Private Cloud Compute güvenlik araştırması
(security.apple.com)- Apple, Apple Intelligence’in yüksek işlem gücü gerektiren isteklerini bulutta işleyen Private Cloud Compute(PCC) için, dış araştırmacıların güvenlik ve gizlilik güvencelerini doğrudan doğrulayabilmesi amacıyla materyaller yayımladı
- Yayımlanan kapsam; PCC Security Guide, yazılım binary’leri, temel bileşenlerin kaynak kodları ve Apple platformları için ilk Virtual Research Environment(VRE) ortamını içeriyor
- VRE, Apple silicon Mac üzerinde PCC düğüm yazılımını sanal makine olarak çalıştırarak sürüm incelemesi, şeffaflık günlüğü doğrulaması, binary indirme, sanal önyükleme, demo model çıkarımı, değiştirme ve hata ayıklamayı destekliyor
- Apple Security Bounty programına PCC de yeni hedef olarak eklendi; istek verilerine yönelik uzaktan saldırıyla herhangi bir yetki düzeyinde rastgele kod çalıştırmayı başaranlara en fazla 1 milyon dolar ödül verilecek
- PCC doğrulama sistemi, bulut yapay zeka işlemede de kullanıcıların veri merkezinde çalışan yazılımı ve gizlilik güvencelerini doğrudan doğrulayabilmesine odaklanıyor
PCC doğrulama materyalleri yayımlandı
- Private Cloud Compute(PCC), Apple Intelligence’in hesaplama açısından yoğun isteklerini işlerken Apple cihazlarının güvenlik modelini buluta genişleten bir sistemdir
- Apple, kamusal güveni artırmak için güvenlik ve gizlilik araştırmacılarının PCC’nin uçtan uca güvencelerini inceleyip doğrulamasını mümkün kılıyor
- Apple Intelligence ve PCC duyurusundan sonraki ilk haftalarda Apple, üçüncü taraf denetçilere ve bazı güvenlik araştırmacılarına PCC Virtual Research Environment(VRE) dahil materyalleri önceden sundu
- Bu yeni yayınla birlikte güvenlik ve gizlilik araştırmacıları ile teknik olarak ilgilenen herkes PCC’yi inceleyip bağımsız olarak doğrulayabilecek
- Apple Security Bounty de PCC’yi kapsayacak şekilde genişletildi; PCC’nin güvenlik ve gizlilik güvencelerini bozan sorun raporları için ödül verilecek
PCC Security Guide neleri kapsıyor
- Private Cloud Compute Security Guide, PCC mimarisinin temel gereksinimleri nasıl karşılayacak şekilde tasarlandığını özetliyor
- Kılavuz, PCC bileşenlerini ve bunların birlikte çalışarak bulut yapay zeka işlemede nasıl bir gizlilik düzeyi sunduğunu ele alıyor
- Başlıca konular şunlar:
- PCC kanıtlamasının donanıma uygulanmış değişmez temel işlevler üzerine nasıl kurulduğu
- PCC isteklerinin doğrulanıp yönlendirilerek hedeflenemezlik(non-targetability) sağlaması
- Apple veri merkezlerinde çalışan yazılımın denetlenebilir olmasının teknik olarak nasıl garanti edildiği
- Çeşitli saldırı senaryolarında da PCC’nin gizlilik ve güvenlik özelliklerinin nasıl korunduğu
Virtual Research Environment
- Apple, Apple platformları için ilk kez Virtual Research Environment(VRE) sunuyor
- VRE, Mac üzerinde Private Cloud Compute’un güvenlik analizini doğrudan yapmayı sağlayan bir araç seti
- Araştırmacılar, PCC’nin güvenlik özelliklerini anlamanın ötesinde, PCC’nin kullanıcı gizliliğini Apple’ın anlattığı şekilde koruyup korumadığını da doğrulayabiliyor
- VRE, PCC düğüm yazılımını yalnızca az sayıda değişiklik uygulanmış bir sanal makinede çalıştırıyor
- Kullanıcı alanı yazılımı, PCC düğümündekiyle aynı şekilde çalışıyor
- Önyükleme süreci ve kernel, sanallaştırmaya uyacak şekilde ayarlanmış durumda
- Sanal Secure Enclave Processor(SEP) de içeriyor; böylece bu bileşen üzerinde ilk kez güvenlik araştırması yapılabiliyor
- Çıkarım için macOS’in paravirtualized grafik desteği kullanılıyor
VRE ile yapılabilenler ve çalışma koşulları
- VRE araçlarıyla yapılabilecekler şunlar:
- PCC yazılım sürümlerini listeleme ve inceleme
- Şeffaflık günlüğü tutarlılığını doğrulama
- Her sürüme karşılık gelen binary’leri indirme
- Sürümü sanallaştırılmış ortamda önyükleme
- Demo model üzerinde çıkarım çalıştırma
