Prieš kelias dienas tyrėjų komanda paskelbė informaciją apie plėtrą. pirmoji Rowhammer ataka kad buvo sėkmingai nukreiptas į la GDDR6 vaizdo atmintis GPU, konkrečiai „NVIDIA A6000“.
Technika pramintas GPUHammer, leidžia manipuliuoti atskirais GPU DRAM bitais, drastiškai sumažinant mašininio mokymosi modelių tikslumą pakeičiant vos vieną jų parametro bitą. Šie bitų pakeitimai leidžia kenkėjiškam GPU vartotojui manipuliuoti kito vartotojo GPU duomenimis bendrose, laiko atžvilgiu suskirstytose aplinkose.
Iki šiol „Rowhammer“ taikymas vaizdo atmintims buvo laikomas nepraktišku dėl kelių techninių apribojimų. GDDR lustų atminties elementų fizinį išdėstymą sunku susieti, prieigos delsa yra iki keturių kartų lėtesnė nei įprastoje DRAM atmintyje, o atnaujinimo dažnis yra žymiai didesnis. Be to, yra patentuoti apsaugos mechanizmai nuo priešlaikinio įkrovos praradimo, kurių atvirkštinei inžinerijai reikėjo specializuotos įrangos.
Norint įveikti šias kliūtis, Tyrėjai sukūrė naują atvirkštinės inžinerijos techniką, skirtą GDDR DRAMNaudodami žemo lygio CUDA kodą, jie įvykdė ataką taikydami specifinius optimizavimus, kurie sustiprino prieigą prie tam tikrų atminties langelių, sudarydami palankias sąlygas bitų manipuliavimui. Sėkmės raktas buvo pasiekti labai organizuotą lygiagretų skaičiavimų veikimą, kuris sustiprino spaudimą gretimoms ląstelėms.
Kaip vyksta ataka?
Ataka išnaudoja fizinį DRAM silpnumą, kur intensyvi prieiga prie atminties eilutės (vadinama „kalimu“) gali sukelti gretimų eilučių pokyčiusNors ši pažeidžiamumas buvo nustatytas 2014 m. ir nuodugniai ištirtas procesoriaus DDR atmintyje, jo perkėlimas į vaizdo plokštes iki šiol buvo sudėtingas dėl:
- Didelė GDDR6 atminties prieigos delsa (iki 4 kartų didesnė nei DDR4).
- Fizinio atminties paskirstymo sudėtingumas.
- Nuosavybės teise paremtų ir prastai dokumentuotų rizikos mažinimo priemonių, tokių kaip TRR, buvimas.
„Rowhammer“ yra aparatinės įrangos pažeidžiamumas, kai greitai aktyvavus vieną atminties eilutę, gretimose eilutėse įvyksta bitų apvertimas. Nuo 2014 m. šis pažeidžiamumas buvo plačiai tiriamas centriniuose procesoriuose ir centrinių procesorių pagrindu veikiančioje atmintyje, tokioje kaip DDR3, DDR4 ir LPDDR4. Tačiau kadangi dabar svarbiausios dirbtinio intelekto ir mašininio mokymosi darbo krūviai vykdomi atskiruose debesies GPU, labai svarbu įvertinti GPU atminties pažeidžiamumą „Rowhammer“ atakoms.
Nepaisant šių kliūčių, Tyrėjams pavyko pritaikyti atvirkštinę inžineriją apie virtualios / fizinės atminties paskirstymą CUDA, Jie sukūrė metodą, skirtą identifikuoti konkrečius DRAM atminties bankus. ir optimizuota lygiagreti prieiga naudojant kelis gijas ir metmenis, maksimaliai padidinant kalimo greitį nesukeliant papildomo delsos.
Koncepcijos įrodymas parodė, kaip vieno bito apvertimas giliųjų neuroninių tinklų (DNN) modelių svoriuose, ypač FP16 eksponentuose, gali sumažinti „ImageNet“ vaizdų klasifikavimo modelių tikslumą tarp viršutinių ir apatinių nuo 1 % iki 80 %. Šis atradimas kelia nerimą duomenų centrams ir debesijos paslaugoms, kuriose dirbtinio intelekto darbo krūviai vykdomi bendrose aplinkose su GPU.
Švelninimai ir apribojimai
„NVIDIA“ patvirtino pažeidžiamumą ir rekomenduoja įjungti ECC palaikymą. (Klaidų taisymo kodas) naudojant komandą nvidia-smi -e 1. Nors Ši priemonė gali ištaisyti klaidas vieno bito, Tai reiškia iki 10 % našumo sumažėjimą. ir 6,25 % sumažinta laisva atmintis. Tai taip pat neapsaugo nuo būsimų atakų, susijusių su keliais bitų apvertimais.
„Rowhammer“ bitų dažnio svyravimus patvirtinome „NVIDIA A6000“ vaizdo plokštėse su GDDR6 atmintimi. Kitos GDDR6 vaizdo plokštės, tokios kaip „RTX 3080“, mūsų bandymų metu bitų dažnio svyravimų neparodė, galbūt dėl DRAM tiekėjo, lustų charakteristikų ar eksploatavimo sąlygų, tokių kaip temperatūra, skirtumų. Taip pat nepastebėjome jokių svyravimų „A100“ vaizdo plokštėje su HBM atmintimi.
Komanda pabrėžia, kad „GPUHammer“ šiuo metu buvo patikrintas tik su A6000 GPU su GDDR6., o ne tokiuose modeliuose kaip A100 (HBM) ar RTX 3080. Tačiau kadangi tai yra išplečiama ataka, kiti tyrėjai raginami pakartoti ir išplėsti analizę su skirtingomis GPU architektūromis ir modeliais.
Galiausiai, jei norite sužinoti daugiau apie tai, galite peržiūrėti išsamią informaciją sekanti nuoroda.