Private Cloud Compute güvenlik araştırması

 (security.apple.com)
1 puan yazan GN⁺ 2024-10-26 | 1 yorum | WhatsApp'ta paylaş

  • Private Cloud Compute (PCC) tanıtımı

    • Apple Intelligence'ın yoğun hesaplama gerektiren isteklerini işlerken yenilikçi gizlilik ve güvenlik özellikleri sunan PCC'nin tanıtımı
    • PCC'nin güvenlik ve gizlilik taahhütlerini doğrulamak için güvenlik ve gizlilik araştırmacılarına sistemi inceleme fırsatı sunuluyor
    • Apple Security Bounty, güvenlik ve gizlilik sorunlarına ilişkin bildirimler için ödül sağlayacak şekilde PCC'yi kapsayacak biçimde genişletildi

  • Güvenlik kılavuzu

    • PCC'nin mimari tasarımını ve temel gereksinimleri nasıl karşıladığını açıklayan bir güvenlik kılavuzu sunuluyor
    • Donanıma uygulanmış değiştirilemez özelliklere dayanan PCC attestation'ı, istek doğrulama ve yönlendirme yöntemleri, veri merkezinde çalışan yazılımların nasıl inceleneceği ve çeşitli saldırı senaryolarındaki gizlilik ve güvenlik özellikleri açıklanıyor

  • Sanal araştırma ortamı (VRE)

    • Apple platformları için ilk sanal araştırma ortamı (VRE) sunuluyor
    • Mac üzerinde PCC'nin güvenlik analizini yapabilmek için bir araç seti sağlanıyor
    • VRE, PCC düğüm yazılımını bir sanal makinede çalıştırıyor ve güvenlik araştırması için sanal Secure Enclave Processor (SEP) içeriyor

  • Private Cloud Compute kaynak kodu

    • PCC'nin güvenlik ve gizlilik gereksinimlerini uygulayan temel bileşenlerin kaynak kodu sunuluyor
    • CloudAttestation, Thimble, splunkloggingd, srd_tools projelerinin kaynak kodu sağlanıyor

  • Private Cloud Compute için Apple Security Bounty

    • PCC'nin temel güvenlik ve gizlilik güvencelerini zedeleyen açıklar için ödül sağlayan Apple Security Bounty genişletildi
    • Kazara veri ifşası, kullanıcı isteklerinden kaynaklanan dış ihlal ve fiziksel ya da iç erişimle ilişkili açıklar için ödül sunuluyor

  • Kapanış

    • PCC, yapay zekada gizlilik için çığır açıcı bir ilerleme sağlamak amacıyla tasarlandı
    • Apple Security Research Device Program deneyimine dayanarak, PCC'nin güvenlik ve gizlilik özelliklerini araştırıp doğrulayabilmek için araçlar ve belgeler sunuluyor
    • Araştırma topluluğuyla iş birliği yapılarak sistemin güvenilirliğini oluşturmak ve güvenliği güçlendirmek için çalışılıyor

GN⁺ özeti

  • PCC, Apple Intelligence'ın yoğun hesaplama gerektiren isteklerini işlerken yenilikçi gizlilik ve güvenlik özellikleri sunuyor
  • Güvenlik ve gizlilik araştırmacılarına sistemi inceleme fırsatı sunularak şeffaflık artırılıyor
  • Apple Security Bounty aracılığıyla güvenlik ve gizlilik sorunlarına ilişkin bildirimler için ödül veriliyor
  • Araştırma topluluğuyla iş birliği, sistemin güvenilirliğini oluşturmaya ve güvenliği güçlendirmeye katkı sağlıyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-10-26
Hacker News yorumları

  • Şeffaf bir sistemin faydaları kayda değer; yeniden üretilebilir build'ler, uzaktan doğrulama ve şeffaflık loglamasının birleşimi, tedarik zinciri saldırılarının kolayca tespit edilmesini sağlıyor. Uzaktan çalışan bir sistemin kaynak kodunu sonradan denetleme imkanı veriyor. Tehdit modelinin kapsamadığı saldırılar var, ama yine de faydalı.

  • Görünüşe göre sunucu tarafında her şeyi Swift ile yazıyorlar. İlgili depo GitHub bağlantısı.

  • Silikon arka kapı ihtimalinden kaçınmak için bir sis perdesi gibi görünüyor. Açık silikon olmadan, belirli register ayarlarında monitor sürecine ek erişim izni verildiğini tespit edemezsiniz. Bu, saldırganları belirli hükümetler veya şirketlerle sınırlar, ancak uzaktaki donanıma güvenmenin bir yolu yok. Bu, VM'in diğer saldırganlara karşı güvenli olduğuna dair güveni artırıyor.

  • Apple'ın platformda işlenen bilgilere erişemediğine inanmamızı istiyorsa, ödülü $50,000'den $50,000,000,000'a çıkarmalı. Kullanıcının istek verilerine erişilebilirse ödül verileceğini ve yasal işlem yapılmayacağını söylemeleri gerekir. $50,000'lık ödül çok düşük.

  • GitHub'da yayımlanan kodu inceliyorum. Saldırı yöntemlerinden biri, koddaki bug'ları/atlatma yollarını araştırmak. Apple'ın bug takip sistemi bağlantı şeması rdar için referanslar listelenmiş. Kodun iOS ve macOS'a atıf yapmasından çapraz platform olduğu anlaşılıyor. Swift ile yazılmış middleware ilginç.

  • Birçok kişi bu programın güvence için yeterli olmadığını düşünüyor, ancak bu sistemin asıl değeri Apple'ın sistem hakkında hukuken uygulanabilir iddialarda bulunması. Apple'ın hukuk ekibi bu iddiaları doğrulamış olmalı.

  • Bu bir göz boyama. Tanım gereği başkasının bilgisayarı özel değildir. Bu tür girişimler tanımı değiştirmeye çalışıyor.

  • "Güvenlik araştırması tartışması" bölümü olsa iyi olurdu. Sistem hakkında konuşan insanları bir araya getirecek bir yere ihtiyaç var.

  • PCC ile ilgili ilginç olan şey, sanallaştırma çalıştıran bir microkernel gibi görünmesi. Bu yenilikçi; geri kalanı ise standart parçalar. Loglamanın büyük ölçüde devre dışı bırakılmasını ve yalnızca metrik çıktısı alınabilmesini dilerdim.