Prije nekoliko dana, tim istraživača je objavio informacije o razvoju prvi napad Rowhammera Que uspješno je usmjeren na la GDDR6 video memorija GPU-a, tačnije NVIDIA A6000.
Tehnika, nazvan GPUHammer, omogućava manipulaciju pojedinačnim bitovima u DRAM-u GPU-a, drastično smanjujući tačnost modela mašinskog učenja promjenom samo jednog bita njihovih parametara. Ove promjene bitova omogućavaju zlonamjernom korisniku GPU-a da manipuliše podacima GPU-a drugog korisnika u dijeljenim, vremenski ograničenim okruženjima.
Do sada Primjena Rowhammera na video memorije smatrala se nepraktičnom. zbog nekoliko tehničkih ograničenja. Fizički raspored memorijskih ćelija u GDDR čipovima je teško mapirati, latencije pristupa su do četiri puta sporije nego u konvencionalnoj DRAM memoriji, a brzine osvježavanja su znatno veće. Ovome se dodaju vlasnički mehanizmi zaštite od preranog gubitka napunjenosti, čiji je obrnuti inženjering zahtijevao specijaliziranu opremu.
Da bi se prevazišle ove prepreke, Istraživači su razvili novu tehniku reverznog inženjeringa usmjerenu na GDDR DRAMKoristeći CUDA kod niskog nivoa, izvršili su napad putem specifičnih optimizacija koje su intenzivirale pristup određenim memorijskim ćelijama, stvarajući uslove pogodne za manipulaciju bitovima. Ključ uspjeha ležao je u postizanju visoko organizovanog paralelnog računarstva, koje je djelovalo kao pojačivač pritiska na susjedne ćelije.
Kako napad djeluje?
Napad iskorištava fizičku slabost u DRAM-u, gdje je intenzivan pristup memorijskom redu (poznat kao "čekić") može izazvati promjene u susjednim redovimaIako je ova ranjivost identifikovana 2014. godine i opsežno proučavana u CPU DDR memoriji, njeno prenošenje na GPU-ove do sada je predstavljalo izazov zbog:
- Visoka latencija pristupa GDDR6 memorije (do 4 puta veća od DDR4).
- Složenost fizičke alokacije memorije.
- Prisustvo vlasničkih i slabo dokumentiranih mjera ublažavanja, kao što je TRR.
Rowhammer je hardverska ranjivost kod koje brzo aktiviranje jednog reda memorije dovodi do zamjene bitova u susjednim redovima. Od 2014. godine, ova ranjivost je široko proučavana kod CPU-a i memorija baziranih na CPU-u, kao što su DDR3, DDR4 i LPDDR4. Međutim, budući da se kritična opterećenja umjetne inteligencije i mašinskog učenja sada izvršavaju na diskretnim GPU-ima u oblaku, procjena ranjivosti GPU memorije na Rowhammer napade je ključna.
Uprkos ovim preprekama, Istraživači su uspjeli primijeniti obrnuti inženjering o alokaciji virtuelne/fizičke memorije u CUDA-i, Razvili su metodu za identifikaciju specifičnih DRAM memorijskih banaka. i optimizovan paralelni pristup korištenjem više niti i warpova, maksimizirajući brzinu izvršavanja bez izazivanja dodatne latencije.
Dokaz koncepta pokazao je kako promjena težina modela duboke neuronske mreže (DNN) za jedan bit, posebno u FP16 eksponentima, može smanjiti tačnost modela klasifikacije slika na ImageNet-u sa 1% na 80%. Ovo otkriće je alarmantno za centre podataka i cloud servise koji pokreću AI opterećenja u zajedničkim okruženjima sa GPU-ovima.
Ublažavanja i ograničenja
NVIDIA je potvrdila ranjivost i preporučuje omogućavanje ECC podrške. (Kod za ispravljanje grešaka) korištenjem naredbe nvidia-smi -e 1. Iako Ova mjera može ispraviti greške jednobitni, To podrazumijeva gubitak performansi i do 10%. i smanjenje dostupne memorije od 6,25%. Također ne štiti od budućih napada koji uključuju višestruke promjene bitova.
Potvrdili smo Rowhammerove fluktuacije bitova na NVIDIA A6000 GPU-ima sa GDDR6 memorijom. Drugi GDDR6 GPU-i, kao što je RTX 3080, nisu pokazali fluktuacije bitova u našem testiranju, moguće zbog varijacija u dobavljaču DRAM-a, karakteristikama čipa ili uslovima rada kao što je temperatura. Također nismo primijetili nikakve fluktuacije na A100 GPU-u sa HBM memorijom.
Tim naglašava da GPUHammer je trenutno verifikovan samo na A6000 GPU-u sa GDDR6 memorijom., a ne na modelima poput A100 (HBM) ili RTX 3080. Međutim, budući da se radi o proširivom napadu, drugi istraživači se ohrabruju da repliciraju i prošire analizu na različitim arhitekturama i modelima GPU-a.
Konačno, ako ste zainteresirani da saznate više o tome, možete pogledati detalje u sljedeći link.