Преди няколко дни екип от изследователи публикува информация за разработването на първата атака на Роухамър че е успешно насочен към la GDDR6 видео памет на графичен процесор, по-специално NVIDIA A6000.
Техниката, наречен GPUHammer, позволява манипулирането на отделни битове в DRAM паметта на графичния процесор (GPU), което драстично намалява точността на моделите за машинно обучение, като променя само един бит от техните параметри. Тези обръщания на битове позволяват на злонамерен потребител на графичен процесор да манипулира данните на графичния процесор на друг потребител в споделени, времево ограничени среди.
До сега, Прилагането на Rowhammer към видео памети се смяташе за непрактично. поради няколко технически ограничения. Физическото разположение на клетките памет в GDDR чиповете е трудно за картографиране, латентността на достъпа е до четири пъти по-бавна, отколкото в конвенционалната DRAM, а честотата на опресняване е значително по-висока. Към това се добавят и патентовани механизми за защита срещу преждевременна загуба на заряд, чието обратно инженерство изисква специализирано оборудване.
За да преодолеем тези препятствия, Изследователите разработиха нова техника за обратно инженерство, насочена към GDDR DRAMИзползвайки ниско ниво CUDA код, те изпълниха атаката чрез специфични оптимизации, които засилиха достъпа до определени клетки от паметта, създавайки условия, благоприятстващи манипулация на битове. Ключът към успеха се криеше в постигането на високо организирани паралелни изчисления, които действаха като усилвател на натиска върху съседните клетки.
Как работи атаката?
Атаката използва физическа слабост в DRAM паметта, където интензивен достъп до ред от паметта (известен като „hammering“) може да предизвика промени в съседни редовеВъпреки че тази уязвимост беше идентифицирана през 2014 г. и обстойно проучена в DDR паметта на процесора, пренасянето ѝ към графични процесори досега беше предизвикателство поради:
- Високата латентност на достъпа на GDDR6 (до 4 пъти по-висока от DDR4).
- Сложността във физическото разпределение на паметта.
- Наличието на собствени и слабо документирани смекчаващи мерки, като например TRR.
Rowhammer е хардуерна уязвимост, при която бързото активиране на един ред памет води до обръщане на битовете в съседни редове. От 2014 г. насам тази уязвимост е широко изследвана в процесори и памет, базирана на процесор, като DDR3, DDR4 и LPDDR4. Тъй като обаче критичните работни натоварвания, свързани с изкуствен интелект и машинно обучение, сега се изпълняват на дискретни графични процесори в облака, оценката на уязвимостта на паметта на графичния процесор към атаки Rowhammer е от решаващо значение.
Въпреки тези препятствия, Изследователите успяха да приложат обратно инженерство относно разпределението на виртуална/физическа памет в CUDA, Те разработиха метод за идентифициране на специфични банки DRAM памет и оптимизиран паралелен достъп, използващ множество нишки и деформации, максимизирайки скоростта на обработка, без да причинява допълнителна латентност.
Доказателството за концепцията показа как еднобитово обръщане в теглата на моделите на дълбоки невронни мрежи (DNN), по-специално в експонентите на FP16, може да влоши точността на моделите за класификация на изображения от най-висок клас в ImageNet от 1% на 80%. Това откритие е тревожно за центрове за данни и облачни услуги, работещи с AI натоварвания в споделени среди с графични процесори.
Смекчавания и ограничения
NVIDIA потвърди уязвимостта и препоръчва активиране на ECC поддръжка. (Код за коригиране на грешки), използвайки командата nvidia-smi -e 1. Въпреки че Тази мярка може да коригира грешки еднобитов, Това означава загуба на производителност до 10%. и намаление на наличната памет с 6,25%. Също така не предпазва от бъдещи атаки, включващи множество обръщания на битове.
Потвърдихме битовите флуктуации на Rowhammer на графични процесори NVIDIA A6000 с GDDR6 памет. Други GDDR6 графични процесори, като RTX 3080, не показаха битови флуктуации в нашите тестове, вероятно поради вариации в производителя на DRAM, характеристиките на чипа или работни условия, като например температура. Също така не наблюдавахме никакви флуктуации на графичен процесор A100 с HBM памет.
Екипът подчертава, че GPUHammer е проверен в момента само на графичния процесор A6000 с GDDR6., а не върху модели като A100 (HBM) или RTX 3080. Тъй като обаче това е разширяема атака, други изследователи се насърчават да възпроизведат и разширят анализа върху различни архитектури и модели на графични процесори.
И накрая, ако се интересувате да научите повече за него, можете да се консултирате с подробностите в следваща връзка.