Prije nekoliko dana, tim istraživača objavio je informacije o razvoju prvi napad Rowhammera ovo uspješno je usmjeren na la GDDR6 video memorija GPU-a, točnije NVIDIA A6000.
Tehnika, nazvan GPUHammer, omogućuje manipuliranje pojedinačnim bitovima u DRAM-u GPU-a, drastično smanjujući točnost modela strojnog učenja promjenom samo jednog bita njihovih parametara. Ove zamjene bitova omogućuju zlonamjernom korisniku GPU-a manipuliranje podacima GPU-a drugog korisnika u dijeljenim, vremenski ograničenim okruženjima.
Do sada, Primjena Rowhammera na video memorije smatrala se nepraktičnom zbog nekoliko tehničkih ograničenja. Fizički raspored memorijskih ćelija u GDDR čipovima teško je mapirati, latencije pristupa su do četiri puta sporije nego u konvencionalnom DRAM-u, a brzine osvježavanja su znatno veće. Tome se dodaju vlasnički mehanizmi zaštite od preranog gubitka napunjenosti, čiji je obrnuti inženjering zahtijevao specijaliziranu opremu.
Da bi se prevladale ove prepreke, Istraživači su razvili novu tehniku reverznog inženjeringa usmjerenu na GDDR DRAMKoristeći CUDA kod niske razine, izvršili su napad putem specifičnih optimizacija koje su intenzivirale pristup određenim memorijskim ćelijama, stvarajući uvjete pogodne za manipulaciju bitovima. Ključ uspjeha ležao je u postizanju visoko organiziranog paralelnog računanja, koje je djelovalo kao pojačalo pritiska na susjedne ćelije.
Kako djeluje napad?
Napad iskorištava fizičku slabost u DRAM-u, gdje je intenzivan pristup memorijskom retku (poznat kao "čekić") može izazvati promjene u susjednim redovimaIako je ova ranjivost identificirana 2014. godine i opsežno proučavana u CPU DDR memoriji, njezino prenošenje na GPU-ove do sada je predstavljalo izazov zbog:
- Visoka latencija pristupa GDDR6 memorije (do 4 puta veća od DDR4).
- Složenost fizičke alokacije memorije.
- Prisutnost vlasničkih i slabo dokumentiranih ublažavanja, kao što je TRR.
Rowhammer je hardverska ranjivost u kojoj brza aktivacija jednog reda memorije uvodi zamjene bitova u susjednim redovima. Od 2014. godine ova se ranjivost opsežno proučava u CPU-ima i memoriji temeljenoj na CPU-u, kao što su DDR3, DDR4 i LPDDR4. Međutim, budući da se kritična opterećenja umjetne inteligencije i strojnog učenja sada izvode na diskretnim GPU-ima u oblaku, procjena ranjivosti GPU memorije na Rowhammer napade je ključna.
Unatoč tim preprekama, Istraživači su uspjeli primijeniti obrnuti inženjering o alokaciji virtualne/fizičke memorije u CUDA-i, Razvili su metodu za identifikaciju specifičnih DRAM memorijskih banaka i optimiziran paralelni pristup korištenjem više niti i warpova, maksimizirajući brzinu hammeringa bez uzrokovanja dodatne latencije.
Dokaz koncepta pokazao je kako promjena težina modela duboke neuronske mreže (DNN) za jedan bit, posebno u FP16 eksponentima, može smanjiti točnost modela klasifikacije slika na ImageNetu s 1% na 80%. Ovo otkriće je alarmantno za podatkovne centre i usluge u oblaku koje izvode AI opterećenja u dijeljenim okruženjima s GPU-ima.
Ublažavanja i ograničenja
NVIDIA je potvrdila ranjivost i preporučuje omogućavanje ECC podrške. (Kod za ispravljanje pogrešaka) pomoću naredbe nvidia-smi -e 1. Iako Ova mjera može ispraviti greške jednobitni, To podrazumijeva gubitak performansi do 10%. i smanjenje dostupne memorije od 6,25%. Također ne štiti od budućih napada koji uključuju višestruke promjene bitova.
Potvrdili smo fluktuacije bitova u Rowhammeru na NVIDIA A6000 GPU-ima s GDDR6 memorijom. Drugi GDDR6 GPU-i, poput RTX 3080, nisu pokazali fluktuacije bitova u našem testiranju, moguće zbog varijacija u dobavljaču DRAM-a, karakteristikama čipa ili radnim uvjetima poput temperature. Također nismo primijetili nikakve fluktuacije na A100 GPU-u s HBM memorijom.
Tim ističe da GPUHammer je trenutno verificiran samo na A6000 GPU-u s GDDR6, a ne na modelima poput A100 (HBM) ili RTX 3080. Međutim, budući da se radi o proširivom napadu, potiče se druge istraživače da repliciraju i prošire analizu na različitim arhitekturama i modelima GPU-a.
Na kraju, ako ste zainteresirani da saznate više o tome, možete pogledati pojedinosti u sljedeći link.