Muutama päivä sitten tutkijaryhmä julkaisi tietoa ns. ensimmäinen Rowhammer-hyökkäys että on onnistuneesti ohjattu la GDDR6-videomuisti näytönohjaimesta, erityisesti NVIDIA A6000:sta.
Tekniikka, nimeltään GPUHammer, mahdollistaa yksittäisten GPU:n DRAM-muistin bittien manipuloinnin, mikä heikentää merkittävästi koneoppimismallien tarkkuutta muuttamalla vain yhtä bittiä niiden parametreista. Nämä bitinvaihdot mahdollistavat haitallisen GPU-käyttäjän manipuloida toisen käyttäjän GPU-dataa jaetuissa, aikaviipaloiduissa ympäristöissä.
Tähän asti Rowhammerin soveltamista videomuistoihin pidettiin epäkäytännöllisenä useiden teknisten rajoitusten vuoksi. GDDR-sirujen muistisolujen fyysinen asettelu on vaikea kartoittaa, käyttöviiveet ovat jopa neljä kertaa hitaampia kuin perinteisessä DRAM-muistissa ja virkistysnopeudet ovat huomattavasti korkeammat. Tähän lisätään patentoidut suojausmekanismit ennenaikaista varauksen menetystä vastaan, joiden käänteinen suunnittelu vaati erikoislaitteita.
Näiden esteiden voittamiseksi Tutkijat kehittivät uuden käänteisen suunnittelutekniikan, joka kohdistuu GDDR DRAM -muistiin.Käyttäen matalan tason CUDA-koodia he toteuttivat hyökkäyksen optimoimalla tiettyjä muistisoluja tehostamalla pääsyä ja luomalla olosuhteet bittien manipuloinnille. Menestyksen avain oli erittäin organisoitu rinnakkaislaskenta, joka toimi viereisiin soluihin kohdistuvan paineen vahvistimena.
Kuinka hyökkäys toimii?
Hyökkäys hyödyntää DRAM-muistin fyysistä heikkoutta, jossa muistirivin intensiivinen käyttö (tunnetaan nimellä "vasarointi") voi aiheuttaa muutoksia vierekkäisissä riveissäVaikka tämä haavoittuvuus tunnistettiin vuonna 2014 ja sitä tutkittiin laajasti suorittimien DDR-muistissa, sen siirtäminen näytönohjaimiin on toistaiseksi ollut haasteellista seuraavista syistä:
- GDDR6:n korkea käyttöviive (jopa neljä kertaa suurempi kuin DDR4:ssä).
- Muistin fyysisen allokoinnin monimutkaisuus.
- Omien ja huonosti dokumentoitujen lievennyskeinojen, kuten TRR:n, läsnäolo.
Rowhammer on laitteistohaavoittuvuus, jossa yhden muistirivin nopea aktivointi aiheuttaa bitinvaihdoksia vierekkäisillä riveillä. Vuodesta 2014 lähtien tätä haavoittuvuutta on tutkittu laajasti suorittimissa ja suoritinpohjaisissa muisteissa, kuten DDR3-, DDR4- ja LPDDR4-muisteissa. Koska kriittiset tekoäly- ja koneoppimistyökuormat suoritetaan nyt erillisillä näytönohjaimilla pilvessä, näytönohjainmuistin haavoittuvuuden arviointi Rowhammer-hyökkäyksille on kriittistä.
Näistä esteistä huolimatta Tutkijat onnistuivat soveltamaan käänteistä suunnittelua virtuaalisen/fyysisen muistin allokoinnista CUDAssa, He kehittivät menetelmän tiettyjen DRAM-muistipankkien tunnistamiseksi ja optimoitu rinnakkaiskäyttö useiden säikeiden ja loimimenetelmien avulla, maksimoiden vasarointinopeuden aiheuttamatta lisälatenssia.
Konseptitodistus osoitti, kuinka syvän neuroverkon (DNN) mallien painotusten, erityisesti FP16-eksponenttien, yhden bitin käänne voi heikentää ImageNetin kuvien luokittelumallien top-1-tarkkuutta 80 prosentista 0,1 prosenttiin. Tämä havainto on hälyttävä datakeskuksille ja pilvipalveluille, jotka suorittavat tekoälytyökuormia jaetuissa ympäristöissä grafiikkasuorittimien kanssa.
Lievennykset ja rajoitukset
NVIDIA on vahvistanut haavoittuvuuden ja suosittelee ECC-tuen käyttöönottoa. (Virheenkorjauskoodi) komennolla nvidia-smi -e 1. Vaikka Tämä toimenpide voi korjata virheitä yksibittinen Tämä tarkoittaa jopa 10 prosentin suorituskyvyn laskua. ja käytettävissä olevan muistin määrä vähenee 6,25 %. Se ei myöskään suojaa tulevilta useiden bittien kääntöjä sisältäviltä hyökkäyksiltä.
Vahvistimme Rowhammerin bittimäärän vaihteluita NVIDIA A6000 -näytönohjaimissa, joissa on GDDR6-muistia. Muissa GDDR6-näytönohjaimissa, kuten RTX 3080:ssa, ei havaittu bittimäärän vaihteluita testeissämme, mikä saattoi johtua DRAM-toimittajan, sirun ominaisuuksien tai käyttöolosuhteiden, kuten lämpötilan, vaihteluista. Emme myöskään havainneet vaihteluita A100-näytönohjaimessa, jossa on HBM-muistia.
Joukkue korostaa, että GPUHammer on tällä hetkellä testattu vain A6000-näytönohjaimella, jossa on GDDR6-muisti., eikä malleissa, kuten A100 (HBM) tai RTX 3080. Koska kyseessä on kuitenkin laajennettava hyökkäys, muita tutkijoita kannustetaan toistamaan ja laajentamaan analyysiä eri GPU-arkkitehtuureilla ja -malleilla.
Lopuksi, jos olet kiinnostunut oppimaan siitä lisää, voit tutustua yksityiskohtiin osoitteessa seuraava linkki.