Před několika dny zveřejnil tým výzkumníků informace o vývoji... první útok Rowhammeru že byl úspěšně nasměrován k la Videopaměť GDDR6 grafického procesoru, konkrétně NVIDIA A6000.
Technika, přezdívaný GPUHammer, umožňuje manipulaci s jednotlivými bity v paměti DRAM GPU, což drasticky snižuje přesnost modelů strojového učení změnou pouze jediného bitu jejich parametrů. Tato převrácení bitů umožňují uživateli GPU se zlými úmysly manipulovat s daty GPU jiného uživatele ve sdílených, časově omezených prostředích.
Až dosud, Aplikace Rowhammeru na videopaměti byla považována za nepraktická kvůli několika technickým omezením. Fyzické rozložení paměťových buněk v čipech GDDR je obtížné mapovat, latence přístupu jsou až čtyřikrát pomalejší než u konvenčních DRAM a obnovovací frekvence jsou výrazně vyšší. K tomu se přidávají proprietární ochranné mechanismy proti předčasné ztrátě nabití, jejichž reverzní inženýrství vyžadovalo specializované vybavení.
Aby se tyto překážky překonaly, Výzkumníci vyvinuli novou techniku reverzního inženýrství zaměřenou na GDDR DRAMPomocí nízkoúrovňového kódu CUDA provedli útok prostřednictvím specifických optimalizací, které zintenzivnily přístup k určitým paměťovým buňkám a vytvořily tak podmínky pro manipulaci s bity. Klíčem k úspěchu bylo dosažení vysoce organizovaného paralelního výpočtu, který fungoval jako zesilovač tlaku na sousední buňky.
Jak útok funguje?
Útok zneužívá fyzickou slabinu v paměti DRAM, kde intenzivní přístup k řádku paměti (známý jako „hammering“) může způsobit změny v sousedních řádcíchPřestože byla tato zranitelnost identifikována v roce 2014 a rozsáhle studována v paměti CPU DDR, její portování na GPU bylo dosud obtížné kvůli:
- Vysoká přístupová latence GDDR6 (až 4krát vyšší než DDR4).
- Složitost fyzické alokace paměti.
- Přítomnost proprietárních a špatně zdokumentovaných zmírňujících opatření, jako je TRR.
Rowhammer je hardwarová zranitelnost, při které rychlá aktivace jednoho řádku paměti způsobuje překlopení bitů v sousedních řádcích. Od roku 2014 je tato zranitelnost široce studována v procesorech CPU a pamětech založených na CPU, jako jsou DDR3, DDR4 a LPDDR4. Vzhledem k tomu, že kritické úlohy umělé inteligence a strojového učení nyní běží na samostatných grafických procesorech (GPU) v cloudu, je posouzení zranitelnosti paměti GPU vůči útokům Rowhammer zásadní.
Navzdory těmto překážkám, Vědcům se podařilo aplikovat reverzní inženýrství o alokaci virtuální/fyzické paměti v CUDA, Vyvinuli metodu pro identifikaci specifických paměťových bank DRAM a optimalizovaný paralelní přístup s využitím více vláken a warpů, maximalizující rychlost zpracování bez způsobení dodatečné latence.
Důkaz konceptu ukázal, jak může jednobitová změna vah modelů hlubokých neuronových sítí (DNN), konkrétně v exponentech FP16, snížit přesnost modelů klasifikace obrázků na ImageNet z 1 % na 80 %. Toto zjištění je alarmující pro datová centra a cloudové služby provozující úlohy umělé inteligence ve sdílených prostředích s GPU.
Zmírnění a omezení
Společnost NVIDIA potvrdila zranitelnost a doporučuje povolit podporu ECC. (Kód pro opravu chyb) pomocí příkazu nvidia-smi -e 1. Ačkoli Toto opatření může opravit chyby jednobitový, To znamená ztrátu výkonu až o 10 %. a snížení dostupné paměti o 6,25 %. Také nechrání před budoucími útoky zahrnujícími vícenásobné převrácení bitů.
Potvrdili jsme fluktuace bitů Rowhammeru na grafických procesorech NVIDIA A6000 s pamětí GDDR6. Jiné grafické procesory GDDR6, jako například RTX 3080, v našem testování nevykazovaly fluktuace bitů, pravděpodobně kvůli změnám ve dodavateli paměti DRAM, vlastnostem čipu nebo provozním podmínkám, jako je teplota. Ani na grafickém procesoru A100 s pamětí HBM jsme žádné fluktuace nepozorovali.
Tým zdůrazňuje, že GPUHammer byl v současné době ověřen pouze na grafické kartě A6000 s GDDR6., a ne na modelech jako A100 (HBM) nebo RTX 3080. Vzhledem k tomu, že se však jedná o rozšiřitelný útok, jsou další výzkumníci vyzýváni k replikaci a rozšíření analýzy na různé architektury a modely GPU.
A konečně, pokud se o tom chcete dozvědět více, můžete si podrobnosti prohlédnout v následující odkaz.