Mõni päev tagasi avaldas teadlaste meeskond teavet selle arendamise kohta. esimene Rowhammeri rünnak et on edukalt suunatud la GDDR6 videomälu GPU-st, täpsemalt NVIDIA A6000-st.
Tehnika dubleeritud GPUHammer, võimaldab GPU DRAM-i üksikute bittide manipuleerimist, halvendades drastiliselt masinõppemudelite täpsust, muutes vaid ühte bitti nende parameetritest. Need bitivahetused võimaldavad pahatahtlikul GPU kasutajal manipuleerida teise kasutaja GPU andmetega jagatud, ajaliselt piiratud keskkondades.
Siiani Rowhammeri rakendamist videomäludele peeti ebapraktiliseks mitmete tehniliste piirangute tõttu. GDDR-kiipide mäluelementide füüsilist paigutust on keeruline kaardistada, juurdepääsu latentsusajad on kuni neli korda aeglasemad kui tavapärases DRAM-is ja värskendussagedused on oluliselt kõrgemad. Lisaks on olemas patenteeritud kaitsemehhanismid enneaegse laengukao vastu, mille pöördprojekteerimine nõudis spetsiaalset varustust.
Nende takistuste ületamiseks Teadlased töötasid välja uue pöördprojekteerimise tehnika, mis on suunatud GDDR DRAM-ileKasutades madala taseme CUDA koodi, viisid nad rünnaku ellu spetsiifiliste optimeerimiste abil, mis intensiivistasid juurdepääsu teatud mälurakkudele, luues tingimused bitimanipulatsiooniks. Edu võti peitus kõrgelt organiseeritud paralleelarvutuse saavutamises, mis toimis külgnevatele rakkudele avaldatava surve võimendajana.
Kuidas rünnak toimib?
Rünnak kasutab ära DRAM-i füüsilist nõrkust, kus intensiivne juurdepääs mälureale (tuntud kui "hammerdamine") võib põhjustada muutusi külgnevates ridadesKuigi see haavatavus tuvastati 2014. aastal ja seda uuriti põhjalikult protsessori DDR-mälus, on selle portimine graafikaprotsessoritesse seni olnud keeruline järgmistel põhjustel:
- GDDR6 kõrge juurdepääsu latentsusaeg (kuni 4 korda kõrgem kui DDR4-l).
- Mälu füüsilise jaotuse keerukus.
- Omandiõigusega kaitstud ja halvasti dokumenteeritud leevendusmeetmete, näiteks TRR, olemasolu.
Rowhammer on riistvaraline haavatavus, mille korral ühe mälurea kiire aktiveerimine põhjustab külgnevates ridades bitivahetusi. Alates 2014. aastast on seda haavatavust laialdaselt uuritud protsessorites ja protsessoripõhises mälus, näiteks DDR3, DDR4 ja LPDDR4. Kuna aga kriitilised tehisintellekti ja masinõppe töökoormused töötavad nüüd pilves diskreetsetel GPU-del, on GPU mälu haavatavuse hindamine Rowhammeri rünnakute suhtes kriitilise tähtsusega.
Vaatamata neile takistustele on Teadlastel õnnestus rakendada pöördprojekteerimist virtuaalse/füüsilise mälu eraldamise kohta CUDA-s, Nad töötasid välja meetodi konkreetsete DRAM-mälupankade tuvastamiseks. ja optimeeritud paralleeljuurdepääs mitme lõime ja warp-meetodi abil, maksimeerides haamrikiirust ilma täiendavat latentsust tekitamata.
Kontseptsioonitõestus näitas, kuidas süvaneuraalvõrgu (DNN) mudeli kaalude, täpsemalt FP16 eksponentide ühebitine pööre võib ImageNetis piltide klassifitseerimise mudelite top-1 täpsust vähendada 80%-lt 0,1%-le. See leid on murettekitav andmekeskuste ja pilveteenuste jaoks, mis käitavad tehisintellekti töökoormusi jagatud keskkondades GPU-dega.
Leevendavad tegurid ja piirangud
NVIDIA on haavatavuse kinnitanud ja soovitab lubada ECC toe. (Veaparanduskood) käsuga nvidia-smi -e 1. Kuigi See meede aitab vigu parandada ühe bitiga See tähendab kuni 10% jõudluse langust. ja saadaoleva mälu vähenemine 6,25%. Samuti ei kaitse see tulevaste rünnakute eest, mis hõlmavad mitut biti ümberpööramist.
Me kinnitasime Rowhammeri bitikiiruse kõikumisi NVIDIA A6000 GPU-del GDDR6 mäluga. Teised GDDR6 GPU-d, näiteks RTX 3080, ei näidanud meie testides bitikiiruse kõikumisi, mis võib olla tingitud DRAM-i tootja, kiibi omaduste või töötingimuste (nt temperatuur) erinevustest. Samuti ei täheldanud me mingeid kõikumisi A100 GPU-l HBM mäluga.
Meeskond rõhutab, et GPUHammerit on praegu testitud ainult GDDR6000-ga A6 GPU-l., mitte sellistel mudelitel nagu A100 (HBM) või RTX 3080. Kuna tegemist on laiendatava rünnakuga, julgustatakse teisi uurijaid analüüsi korrata ja laiendada erinevatel GPU arhitektuuridel ja mudelitel.
Lõpuks, kui olete huvitatud selle kohta lisateabe saamiseks, vaadake üksikasju jaotisest järgmine link.