Apple lanza máquina virtual en la nube privada para detectar errores

Iniciado por Dragora, Octubre 25, 2024, 02:46:23 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Apple ha lanzado un entorno de investigación virtual para que los expertos en ciberseguridad puedan probar y evaluar la seguridad de su sistema Private Cloud Compute (PCC), una innovadora arquitectura de computación en la nube privada orientada a proteger la privacidad de los datos de los usuarios. Como parte de su estrategia para reforzar la seguridad, la compañía ha publicado el código fuente de varios "componentes clave" de PCC, lo que facilita a los investigadores el análisis de la privacidad y seguridad de esta arquitectura en un entorno controlado.

Private Cloud Compute: Innovación en privacidad y seguridad en la nube
Private Cloud Compute (PCC) es una infraestructura avanzada de inteligencia en la nube diseñada para procesar datos complejos de inteligencia artificial (IA) provenientes de dispositivos Apple sin comprometer la privacidad de los usuarios. PCC utiliza cifrado de extremo a extremo, lo cual garantiza que los datos enviados desde los dispositivos Apple estén accesibles solo para el usuario, impidiendo que incluso Apple pueda acceder a ellos.

Este entorno cumple con estrictos estándares de seguridad, de modo que los datos personales de los usuarios permanezcan privados y protegidos de accesos no autorizados. Poco después del lanzamiento de PCC, Apple permitió el acceso a un grupo de investigadores y auditores de seguridad seleccionados para validar la efectividad de sus protecciones de seguridad y privacidad.

Entorno Virtual de Investigación (VRE): Acceso público para verificar la seguridad de PCC

Apple ha ampliado el acceso al Entorno Virtual de Investigación (VRE), permitiendo a cualquier usuario interesado explorar cómo funciona PCC y confirmar el cumplimiento de las garantías de seguridad prometidas. La compañía ha puesto a disposición la "Guía de Seguridad de Cómputo en la Nube Privada," que describe la arquitectura de PCC y detalla los componentes técnicos.

El VRE permite ejecutar una réplica del sistema PCC en una máquina virtual, proporcionando a los investigadores la capacidad de inspeccionar y probar sus funcionalidades. En este entorno, es posible ejecutar el software del nodo PCC con solo mínimas modificaciones. El software en el espacio de usuario funciona como en un nodo PCC real, mientras que el proceso de arranque y el kernel han sido adaptados para la virtualización, permitiendo una evaluación de seguridad en profundidad.

Para usar el VRE, se requiere macOS Sequia 15.1 Developer Preview y un dispositivo Apple con chip Silicon y al menos 16 GB de memoria unificada. Gracias a este entorno, los investigadores pueden analizar a fondo el sistema, modificando y depurando el software de PCC y realizando inferencias en modelos de demostración.

Publicación del código fuente y herramientas clave para la investigación de PCC
Apple ha compartido el código fuente de varios componentes de PCC para promover una mayor transparencia en el funcionamiento de su sistema y facilitar la investigación de seguridad. Entre estos componentes se encuentran:

  • CloudAttestation: Encargado de construir y validar las atestaciones del nodo PCC, garantizando la autenticidad y la transparencia de los procesos.
  • Thimble: Incluye el demonio privatecloudcomputed, que aplica la transparencia verificable en el dispositivo del usuario mediante CloudAttestation.
  • Splunkloggingd: Un demonio que filtra los registros emitidos desde un nodo PCC, protegiéndolos contra la divulgación accidental de datos.
  • Srd_tools: Proporciona las herramientas de VRE que facilitan la ejecución del código de PCC, ayudando a los investigadores a comprender cómo funciona este entorno.

Estas herramientas permiten a los investigadores observar cómo funcionan los distintos componentes de PCC en condiciones simuladas, contribuyendo a identificar vulnerabilidades potenciales.

Programa de recompensas de seguridad para vulnerabilidades de PCC

Apple ha ampliado su programa de recompensas de seguridad, ofreciendo incentivos financieros para quienes descubran fallos significativos en PCC. La recompensa más alta es de hasta 1 millón de dólares por un ataque remoto que comprometa los datos de solicitud de los usuarios, logrando ejecución remota de código con permisos arbitrarios. Además, Apple ofrece recompensas de $250,000 para quienes demuestren métodos de acceso a datos de solicitud de usuarios o información confidencial.

Para ataques realizados desde la red con privilegios elevados, la recompensa varía entre $50,000 y $150,000, dependiendo de la complejidad del ataque y la naturaleza de la vulnerabilidad. Apple ha enfatizado que, aunque su programa incluye categorías específicas, cualquier vulnerabilidad significativa que afecte a PCC puede ser elegible para una recompensa.

Compromiso con la seguridad y privacidad en la computación en la nube

Apple considera que Private Cloud Compute es una de las arquitecturas de seguridad más avanzadas implementadas para computación en la nube de IA, pero reconoce que la colaboración con la comunidad de investigación es clave para seguir mejorando sus estándares de seguridad y privacidad. Con este entorno abierto, la compañía reafirma su compromiso en proporcionar soluciones seguras y transparentes a sus usuarios.

La apertura del acceso a PCC y la colaboración con investigadores no solo ayudan a fortalecer el ecosistema de seguridad de Apple, sino que también refuerzan su compromiso con la privacidad del usuario en un mundo digital en constante evolución. Este enfoque colaborativo es una señal de los esfuerzos de Apple por ofrecer un entorno de IA en la nube altamente seguro que responda a las crecientes demandas de privacidad de los usuarios.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta