Πιστεύετε ότι μπορείτε να χακάρετε τον διακομιστή της Apple; Αν ναι, θα μπορούσατε να κερδίσετε έως και 1 εκατομμύριο $ χάρη σε ένα νέο bounty bug. Η Apple ανακοίνωσε την Πέμπτη μια πρόκληση για να δοκιμάσει την ασφάλεια των διακομιστών που θα διαδραματίσουν κρίσιμο ρόλο στην υπηρεσία Apple Intelligence.
Καθώς η Apple ετοιμάζεται να λανσάρει επίσημα την υπηρεσία της με τεχνητή νοημοσύνη την επόμενη εβδομάδα, η εταιρεία έχει φυσικά την ασφάλεια στο μυαλό της. Ενώ οι περισσότερες επεξεργασίες ερωτημάτων Apple Intelligence θα πραγματοποιηθούν στη συσκευή σας, ορισμένες θα πρέπει να υποβληθούν σε επεξεργασία από διακομιστές της Apple. Γνωστοί συλλογικά ως Private Cloud Compute (PCC), αυτοί οι διακομιστές πρέπει να προστατεύονται από κάθε είδους κυβερνοεπίθεση ή hacking για προστασία από κλοπή δεδομένων και παραβίαση.
Επίσης: 7 Βασικοί κανόνες κωδικού πρόσβασης που πρέπει να ακολουθήσετε το 2024, σύμφωνα με τους ειδικούς ασφαλείας
Η Apple έχει ήδη λάβει προληπτικά μέτρα για την προστασία του PCC. Μετά την αρχική ανακοίνωση της Apple Intelligence, η εταιρεία κάλεσε τους ερευνητές ασφάλειας και απορρήτου να επανεξετάσουν και να επικυρώσουν την ασφάλεια και το απόρρητο από άκρο σε άκρο των διακομιστών. Η Apple έχει μάλιστα παράσχει σε ορισμένους ερευνητές και ελεγκτές πρόσβαση σε ένα εικονικό ερευνητικό περιβάλλον και άλλους πόρους για να τους βοηθήσει να δοκιμάσουν την ασφάλεια του PCC. Τώρα η εταιρεία ανοίγει την πόρτα σε όποιον θέλει να προσπαθήσει να χακάρει τη συλλογή των διακομιστών της.
Για να δώσει στους ανθρώπους ένα προβάδισμα, η Apple δημοσίευσε Οδηγίες για την ιδιωτική ασφάλεια του Cloud Computing. Αυτός ο οδηγός εξηγεί πώς λειτουργεί το PCC, εστιάζοντας στον τρόπο ελέγχου ταυτότητας των αιτημάτων, στον τρόπο επαλήθευσης του λογισμικού που εκτελείται στα κέντρα δεδομένων της Apple και στον τρόπο με τον οποίο το PCC διατηρείται ιδιωτικό και ασφαλές για την αντιμετώπιση διαφόρων τύπων κυβερνοεπιθέσεων.
Το Εικονικό Περιβάλλον Έρευνας (VRE) είναι επίσης ανοιχτό σε οποιονδήποτε διεκδικεί ένα bounty bug. Εκτελώντας σε Mac, το VRE σάς επιτρέπει να ελέγξετε τις εκδόσεις λογισμικού PCC, να κατεβάσετε αρχεία για κάθε έκδοση, να κατεβάσετε την έκδοση σε εικονικό περιβάλλον και να εκκινήσετε λογισμικό PCC για να το εξερευνήσετε περαιτέρω. Η Apple δημοσίευσε ακόμη και τον πηγαίο κώδικα για ορισμένα από τα βασικά στοιχεία του PCC, ο οποίος είναι διαθέσιμος στο GitHub.
