Kilka dni temu zespół badaczy opublikował informacje na temat rozwoju pierwszy atak Rowhammer oferuje nasz konfigurator został pomyślnie skierowany do la Pamięć wideo GDDR6 procesora graficznego, konkretnie NVIDIA A6000.
Technika, nazwany GPUHammer, umożliwia manipulację pojedynczymi bitami w pamięci DRAM procesora graficznego, drastycznie obniżając dokładność modeli uczenia maszynowego poprzez zmianę zaledwie jednego bitu ich parametrów. Te przeskoki bitowe pozwalają złośliwemu użytkownikowi procesora graficznego manipulować danymi GPU innego użytkownika w środowiskach współdzielonych i podzielonych czasowo.
Do tej pory Zastosowanie Rowhammera do pamięci wideo uznano za niepraktyczne Z powodu kilku ograniczeń technicznych. Fizyczne rozmieszczenie komórek pamięci w układach GDDR jest trudne do odwzorowania, opóźnienia dostępu są nawet czterokrotnie wolniejsze niż w konwencjonalnej pamięci DRAM, a częstotliwości odświeżania są znacznie wyższe. Do tego dochodzą opatentowane mechanizmy zabezpieczające przed przedwczesną utratą ładunku, których inżynieria wsteczna wymagała specjalistycznego sprzętu.
Aby pokonać te przeszkody, Naukowcy opracowali nową technikę inżynierii wstecznej ukierunkowaną na pamięć GDDR DRAMWykorzystując niskopoziomowy kod CUDA, przeprowadzili atak poprzez specyficzne optymalizacje, które zintensyfikowały dostęp do określonych komórek pamięci, tworząc warunki sprzyjające manipulacji bitami. Kluczem do sukcesu było osiągnięcie wysoce zorganizowanego przetwarzania równoległego, które działało jak wzmacniacz presji na sąsiednie komórki.
Jak działa atak?
Atak wykorzystuje słabość fizyczną pamięci DRAM, gdzie intensywny dostęp do wiersza pamięci (znany jako „młotkowanie”) może wywołać zmiany w sąsiednich rzędachChociaż tę lukę w zabezpieczeniach zidentyfikowano w 2014 r. i dokładnie zbadano w pamięci DDR procesorów, przeniesienie jej na procesory graficzne dotychczas było wyzwaniem ze względu na:
- Duże opóźnienie dostępu pamięci GDDR6 (nawet 4-krotnie wyższe niż w przypadku DDR4).
- Złożoność fizycznego przydzielania pamięci.
- Obecność zastrzeżonych i słabo udokumentowanych środków zaradczych, takich jak TRR.
Rowhammer to luka sprzętowa, w której szybka aktywacja jednego wiersza pamięci powoduje przeskok bitów w sąsiednich wierszach. Od 2014 roku luka ta jest szeroko badana w procesorach i pamięciach opartych na procesorach, takich jak DDR3, DDR4 i LPDDR4. Jednak, ponieważ krytyczne obciążenia sztucznej inteligencji i uczenia maszynowego są obecnie uruchamiane na oddzielnych procesorach graficznych w chmurze, ocena podatności pamięci GPU na ataki Rowhammer jest kluczowa.
Pomimo tych przeszkód, Naukowcom udało się zastosować inżynierię odwrotną o alokacji pamięci wirtualnej/fizycznej w CUDA, Opracowali metodę identyfikacji konkretnych banków pamięci DRAM i zoptymalizowano dostęp równoległy, wykorzystując wiele wątków i osnów, maksymalizując częstotliwość uderzeń bez powodowania dodatkowych opóźnień.
Dowód słuszności koncepcji pokazał, jak jednobitowa zmiana wag modeli głębokiej sieci neuronowej (DNN), szczególnie w wykładnikach FP16, może obniżyć dokładność top-1 modeli klasyfikacji obrazów w ImageNet z 80% do 0,1%. To odkrycie jest alarmujące dla centrów danych i usług chmurowych obsługujących obciążenia AI w środowiskach współdzielonych z procesorami GPU.
Ograniczenia i środki łagodzące
Firma NVIDIA potwierdziła istnienie luki w zabezpieczeniach i zaleca włączenie obsługi ECC. (Kod korygujący błędy) za pomocą polecenia nvidia-smi -e 1. Chociaż Ten środek może korygować błędy jednobitowy, Oznacza to spadek wydajności nawet o 10%. i 6,25% redukcję dostępnej pamięci. Nie chroni również przed przyszłymi atakami obejmującymi wielokrotne przewracanie bitów.
Potwierdziliśmy fluktuacje bitowe Rowhammera na procesorach graficznych NVIDIA A6000 z pamięcią GDDR6. Inne procesory graficzne GDDR6, takie jak RTX 3080, nie wykazywały fluktuacji bitowych podczas naszych testów, prawdopodobnie ze względu na różnice w producentach pamięci DRAM, charakterystykę układów lub warunki pracy, takie jak temperatura. Nie zaobserwowaliśmy również żadnych fluktuacji na procesorze graficznym A100 z pamięcią HBM.
Zespół podkreśla, że Obecnie GPUHammer został zweryfikowany wyłącznie na procesorze graficznym A6000 z pamięcią GDDR6, a nie na modelach takich jak A100 (HBM) czy RTX 3080. Ponieważ jednak jest to atak rozszerzalny, zachęcamy innych badaczy do powtórzenia i rozszerzenia analizy na inne architektury i modele GPU.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się ze szczegółami w następujący link.