se ejecuta en el dispositivo de un usuario y utiliza CloudAttestation para imponer una transparencia verificable.
- EL splunkloggingd demonio: filtra los registros que pueden emitirse desde un nodo PCC para proteger contra la divulgación accidental de datos.
- EL herramientas_srd proyecto: contiene las herramientas de VRE y se puede utilizar para comprender cómo VRE permite que se ejecute el código PCC.
Apple también está fomentando la investigación con nuevas categorías de PCC en su programa de recompensas de seguridad por divulgación accidental de datos, compromiso externo resultante de solicitudes de usuarios y acceso físico o interno.
La recompensa más alta es de 1 millón de dólares por un ataque remoto a los datos solicitados, que permite la ejecución remota de código con derechos arbitrarios.
Por mostrar cómo acceder a datos solicitados por los usuarios o a información confidencial, un investigador puede recibir una bonificación de 250.000 dólares.
Realizar el mismo tipo de ataque, pero desde la red con privilegios elevados, conlleva un pago de entre 50.000 y 150.000 dólares.
Sin embargo, Apple dice que recompensa cualquier problema que tenga un impacto significativo en el PCC, incluso si no entra en las categorías de su programa de recompensas por errores.
La compañía cree que su “Private Cloud Compute es la arquitectura de seguridad más avanzada jamás implementada para la computación de IA en la nube a escala”, pero aún espera mejorarla aún más en términos de seguridad y privacidad con la ayuda de los investigadores.