Επίσης: Έχετε μείνει στο Marriott; Δείτε τι σημαίνει για εσάς η συμφωνία FTC
Τι γίνεται με τις ανταμοιβές για τα λάθη; Το πρόγραμμα έχει σχεδιαστεί για να εντοπίζει τρωτά σημεία σε τρεις βασικούς τομείς:
- Τυχαία αποκάλυψη δεδομένων. Τρωτά σημεία που εκθέτουν δεδομένα λόγω σφαλμάτων διαμόρφωσης PCC ή ζητημάτων σχεδιασμού συστήματος.
- Εξωτερικός συμβιβασμός από αιτήματα χρηστών – τρωτά σημεία που επιτρέπουν στους εισβολείς να χρησιμοποιούν αιτήματα χρηστών για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο PCC.
- Φυσική ή εσωτερική πρόσβαση. Τρωτά σημεία στα οποία η πρόσβαση σε εσωτερικές διεπαφές PCC επιτρέπει σε κάποιον να υπονομεύσει το σύστημα.
Αναλυτικότερα, εδώ είναι τα ποσά που θα πληρώσει η Apple για διαφορετικούς τύπους hacks και ανακαλύψεων:
- Τυχαία ή απροσδόκητη αποκάλυψη δεδομένων λόγω προβλημάτων ανάπτυξης ή διαμόρφωσης – 50.000 $.
- Δυνατότητα εκτέλεσης κώδικα που δεν έχει πιστοποιηθεί – 100.000 $.
- Πρόσβαση σε δεδομένα αιτημάτων χρήστη ή άλλα ευαίσθητα δεδομένα χρήστη εκτός του ορίου εμπιστοσύνης – μια περιοχή όπου το επίπεδο εμπιστοσύνης αλλάζει λόγω της ευαίσθητης φύσης των δεδομένων που συλλέγονται – 150.000 $.
- Πρόσβαση σε δεδομένα αιτημάτων χρήστη ή ευαίσθητες πληροφορίες σχετικά με αιτήματα χρηστών εκτός των ορίων εμπιστοσύνης – 250.000 $.
- Αυθαίρετη εκτέλεση κώδικα χωρίς την άδεια ή τη γνώση ενός χρήστη με αυθαίρετα δικαιώματα – 1.000.000 $.
Ωστόσο, η Apple υπόσχεται να εξετάσει το ενδεχόμενο πληρωμής χρημάτων για οποιοδήποτε ζήτημα ασφάλειας που επηρεάζει σημαντικά το PCC, ακόμα κι αν δεν πληροί μια δημοσιευμένη κατηγορία. Εδώ, η εταιρεία θα αξιολογήσει την αναφορά σας με βάση την ποιότητα της παρουσίασής σας, τα στοιχεία χρηστικότητας και τον αντίκτυπο στους χρήστες. Για να μάθετε περισσότερα σχετικά με το πρόγραμμα επιβράβευσης σφαλμάτων της Apple και πώς να υποβάλετε τη δική σας έρευνα, επισκεφτείτε τη σελίδα Apple Security Bounty.
Επίσης: Γιατί να αφαιρέσετε τους ρωσικούς συντηρητές πυρήνα Linux; Να τι λέει ο Torvalds
«Ελπίζουμε ότι θα βουτήξετε βαθύτερα στον σχεδιασμό PCC με τον Οδηγό Ασφαλείας μας, θα εξερευνήσετε τον κώδικα μόνοι σας χρησιμοποιώντας ένα εικονικό περιβάλλον εξερεύνησης και θα αναφέρετε τυχόν προβλήματα που βρείτε μέσω του Apple Security Bounty», ανέφερε η Apple σε μια δήλωση. «Πιστεύουμε ότι το Private Cloud Compute είναι η πιο προηγμένη αρχιτεκτονική ασφαλείας που έχει αναπτυχθεί ποτέ για υπολογιστές cloud μεγάλης κλίμακας με χρήση τεχνητής νοημοσύνης και ανυπομονούμε να συνεργαστούμε με την ερευνητική κοινότητα για να οικοδομήσουμε εμπιστοσύνη στο σύστημα και να το κάνουμε ακόμα πιο ασφαλές με την πάροδο του χρόνου. και εμπιστευτικό».
