Πριν από λίγες ημέρες, δημοσιεύθηκαν πληροφορίες από μια ομάδα ερευνητών σχετικά με την ανάπτυξη του πρώτη επίθεση Rowhammer ότι έχει κατευθυνθεί με επιτυχία σε la Μνήμη βίντεο GDDR6 μιας GPU, και συγκεκριμένα μιας NVIDIA A6000.
Η τεχνική, με την ονομασία GPUHammer, επιτρέπει την παραποίηση μεμονωμένων bit στη μνήμη DRAM της GPU, υποβαθμίζοντας δραστικά την ακρίβεια των μοντέλων μηχανικής μάθησης αλλάζοντας μόνο ένα bit των παραμέτρων τους. Αυτές οι αλλαγές bit επιτρέπουν σε έναν κακόβουλο χρήστη GPU να χειραγωγήσει τα δεδομένα GPU ενός άλλου χρήστη σε κοινόχρηστα, χρονικά περιορισμένα περιβάλλοντα.
Μέχρι τώρα, Η εφαρμογή του Rowhammer σε βιντεομνήμες θεωρήθηκε μη πρακτική. λόγω αρκετών τεχνικών περιορισμών. Η φυσική διάταξη των κελιών μνήμης στα τσιπ GDDR είναι δύσκολο να χαρτογραφηθεί, οι καθυστερήσεις πρόσβασης είναι έως και τέσσερις φορές πιο αργές από ό,τι στις συμβατικές DRAM και οι ρυθμοί ανανέωσης είναι σημαντικά υψηλότεροι. Σε αυτό προστίθενται οι ιδιόκτητοι μηχανισμοί προστασίας από την πρόωρη απώλεια φόρτισης, η αντίστροφη μηχανική των οποίων απαιτούσε εξειδικευμένο εξοπλισμό.
Για να ξεπεράσουμε αυτά τα εμπόδια, Ερευνητές ανέπτυξαν μια νέα τεχνική αντίστροφης μηχανικής που στοχεύει σε GDDR DRAMΧρησιμοποιώντας κώδικα CUDA χαμηλού επιπέδου, εκτέλεσαν την επίθεση μέσω συγκεκριμένων βελτιστοποιήσεων που ενέτειναν την πρόσβαση σε ορισμένα κελιά μνήμης, δημιουργώντας συνθήκες που ευνοούσαν τον χειρισμό των bit. Το κλειδί της επιτυχίας έγκειται στην επίτευξη εξαιρετικά οργανωμένου παράλληλου υπολογισμού, ο οποίος λειτουργούσε ως ενισχυτής της πίεσης στα γειτονικά κελιά.
Πώς λειτουργεί η επίθεση;
Η επίθεση εκμεταλλεύεται μια φυσική αδυναμία στη μνήμη DRAM, όπου η εντατική πρόσβαση σε μια γραμμή μνήμης (γνωστή ως «σφυριάρισμα») μπορεί να προκαλέσει αλλοιώσεις σε γειτονικές σειρέςΠαρόλο που αυτό το κενό ασφαλείας εντοπίστηκε το 2014 και μελετήθηκε εκτενώς στη μνήμη DDR της CPU, η μεταφορά του σε GPU αποτελεί μέχρι στιγμής μια πρόκληση λόγω:
- Η υψηλή καθυστέρηση πρόσβασης της GDDR6 (έως και 4 φορές υψηλότερη από την DDR4).
- Η πολυπλοκότητα στην φυσική κατανομή της μνήμης.
- Η παρουσία ιδιόκτητων και ελάχιστα τεκμηριωμένων μετριασμών, όπως το TRR.
Το Rowhammer είναι μια ευπάθεια υλικού στην οποία η ταχεία ενεργοποίηση μιας γραμμής μνήμης προκαλεί αναστροφές bit σε γειτονικές γραμμές. Από το 2014, αυτή η ευπάθεια έχει μελετηθεί εκτενώς σε CPU και μνήμες που βασίζονται σε CPU, όπως DDR3, DDR4 και LPDDR4. Ωστόσο, καθώς κρίσιμα φόρτα εργασίας τεχνητής νοημοσύνης και μηχανικής μάθησης εκτελούνται πλέον σε διακριτές GPU στο cloud, η αξιολόγηση της ευπάθειας της μνήμης GPU σε επιθέσεις Rowhammer είναι κρίσιμη.
Παρά τα εμπόδια αυτά, η Οι ερευνητές κατάφεραν να εφαρμόσουν την αντίστροφη μηχανική στην κατανομή εικονικής/φυσικής μνήμης στο CUDA, Ανέπτυξαν μια μέθοδο για τον εντοπισμό συγκεκριμένων τραπεζών μνήμης DRAM και βελτιστοποίησε την παράλληλη πρόσβαση χρησιμοποιώντας πολλαπλά νήματα και στρεβλώσεις, μεγιστοποιώντας τον ρυθμό σφυρηλάτησης χωρίς να προκαλεί πρόσθετη καθυστέρηση.
Η απόδειξη της ιδέας έδειξε πώς μια αναστροφή ενός bit στα βάρη μοντέλων βαθέων νευρωνικών δικτύων (DNN), ειδικά στους εκθέτες FP16, μπορεί να υποβαθμίσει την κορυφαία ακρίβεια των μοντέλων ταξινόμησης εικόνων στο ImageNet από 1% σε 80%. Αυτό το εύρημα είναι ανησυχητικό για τα κέντρα δεδομένων και τις υπηρεσίες cloud που εκτελούν φόρτους εργασίας AI σε κοινόχρηστα περιβάλλοντα με GPU.
Μετριασμοί και περιορισμοί
Η NVIDIA επιβεβαίωσε την ευπάθεια και συνιστά την ενεργοποίηση της υποστήριξης ECC. (Κωδικός Διόρθωσης Σφάλματος) χρησιμοποιώντας την εντολή nvidia-smi -e 1. Αν και Αυτό το μέτρο μπορεί να διορθώσει σφάλματα μονόμπιτο, Αυτό συνεπάγεται απώλεια απόδοσης έως και 10%. και μείωση 6,25% στη διαθέσιμη μνήμη. Επίσης, δεν προστατεύει από μελλοντικές επιθέσεις που περιλαμβάνουν πολλαπλές αναστροφές bit.
Επιβεβαιώσαμε διακυμάνσεις bit Rowhammer σε GPU NVIDIA A6000 με μνήμη GDDR6. Άλλες GPU GDDR6, όπως η RTX 3080, δεν παρουσίασαν διακυμάνσεις bit στις δοκιμές μας, πιθανώς λόγω διακυμάνσεων στον κατασκευαστή της DRAM, στα χαρακτηριστικά του τσιπ ή στις συνθήκες λειτουργίας, όπως η θερμοκρασία. Επίσης, δεν παρατηρήσαμε καμία διακύμανση σε μια GPU A100 με μνήμη HBM.
Η ομάδα τονίζει ότι Το GPUHammer έχει επαληθευτεί προς το παρόν μόνο στην GPU A6000 με GDDR6.και όχι σε μοντέλα όπως το A100 (HBM) ή το RTX 3080. Ωστόσο, δεδομένου ότι πρόκειται για μια επεκτάσιμη επίθεση, ενθαρρύνονται άλλοι ερευνητές να αναπαράγουν και να επεκτείνουν την ανάλυση σε διαφορετικές αρχιτεκτονικές και μοντέλα GPU.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο παρακάτω σύνδεσμο.