1 puan yazan GN⁺ 2024-10-26 | Henüz yorum yok. | WhatsApp'ta paylaş
  • Apple, Apple Intelligence’in yüksek işlem gücü gerektiren isteklerini bulutta işleyen Private Cloud Compute(PCC) için, dış araştırmacıların güvenlik ve gizlilik güvencelerini doğrudan doğrulayabilmesi amacıyla materyaller yayımladı
  • Yayımlanan kapsam; PCC Security Guide, yazılım binary’leri, temel bileşenlerin kaynak kodları ve Apple platformları için ilk Virtual Research Environment(VRE) ortamını içeriyor
  • VRE, Apple silicon Mac üzerinde PCC düğüm yazılımını sanal makine olarak çalıştırarak sürüm incelemesi, şeffaflık günlüğü doğrulaması, binary indirme, sanal önyükleme, demo model çıkarımı, değiştirme ve hata ayıklamayı destekliyor
  • Apple Security Bounty programına PCC de yeni hedef olarak eklendi; istek verilerine yönelik uzaktan saldırıyla herhangi bir yetki düzeyinde rastgele kod çalıştırmayı başaranlara en fazla 1 milyon dolar ödül verilecek
  • PCC doğrulama sistemi, bulut yapay zeka işlemede de kullanıcıların veri merkezinde çalışan yazılımı ve gizlilik güvencelerini doğrudan doğrulayabilmesine odaklanıyor

PCC doğrulama materyalleri yayımlandı

  • Private Cloud Compute(PCC), Apple Intelligence’in hesaplama açısından yoğun isteklerini işlerken Apple cihazlarının güvenlik modelini buluta genişleten bir sistemdir
  • Apple, kamusal güveni artırmak için güvenlik ve gizlilik araştırmacılarının PCC’nin uçtan uca güvencelerini inceleyip doğrulamasını mümkün kılıyor
  • Apple Intelligence ve PCC duyurusundan sonraki ilk haftalarda Apple, üçüncü taraf denetçilere ve bazı güvenlik araştırmacılarına PCC Virtual Research Environment(VRE) dahil materyalleri önceden sundu
  • Bu yeni yayınla birlikte güvenlik ve gizlilik araştırmacıları ile teknik olarak ilgilenen herkes PCC’yi inceleyip bağımsız olarak doğrulayabilecek
  • Apple Security Bounty de PCC’yi kapsayacak şekilde genişletildi; PCC’nin güvenlik ve gizlilik güvencelerini bozan sorun raporları için ödül verilecek

PCC Security Guide neleri kapsıyor

  • Private Cloud Compute Security Guide, PCC mimarisinin temel gereksinimleri nasıl karşılayacak şekilde tasarlandığını özetliyor
  • Kılavuz, PCC bileşenlerini ve bunların birlikte çalışarak bulut yapay zeka işlemede nasıl bir gizlilik düzeyi sunduğunu ele alıyor
  • Başlıca konular şunlar:
    • PCC kanıtlamasının donanıma uygulanmış değişmez temel işlevler üzerine nasıl kurulduğu
    • PCC isteklerinin doğrulanıp yönlendirilerek hedeflenemezlik(non-targetability) sağlaması
    • Apple veri merkezlerinde çalışan yazılımın denetlenebilir olmasının teknik olarak nasıl garanti edildiği
    • Çeşitli saldırı senaryolarında da PCC’nin gizlilik ve güvenlik özelliklerinin nasıl korunduğu

Virtual Research Environment

  • Apple, Apple platformları için ilk kez Virtual Research Environment(VRE) sunuyor
  • VRE, Mac üzerinde Private Cloud Compute’un güvenlik analizini doğrudan yapmayı sağlayan bir araç seti
  • Araştırmacılar, PCC’nin güvenlik özelliklerini anlamanın ötesinde, PCC’nin kullanıcı gizliliğini Apple’ın anlattığı şekilde koruyup korumadığını da doğrulayabiliyor
  • VRE, PCC düğüm yazılımını yalnızca az sayıda değişiklik uygulanmış bir sanal makinede çalıştırıyor
    • Kullanıcı alanı yazılımı, PCC düğümündekiyle aynı şekilde çalışıyor
    • Önyükleme süreci ve kernel, sanallaştırmaya uyacak şekilde ayarlanmış durumda
    • Sanal Secure Enclave Processor(SEP) de içeriyor; böylece bu bileşen üzerinde ilk kez güvenlik araştırması yapılabiliyor
    • Çıkarım için macOS’in paravirtualized grafik desteği kullanılıyor

VRE ile yapılabilenler ve çalışma koşulları

  • VRE araçlarıyla yapılabilecekler şunlar:
    • PCC yazılım sürümlerini listeleme ve inceleme
    • Şeffaflık günlüğü tutarlılığını doğrulama
    • Her sürüme karşılık gelen binary’leri indirme
    • Sürümü sanallaştırılmış ortamda önyükleme
    • Demo model üzerinde çıkarım çalıştırma
    • Daha derin inceleme için PCC yazılımını değiştirme ve hata ayıklama
  • VRE, en yeni macOS Sequoia 15.1 Developer Preview sürümünde sunuluyor
  • Çalıştırmak için Apple silicon Mac ve 16 GB veya daha fazla birleşik bellek gerekiyor
  • Başlangıç adımları Private Cloud Compute Virtual Research Environment kurulum belgesinde yer alıyor

