Apple abre Código de Segurança PCC
25 de Outubro de 2024

A Apple criou um Ambiente de Pesquisa Virtual (Virtual Research Environment - VRE) para permitir o acesso público ao teste da segurança do seu sistema de Private Cloud Compute (PCC), e liberou o código-fonte de alguns "componentes chave" para ajudar os pesquisadores a analisar as funcionalidades de privacidade e segurança da arquitetura.

A empresa também busca melhorar a segurança do sistema e expandiu seu programa de recompensas por segurança (security bounty program) para incluir recompensas de até US$ 1 milhão por vulnerabilidades que possam comprometer "as garantias fundamentais de segurança e privacidade do PCC".

O Private Cloud Compute (PCC) é um sistema de inteligência na nuvem para processamento AI complexo de dados de dispositivos dos usuários de uma forma que não comprometa a privacidade.

Isso é alcançado através de criptografia de ponta a ponta, para garantir que dados pessoais de dispositivos Apple enviados para o PCC sejam acessíveis apenas pelo usuário e nem mesmo a Apple possa observá-los.

Logo após a Apple anunciar o PCC, a companhia deu acesso antecipado a pesquisadores de segurança e auditores selecionados para que pudessem verificar as promessas de privacidade e segurança do sistema.

Em um post de blog hoje, a Apple anuncia que o acesso ao PCC agora é público e qualquer pessoa curiosa pode inspecionar como ele funciona e verificar se corresponde às afirmações prometidas.

A empresa disponibiliza o Guia de Segurança de Private Cloud Compute, que explica a arquitetura e os detalhes técnicos dos componentes e a maneira como eles funcionam.

A Apple também fornece um Ambiente de Pesquisa Virtual (VRE), que replica localmente o sistema de inteligência na nuvem e permite inspecioná-lo, bem como testar sua segurança e procurar por problemas.

"O VRE executa o software do nó PCC em uma máquina virtual com apenas pequenas modificações.
O software no espaço do usuário funciona de forma idêntica ao do nó PCC, com o processo de inicialização e kernel adaptados para virtualização," explica a Apple, compartilhando documentação sobre como configurar o Ambiente de Pesquisa Virtual no seu dispositivo.

O VRE está presente no macOS Sequoia 15.1 Developer Preview e precisa de um dispositivo com chip da Apple e pelo menos 16GB de memória unificada.

As ferramentas disponíveis no ambiente virtual permitem iniciar um lançamento do PCC em um ambiente isolado, modificar e depurar o software PCC para um escrutínio mais detalhado, e realizar inferências contra modelos de demonstração.

Para facilitar para os pesquisadores, a Apple decidiu liberar o código-fonte de alguns componentes do PCC que implementam requisitos de segurança e privacidade:

- O projeto CloudAttestation - responsável por construir e validar as atestações do nó PCC.
- O projeto Thimble - inclui o daemon privatecloudcomputed que roda no dispositivo do usuário e usa CloudAttestation para forçar a transparência verificável.
- O daemon splunkloggingd - filtra os logs que podem ser emitidos de um nó PCC para proteger contra a divulgação acidental de dados.
- O projeto srd_tools - contém as ferramentas do VRE e pode ser usado para entender como o VRE possibilita rodar o código PCC.

A Apple também incentiva a pesquisa com novas categorias de PCC em seu programa de recompensas por segurança para divulgação acidental de dados, comprometimento externo de solicitações de usuários e acesso físico ou interno.

A maior recompensa é de US$ 1 milhão por um ataque remoto em dados de solicitação, que consiga execução remota de código com privilégios arbitrários.

Por demonstrar como obter acesso aos dados de solicitação de um usuário ou informações sensíveis, um pesquisador pode receber uma recompensa de US$ 250.000.

Demonstrar o mesmo tipo de ataque, mas da rede com privilégios elevados, vem com um pagamento entre US$ 50.000 e US$ 150.000.

No entanto, a Apple diz que considera para recompensas quaisquer problemas que tenham um impacto significativo no PCC, mesmo que estejam fora das categorias de seu programa de recompensa por bugs.

A empresa acredita que seu "Private Cloud Compute é a arquitetura de segurança mais avançada já implantada para computação AI na nuvem em larga escala", mas ainda espera melhorá-la ainda mais em termos de segurança e privacidade com a ajuda dos pesquisadores.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...