Néhány nappal ezelőtt egy kutatócsoport közzétett információkat a fejlesztéséről első Rowhammer támadás hogy sikeresen irányították a la GDDR6 videó memória egy GPU-ról, konkrétan egy NVIDIA A6000-ről.
A technika, GPUHammer névenlehetővé teszi a GPU DRAM-jában lévő egyes bitek manipulálását, drasztikusan rontva a gépi tanulási modellek pontosságát egyetlen bit paraméterének megváltoztatásával. Ezek a bitcserék lehetővé teszik egy rosszindulatú GPU-felhasználó számára, hogy egy másik felhasználó GPU-adatait manipulálja megosztott, időben szeletelt környezetekben.
Eddig, A Rowhammer videómemóriákra való alkalmazását nem tartották praktikusnak számos technikai korlát miatt. A GDDR chipek memóriacelláinak fizikai elrendezése nehezen feltérképezhető, az elérési késleltetések akár négyszer lassabbak is lehetnek, mint a hagyományos DRAM-okban, és a frissítési gyakoriság jelentősen magasabb. Ehhez járulnak még a korai töltésveszteség elleni saját fejlesztésű védelmi mechanizmusok, amelyek visszafejtéséhez speciális berendezésekre volt szükség.
Hogy leküzdjem ezeket az akadályokat, A kutatók egy új, a GDDR DRAM-okat célzó reverz mérnöki technikát fejlesztettek kiAlacsony szintű CUDA kódot használva, specifikus optimalizálásokkal hajtották végre a támadást, amelyek fokozták a hozzáférést bizonyos memóriacellákhoz, elősegítve a bitmanipulációt. A siker kulcsa a magasan szervezett párhuzamos számítástechnika elérésében rejlett, amely a szomszédos cellákra nehezedő nyomás felerősítéseként működött.
Hogyan működik a támadás?
A támadás kihasználja a DRAM fizikai gyengeségét, ahol intenzív hozzáférés történik egy memória sorhoz (ún. „kalapálás”) változásokat okozhat a szomszédos sorokbanBár ezt a sebezhetőséget 2014-ben azonosították és alaposan tanulmányozták a CPU DDR memóriájában, a GPU-kra való portolása eddig kihívást jelentett a következők miatt:
- A GDDR6 magas hozzáférési késleltetése (akár négyszer magasabb, mint a DDR4-é).
- A memória fizikai elosztásának összetettsége.
- Saját fejlesztésű és rosszul dokumentált enyhítő megoldások, például a TRR jelenléte.
A Rowhammer egy hardveres sebezhetőség, amelyben egy memóriasor gyors aktiválása bitcseréket okoz a szomszédos sorokban. 2014 óta ezt a sebezhetőséget széles körben tanulmányozták CPU-kban és CPU-alapú memóriákban, például DDR3, DDR4 és LPDDR4 memóriákban. Mivel azonban a kritikus mesterséges intelligencia és gépi tanulási feladatok ma már különálló GPU-kon futnak a felhőben, kritikus fontosságú a GPU-memória Rowhammer támadásokkal szembeni sebezhetőségének felmérése.
Ezen akadályok ellenére a A kutatóknak sikerült visszafejteni a technológiát a virtuális/fizikai memória kiosztásáról CUDA-ban, Kifejlesztettek egy módszert bizonyos DRAM memóriabankok azonosítására és optimalizált párhuzamos hozzáférés több szál és warp használatával, maximalizálva a kalapálási sebességet további késleltetés okozása nélkül.
A koncepcióbizonyítás bemutatta, hogy a mély neurális hálózati (DNN) modell súlyozásának, különösen az FP16 kitevőinek egybites átfordítása hogyan ronthatja az ImageNet képosztályozási modellek top-1 pontosságát 80%-ról 0,1%-ra. Ez a megállapítás riasztó az adatközpontok és a felhőszolgáltatások számára, amelyek mesterséges intelligenciával működő munkafolyamatokat futtatnak megosztott környezetekben GPU-kkal.
Enyhítések és korlátozások
Az NVIDIA megerősítette a sebezhetőséget, és az ECC támogatás engedélyezését javasolja. (Hibajavító kód) az nvidia-smi -e 1 parancs használatával. Bár Ez az intézkedés kijavíthatja a hibákat egybites, Ez akár 10%-os teljesítménycsökkenést is jelenthet. és a rendelkezésre álló memória 6,25%-os csökkenését. Ez nem véd a több bites átfordítást magában foglaló jövőbeli támadások ellen sem.
Megerősítettük a Rowhammer bitsebesség-ingadozásokat az NVIDIA A6000 GPU-kon GDDR6 memóriával. Más GDDR6 GPU-k, mint például az RTX 3080, nem mutattak bitsebesség-ingadozásokat a tesztelésünk során, valószínűleg a DRAM gyártójának, a chip jellemzőinek vagy az olyan üzemi körülményeknek, mint a hőmérséklet, eltérései miatt. Egy A100 GPU-n sem figyeltünk meg semmilyen ingadozást HBM memóriával.
A csapat kiemeli, hogy A GPUHammer jelenleg csak GDDR6000 memóriával rendelkező A6 GPU-n tesztelt., és nem olyan modelleken, mint az A100 (HBM) vagy az RTX 3080. Mivel azonban ez egy kiterjeszthető támadás, más kutatókat arra ösztönöznek, hogy replikálják és bővítsék ki az elemzést különböző GPU-architektúrákon és modelleken.
Végül, ha többet szeretne megtudni róla, a részleteket a következő link.