Yayımlanan PCC kaynak kodu

  • Apple, PCC’nin güvenlik ve gizlilik gereksinimlerinin uygulanmasına yardımcı olan bazı temel bileşenlerin kaynak kodunu yayımladı
  • Kaynaklar, PCC üzerinde daha derin analiz yapılabilmesini sağlamak için sınırlı kullanımlı bir lisans sözleşmesi kapsamında sunuluyor
  • Yayımlanan projeler PCC’nin çeşitli alanlarını kapsıyor
    • CloudAttestation: PCC düğüm kanıtlamasının oluşturulması ve doğrulanmasından sorumlu
    • Thimble: Kullanıcı cihazında çalışan privatecloudcomputed daemon’unu içeriyor ve CloudAttestation kullanarak doğrulanabilir şeffaflığı zorluyor
    • splunkloggingd: PCC düğümünden dışa aktarılabilecek logları filtreleyerek kazara veri ifşasını önlüyor
    • srd_tools: VRE araçlarını içeriyor ve VRE’nin PCC kodunu nasıl çalıştırdığını anlamakta kullanılabiliyor
  • Erişilebilir PCC kaynak kodları GitHub’daki apple/security-pcc projesinde görülebilir

PCC için Apple Security Bounty

  • Apple, PCC’nin temel güvenlik ve gizlilik güvencelerini ihlal eden açıkları ödüllendirmek için Apple Security Bounty programını genişletti
  • Yeni PCC ödül kategorileri, Security Guide’daki temel tehditlerle uyumlu
    • Kazara veri ifşası: Yapılandırma hatası veya sistem tasarım sorunu nedeniyle istenmeyen veri sızıntısına yol açan açıklar
    • Kullanıcı istekleri üzerinden dış ihlal: Dış bir aktörün kullanıcı isteklerini kötüye kullanarak PCC’ye yetkisiz erişim sağlamasına imkan veren açıklar
    • Fiziksel veya iç erişim: İç arayüzlere erişim yoluyla sistemin ihlal edilmesini mümkün kılan açıklar
  • Ödül seviyeleri, iOS ödülleriyle karşılaştırılabilir düzeyde belirlendi
  • PCC güven sınırının dışında kullanıcı verilerini ve çıkarım isteği verilerini tehlikeye atan açıklar en yüksek ödülü alacak

PCC ödül tutarları

  • PCC ödül kategorileri şöyle:
    • İstek verilerine yönelik uzaktan saldırı: herhangi bir yetki düzeyinde rastgele kod çalıştırma için en fazla $1,000,000
    • Güven sınırı dışında kullanıcının istek verilerine veya kullanıcı istekleriyle ilgili hassas bilgilere erişim: en fazla $250,000
    • Ayrıcalıklı ağ konumundan istek verisi saldırısı: güven sınırı dışında kullanıcının istek verilerine veya diğer hassas bilgilere erişim için en fazla $150,000
    • Kanıtlanmamış kodun çalıştırılabilmesi: en fazla $100,000
    • Dağıtım ya da yapılandırma sorunundan kaynaklanan kazara veya beklenmedik veri ifşası: en fazla $50,000
  • Apple, yayımlanan kategorilerle tam eşleşmese bile PCC üzerinde önemli etkisi olan güvenlik sorunlarını Apple Security Bounty kapsamında değerlendireceğini söylüyor
  • Raporlar; sunum kalitesi, istismar edilebilirliğin kanıtı ve kullanıcı etkisine göre değerlendirilecek
  • Program bilgileri ve başvuru için Apple Security Bounty sayfası kullanılabilir

Bulut yapay zeka işlemede doğrulanabilir şeffaflık

  • PCC, Apple Intelligence’in bir parçası olarak yapay zekada gizliliği önemli ölçüde ileri taşımak için tasarlandı
  • Temel özellikler arasında doğrulanabilir şeffaflık bulunuyor; bu da onu diğer sunucu tabanlı yapay zeka yaklaşımlarından ayıran unsur olarak öne çıkıyor
  • Apple Security Research Device Program deneyiminden yararlanılarak yayımlanan araçlar ve belgeler, PCC’nin temel güvenlik ve gizlilik özelliklerini incelemeyi ve doğrulamayı kolaylaştırıyor
  • Apple, PCC’yi büyük ölçekli bulut yapay zeka işlemeye dağıtılmış en gelişmiş güvenlik mimarisi olarak tanımlıyor ve araştırma topluluğuyla birlikte sistem güvenini, güvenliği ve gizliliği güçlendirmeyi hedefliyor

Henüz yorum yok.

Henüz yorum yok.