Apple создает виртуальную машину Private Cloud Compute для поиска ошибок
Apple создает виртуальную машину Private Cloud Compute для поиска ошибок. Фото: СС0
Компания также стремится повысить безопасность системы и расширила свою программу вознаграждений за безопасность, включив в нее вознаграждения до 1 млн $ за уязвимости, которые могут поставить под угрозу «основные гарантии безопасности и конфиденциальности PCC».
Private Cloud Compute (PCC) — это облачная интеллектуальная система для комплексной обработки данных с пользовательских устройств с помощью искусственного интеллекта таким образом, чтобы не нарушать конфиденциальность.
Это достигается с помощью сквозного шифрования, гарантирующего, что персональные данные с устройств Apple, отправленные в PCC, доступны только пользователю, и даже Apple не может их просмотреть.
Вскоре после того, как Apple анонсировала PCC, компания предоставила предварительный доступ избранным исследователям и аудиторам в области безопасности, чтобы они могли проверить обещания по конфиденциальности и безопасности для системы.
Теперь администрация Apple объявила, что доступ к PCC открыт для общественности, и любой желающий может проверить, как работает инструмент.
В компании предоставляют руководство по безопасности частных облачных вычислений, в котором объясняется архитектура и технические детали компонентов, а также принципы их работы и виртуальную исследовательскую среду (VRE), которая локально воспроизводит облачную систему интеллекта и позволяет проверять ее, а также тестировать ее безопасность и выявлять проблемы.
Из сообщения компании:
«VRE запускает программное обеспечение узла PCC в виртуальной машине с небольшими изменениями. Программное обеспечение пользовательского пространства работает идентично узлу PCC, с процессом загрузки и ядром, адаптированными для виртуализации.»
VRE присутствует в macOS Sequia 15.1 Developer Preview и требует устройства с процессором Apple Silicon и не менее 16 ГБ объединенной памяти.
Инструменты, доступные в виртуальной среде, позволяют загружать выпуск PCC в изолированной среде, изменять и отлаживать программное обеспечение PCC для более тщательного изучения, а также выполнять выводы на основе демонстрационных моделей.
Чтобы облегчить задачу исследователям, команда Apple решила опубликовать исходный код некоторых компонентов PCC, реализующих требования безопасности и конфиденциальности:
- Проект CloudAttestation — отвечает за создание и проверку аттестаций узла PCC.
- Проект Thimble включает демон privatecloudcomputed, который работает на устройстве пользователя и использует CloudAttestation для обеспечения проверяемой прозрачности.
- Демон splunkloggingd фильтрует журналы, которые могут быть отправлены с узла PCC, для защиты от случайного раскрытия данных.
- Проект srd_tools содержит инструментарий VRE и может использоваться для понимания того, как VRE позволяет запускать код PCC.
Apple также стимулирует исследования, добавляя в свою программу вознаграждений за безопасность новые категории PCC, которые предусматривают случайное раскрытие данных, внешнюю компрометацию по запросам пользователей, а также физический или внутренний доступ.
Самая высокая награда составляет 1 млн $ за удаленную атаку на данные запроса, которая обеспечивает удаленное выполнение кода с произвольными правами.
За демонстрацию того, как получить доступ к данным запроса пользователя или конфиденциальной информации, исследователь может получить вознаграждение в размере 250 тыс.$.
Демонстрация того же типа атаки, но из сети с повышенными привилегиями, влечет за собой выплату от 50 тыс. до 150 тыс. $.
В Apple также заявляют, что рассматривают вознаграждения за любые проблемы, которые оказывают существенное влияние на PCC, даже если они не входят в категории, указанные в ее программе.
В компании считают, что ее «частные облачные вычисления — это самая передовая архитектура безопасности, когда-либо развернутая для масштабных облачных вычислений ИИ», но все еще надеется улучшить ее с помощью исследователей.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было