Apple, Özel Bulut Bilişim sisteminin güvenliğini test etmek için kamu erişimine izin vermek amacıyla bir Sanal Araştırma Ortamı oluşturdu ve araştırmacıların mimarideki gizlilik ve güvenlik özelliklerini analiz etmelerine yardımcı olmak amacıyla bazı “anahtar bileşenler”in kaynak kodunu yayınladı.
Şirket ayrıca sistemin güvenliğini iyileştirmeyi amaçlıyor ve güvenlik ödül programını, “PCC’nin temel güvenlik ve gizlilik garantilerini” tehlikeye atabilecek güvenlik açıkları için 1 milyon dolara kadar ödülleri içerecek şekilde genişletti.
Özel Bulut Bilişim (PCC), kullanıcı cihazlarından gelen verilerin gizlilikten ödün vermeyecek şekilde karmaşık yapay zeka tarafından işlenmesine yönelik bir bulut istihbarat sistemidir.
Bu, Apple cihazlarından PCC’ye gönderilen kişisel verilere yalnızca kullanıcının erişebilmesini ve Apple’ın bile bu verileri görememesini sağlamak için uçtan uca şifreleme yoluyla gerçekleştirilir.
Apple PCC’yi duyurduktan kısa bir süre sonra şirket, sistemin gizlilik ve güvenlik vaatlerini doğrulayabilmeleri için seçili güvenlik araştırmacılarına ve denetçilerine erken erişim hakkı verdi.
Sanal Araştırma Ortamı
Bugün yayınlanan bir blog yazısında Apple, PCC’ye erişimin artık herkese açık olduğunu ve meraklı herkesin nasıl çalıştığını inceleyebileceğini ve vaat edilen iddialara ulaşıp ulaşmadığını kontrol edebileceğini duyurdu.
Şirket, bileşenlerin mimarisini, teknik ayrıntılarını ve çalışma şekillerini açıklayan Özel Bulut Bilişim Güvenliği Kılavuzunu kullanıma sunuyor.
Apple ayrıca, bulut istihbarat sistemini yerel olarak kopyalayan ve sistemin denetlenmesine, güvenliğinin test edilmesine ve sorunların tespit edilmesine olanak tanıyan bir Sanal Araştırma Ortamı (VRE) sağlar.
“VRE, PCC düğüm yazılımını yalnızca küçük değişikliklerle sanal bir makinede çalıştırıyor. Kullanıcı alanı yazılımı, önyükleme işlemi ve sanallaştırma için uyarlanmış çekirdek ile PCC düğümüyle aynı şekilde çalışır,” diye açıklıyor Apple, cihazınızda Sanal Araştırma Ortamını nasıl kuracağınıza ilişkin belgeleri paylaşıyor.
VRE, macOS Sequia 15.1 Geliştirici Önizlemesi’nde mevcuttur ve Apple silikaonlu bir cihaza ve en az 16 GB birleşik belleğe ihtiyaç duyar.
Sanal ortamda bulunan araçlar, yalıtılmış bir ortamda bir PCC sürümünün başlatılmasına, daha kapsamlı bir inceleme için PCC yazılımının değiştirilmesine ve hata ayıklamasına ve gösterim modellerine karşı çıkarım yapılmasına olanak tanır.
Araştırmacıların işini kolaylaştırmak amacıyla Apple, güvenlik ve gizlilik gereksinimlerini uygulayan bazı PCC bileşenlerinin kaynak kodunu yayınlamaya karar verdi:
- CloudAttestation projesi – PCC düğümünün kanıtlarını oluşturmak ve doğrulamaktan sorumludur.
- Thimble projesi, kullanıcının cihazında çalışan ve doğrulanabilir şeffaflığı sağlamak için CloudAttestation’ı kullanan özel bulut bilgisayarlı arka plan programını içerir.
- Splunkloggingd arka plan programı – verilerin yanlışlıkla ifşa edilmesine karşı koruma sağlamak için bir PCC düğümünden yayılabilen günlükleri filtreler.
- srd_tools projesi – VRE araçlarını içerir ve VRE’nin PCC kodunu çalıştırmayı nasıl sağladığını anlamak için kullanılabilir.
Apple ayrıca verilerin kazara ifşa edilmesi, kullanıcı isteklerinden dışarıdan ödün verilmesi ve fiziksel veya dahili erişime karşı güvenlik ödül programında yeni PCC kategorileriyle araştırmaları teşvik ediyor.
En yüksek ödül, isteğe bağlı yetkilerle uzaktan kod yürütmeyi sağlayan istek verilerine uzaktan saldırı için 1 milyon dolar.
Bir kullanıcının istek verilerine veya hassas bilgilerine nasıl erişileceğini gösteren bir araştırmacı, 250.000 ABD Doları tutarında bir ödül alabilir.
Aynı tür saldırının, yükseltilmiş ayrıcalıklara sahip bir ağdan gerçekleştirilmesi, 50.000 ila 150.000 ABD Doları arasında bir ödemeyi beraberinde getiriyor.
Ancak Apple, hata ödül programındaki kategorilerin dışında olsa bile PCC üzerinde önemli etkisi olan her türlü sorunu ödüllendirmeyi düşündüğünü söylüyor.
Şirket, “Özel Bulut Bilişiminin, bulut yapay zeka bilişimi için geniş ölçekte konuşlandırılan en gelişmiş güvenlik mimarisi olduğuna” inanıyor ancak yine de araştırmacıların yardımıyla onu güvenlik ve gizlilik açısından daha da geliştirmeyi umuyor.