- Daha derin inceleme için PCC yazılımını değiştirme ve hata ayıklama
- VRE, en yeni macOS Sequoia 15.1 Developer Preview sürümünde sunuluyor
- Çalıştırmak için Apple silicon Mac ve 16 GB veya daha fazla birleşik bellek gerekiyor
- Başlangıç adımları Private Cloud Compute Virtual Research Environment kurulum belgesinde yer alıyor
Yayımlanan PCC kaynak kodu
- Apple, PCC’nin güvenlik ve gizlilik gereksinimlerinin uygulanmasına yardımcı olan bazı temel bileşenlerin kaynak kodunu yayımladı
- Kaynaklar, PCC üzerinde daha derin analiz yapılabilmesini sağlamak için sınırlı kullanımlı bir lisans sözleşmesi kapsamında sunuluyor
- Yayımlanan projeler PCC’nin çeşitli alanlarını kapsıyor
- CloudAttestation: PCC düğüm kanıtlamasının oluşturulması ve doğrulanmasından sorumlu
- Thimble: Kullanıcı cihazında çalışan
privatecloudcomputeddaemon’unu içeriyor ve CloudAttestation kullanarak doğrulanabilir şeffaflığı zorluyor - splunkloggingd: PCC düğümünden dışa aktarılabilecek logları filtreleyerek kazara veri ifşasını önlüyor
- srd_tools: VRE araçlarını içeriyor ve VRE’nin PCC kodunu nasıl çalıştırdığını anlamakta kullanılabiliyor
- Erişilebilir PCC kaynak kodları GitHub’daki apple/security-pcc projesinde görülebilir
PCC için Apple Security Bounty
- Apple, PCC’nin temel güvenlik ve gizlilik güvencelerini ihlal eden açıkları ödüllendirmek için Apple Security Bounty programını genişletti
- Yeni PCC ödül kategorileri, Security Guide’daki temel tehditlerle uyumlu
- Kazara veri ifşası: Yapılandırma hatası veya sistem tasarım sorunu nedeniyle istenmeyen veri sızıntısına yol açan açıklar
- Kullanıcı istekleri üzerinden dış ihlal: Dış bir aktörün kullanıcı isteklerini kötüye kullanarak PCC’ye yetkisiz erişim sağlamasına imkan veren açıklar
- Fiziksel veya iç erişim: İç arayüzlere erişim yoluyla sistemin ihlal edilmesini mümkün kılan açıklar
- Ödül seviyeleri, iOS ödülleriyle karşılaştırılabilir düzeyde belirlendi
- PCC güven sınırının dışında kullanıcı verilerini ve çıkarım isteği verilerini tehlikeye atan açıklar en yüksek ödülü alacak
PCC ödül tutarları
- PCC ödül kategorileri şöyle:
- İstek verilerine yönelik uzaktan saldırı: herhangi bir yetki düzeyinde rastgele kod çalıştırma için en fazla $1,000,000
- Güven sınırı dışında kullanıcının istek verilerine veya kullanıcı istekleriyle ilgili hassas bilgilere erişim: en fazla $250,000
- Ayrıcalıklı ağ konumundan istek verisi saldırısı: güven sınırı dışında kullanıcının istek verilerine veya diğer hassas bilgilere erişim için en fazla $150,000
- Kanıtlanmamış kodun çalıştırılabilmesi: en fazla $100,000
- Dağıtım ya da yapılandırma sorunundan kaynaklanan kazara veya beklenmedik veri ifşası: en fazla $50,000
- Apple, yayımlanan kategorilerle tam eşleşmese bile PCC üzerinde önemli etkisi olan güvenlik sorunlarını Apple Security Bounty kapsamında değerlendireceğini söylüyor
- Raporlar; sunum kalitesi, istismar edilebilirliğin kanıtı ve kullanıcı etkisine göre değerlendirilecek
- Program bilgileri ve başvuru için Apple Security Bounty sayfası kullanılabilir
Bulut yapay zeka işlemede doğrulanabilir şeffaflık
- PCC, Apple Intelligence’in bir parçası olarak yapay zekada gizliliği önemli ölçüde ileri taşımak için tasarlandı
- Temel özellikler arasında doğrulanabilir şeffaflık bulunuyor; bu da onu diğer sunucu tabanlı yapay zeka yaklaşımlarından ayıran unsur olarak öne çıkıyor
- Apple Security Research Device Program deneyiminden yararlanılarak yayımlanan araçlar ve belgeler, PCC’nin temel güvenlik ve gizlilik özelliklerini incelemeyi ve doğrulamayı kolaylaştırıyor
- Apple, PCC’yi büyük ölçekli bulut yapay zeka işlemeye dağıtılmış en gelişmiş güvenlik mimarisi olarak tanımlıyor ve araştırma topluluğuyla birlikte sistem güvenini, güvenliği ve gizliliği güçlendirmeyi hedefliyor
Henüz yorum yok.