شرکت Apple یک محیط تحقیقاتی مجازی راهاندازی کرده تا به عموم مردم این امکان را بدهد که امنیت سیستم محاسبات ابری خصوصی خود را مورد آزمایش قرار دهند. همچنین، اپل کد منبع برخی از اجزای مهم این سیستم را منتشر کرده است تا پژوهشگران بتوانند به بررسی و تحلیل ویژگیهای حریم خصوصی و ایمنی این معماری بپردازند. این اقدام میتواند به افزایش امنیت و اعتماد به سیستمهای اپل کمک کند.
این شرکت همچنین به دنبال بهبود امنیت سیستم است و برنامه پاداش امنیتی خود را گسترش داده تا شامل جوایزی تا سقف ۱ میلیون دلار برای آسیبپذیریهایی باشد که میتوانند ‘تضمینهای امنیتی و حریم خصوصی بنیادی PCC’ را به خطر بیندازند.
PCC یک سیستم ابری است که به طور خاص برای پردازش دادههای پیچیده مرتبط با هوش مصنوعی طراحی شده است. هدف این سیستم این است که بتواند دادههای مربوط به کاربران را از دستگاههایشان پردازش کند بدون اینکه حریم خصوصی آنها را تحت تأثیر قرار دهد یا به خطر بیندازد. به عبارت دیگر، PCC تلاش میکند تا امنیت و حریم خصوصی کاربران را در حین استفاده از فناوریهای پیشرفته حفظ کند.
برای حفظ حریم خصوصی کاربران، PCC از فناوری end-to-end encryption استفاده میکند. این نوع رمزگذاری به این معناست که تنها کاربر میتواند به دادههای شخصی خود دسترسی داشته باشد و هیچکس، حتی خود Apple ، نمیتواند به این دادهها دسترسی پیدا کند. این اقدام به حفاظت از اطلاعات شخصی و حفظ امنیت کاربران کمک میکند.
بعد از اعلام رسمی Apple درباره سیستم محاسبات ابری خصوصی (PCC)، این شرکت به تعدادی از پژوهشگران امنیتی و حسابرسان خاص اجازه داد تا به این سیستم دسترسی پیدا کنند. هدف از این دسترسی اولیه این بود که آنها بتوانند وعدههای اپل در مورد حفظ حریم خصوصی و امنیت سیستم را بررسی و تأیید کنند. این اقدام نشاندهندهی تعهد اپل به شفافیت و اعتبار سیستمهای خود است.
محیط تحقیقاتی مجازی
Apple در یک پست اعلام کرده که حالا همه میتوانند به سیستم محاسبات ابری خصوصی (PCC) دسترسی پیدا کنند. این فرصت به افراد این امکان را میدهد که عملکرد این سیستم را مشاهده کنند و بررسی کنند که آیا این سیستم واقعاً مطابق با وعدههایی که اپل درباره آن داده، عمل میکند یا خیر.
شرکت مورد نظر یک راهنمای امنیتی برای سیستم محاسبات ابری خصوصی (PCC) ارائه کرده است. این راهنما شامل توضیحات درباره ساختار کلی سیستم، جزئیات فنی مربوط به اجزای آن و نحوه کارکرد این اجزا است. هدف از این راهنما، ارائه اطلاعات بیشتر به کاربران و پژوهشگران درباره امنیت و کارایی سیستم است.
Apple یک محیط تحقیقاتی مجازی ایجاد کرده است که در آن سیستم هوش ابری خود را بهصورت محلی شبیهسازی میکند. این محیط به کاربران و پژوهشگران این امکان را میدهد که بتوانند سیستم را بررسی کنند، امنیت آن را آزمایش کنند و به دنبال مشکلات و نقصها بگردند. این اقدام میتواند به شفافیت و اعتبار سیستمهای اپل کمک کند.
Apple توضیح میدهد: ‘VRE نرمافزار گره PCC را در یک ماشین مجازی با تنها تغییرات جزئی اجرا میکند. نرمافزار کاربران بهصورت یکسان با گره PCC اجرا میشود و فرآیند راهاندازی و هسته برای مجازیسازی سازگار شدهاند.’ این شرکت مستنداتی را برای راهاندازی محیط تحقیقاتی مجازی روی دستگاه شما به اشتراک میگذارد.
محیط تحقیقاتی مجازی (VRE) در نسخه پیشنمایش توسعهدهنده سیستمعامل macOS Sequia 15.1 وجود دارد. برای استفاده از این محیط، کاربر به یک دستگاه مجهز به سیلیکون اپل و حداقل ۱۶ گیگابایت حافظه یکپارچه (Unified Memory) نیاز دارد. این شرایط به این دلیل است که VRE ممکن است به منابع سختافزاری خاصی نیاز داشته باشد تا بهدرستی عمل کند.
ابزارهایی که در محیط مجازی (VRE) موجود هستند، به کاربران اجازه میدهند که یک نسخه از سیستم محاسبات ابری خصوصی (PCC) را در یک محیط جداگانه و ایزوله اجرا کنند. علاوه بر این، کاربران میتوانند نرمافزار PCC را اصلاح و اشکالزدایی کنند تا به بررسی عمیقتری بپردازند. همچنین، این ابزارها امکان انجام استنتاج (inference) بر روی مدلهای نمایشی (demonstration models) را نیز فراهم میکنند، که به کاربران اجازه میدهد تا نحوه عملکرد سیستم را بهتر درک کنند.
برای تسهیل کار پژوهشگران، اپل تصمیم گرفت کد منبع برخی از اجزای PCC را که الزامات امنیت و حریم خصوصی را پیادهسازی میکنند، منتشر کند:
پروژه CloudAttestation – مسئول ساخت و تأیید اعتبار سنجیهای PCC Nodes
پروژه Thimble – شامل دیمون privatecloudcomputed است که بر روی دستگاه کاربر اجرا میشود و از CloudAttestation برای اعمال شفافیت قابل تأیید استفاده میکند.
دیمون splunkloggingd – لاگهایی را که ممکن است از یک PCC Node تولید شوند، فیلتر میکند تا از افشای تصادفی دادهها جلوگیری کند.
پروژه srd_tools – شامل ابزارهای VRE است و میتواند برای درک نحوه اجرای کد PCC توسط VRE استفاده شود.
Apple با ایجاد دستههای جدید در برنامه پاداش امنیتی خود، پژوهش در زمینههای خاصی را تشویق میکند. این دستهها شامل مواردی هستند که به افشای تصادفی دادهها، نفوذهای خارجی که ممکن است از درخواستهای کاربران ناشی شود و همچنین دسترسی فیزیکی یا داخلی به سیستم مربوط میشوند. هدف از این برنامه، ترغیب پژوهشگران و متخصصان امنیتی به شناسایی و گزارش آسیبپذیریها و مشکلات امنیتی در این زمینههاست.
در برنامه پاداش امنیتی، بزرگترین پاداش ۱ میلیون دلار برای شناسایی یک آسیبپذیری که امکان انجام یک حمله از راه دور به دادههای درخواست را فراهم میکند، در نظر گرفته شده است. این حمله بهگونهای است که میتواند کد دلخواهی را بهصورت از راه دور اجرا کند و به مجوزها یا دسترسیهای غیرمجاز دست پیدا کند. به عبارت دیگر، این پاداش به پژوهشگران امنیتی که بتوانند چنین نقطه ضعفی را شناسایی کنند، تعلق میگیرد.
اگر یک پژوهشگر بتواند روشهایی را برای دسترسی به دادههای درخواست یا اطلاعات حساس کاربران ارائه دهد، میتواند از برنامه پاداش امنیتی مبلغ ۲۵۰,۰۰۰ دلار را به عنوان پاداش دریافت کند. این تشویق به پژوهشگران امنیتی انگیزه میدهد تا نقاط ضعف و آسیبپذیریها را شناسایی و گزارش کنند.
اگر یک پژوهشگر امنیتی بتواند نوعی از حمله مشابه را از طریق شبکه و با دسترسیهای بالاتر (یعنی دسترسیهای مجوزدار و قویتر) انجام دهد، مبلغی بین ۵۰,۰۰۰ تا ۱۵۰,۰۰۰ دلار بهعنوان پاداش دریافت خواهد کرد. این نوع پاداشها به منظور تشویق پژوهشگران به شناسایی آسیبپذیریها و نقاط ضعف امنیتی در سیستمها و شبکهها در نظر گرفته شده است.
اپل بهطور کلی برای ارائه پاداش، هرگونه مشکلی که بتواند تأثیر قابل توجهی بر روی سیستم محاسبات ابری خصوصی (PCC) داشته باشد را مورد بررسی قرار میدهد. این امر شامل مشکلاتی میشود که ممکن است در دستههای مشخصشده در برنامه پاداش آسیبپذیری اپل قرار نداشته باشند. به عبارت دیگر، اپل به طور گستردهتری به نقاط ضعف و مشکلات امنیتی توجه میکند و برای شناسایی و گزارش آنها پاداش میدهد.
این شرکت معتقد است که ‘محاسبات ابری خصوصی’ (Private Cloud Compute) پیشرفتهترین معماری امنیتی است که تاکنون برای محاسبات ابری هوش مصنوعی در مقیاس بزرگ پیادهسازی شده، اما هنوز امیدوار است که با کمک پژوهشگران، آن را از نظر امنیت و حریم خصوصی بیشتر بهبود بخشد.
