Несколько дней назад группа исследователей опубликовала информацию о разработке первая атака Роухаммера что был успешно направлен la Видеопамять GDDR6 графического процессора, в частности NVIDIA A6000.
Техника, получивший название GPUHammer, позволяет манипулировать отдельными битами в оперативной памяти графического процессора, что значительно снижает точность моделей машинного обучения, изменяя всего один бит их параметров. Эти инвертирования битов позволяют злоумышленнику, использующему графический процессор, манипулировать данными другого пользователя в общих временных интервалах.
До сих пор, Применение Rowhammer к видеопамяти считалось нецелесообразным Из-за ряда технических ограничений. Физическая компоновка ячеек памяти в чипах GDDR сложно поддаётся картографированию, задержки доступа до четырёх раз меньше, чем в обычной DRAM, а частоты обновления значительно выше. Кроме того, существуют фирменные механизмы защиты от преждевременной потери заряда, для реверс-инжиниринга которых требуется специализированное оборудование.
Чтобы преодолеть эти препятствия, Исследователи разработали новый метод обратного проектирования, ориентированный на GDDR DRAMИспользуя низкоуровневый код CUDA, они провели атаку посредством специальных оптимизаций, которые интенсифицируют доступ к определённым ячейкам памяти, создавая условия, благоприятствующие манипуляции битами. Ключом к успеху стало достижение высокоорганизованных параллельных вычислений, которые действовали как усилитель нагрузки на соседние ячейки.
Как работает атака?
Атака использует физическую слабость DRAM, где интенсивный доступ к строке памяти (известный как «молотковый») может вызывать изменения в соседних рядахХотя эта уязвимость была обнаружена в 2014 году и тщательно изучена в памяти DDR ЦП, ее перенос на графические процессоры до сих пор представлял собой проблему по следующим причинам:
- Высокая задержка доступа GDDR6 (до 4 раз выше, чем DDR4).
- Сложность физического распределения памяти.
- Наличие фирменных и плохо документированных мер по смягчению последствий, таких как TRR.
Rowhammer — это аппаратная уязвимость, при которой быстрая активация одной строки памяти приводит к перевороту битов в соседних строках. С 2014 года эта уязвимость широко изучается в процессорах и памяти на базе процессоров, такой как DDR3, DDR4 и LPDDR4. Однако, поскольку критически важные задачи искусственного интеллекта и машинного обучения теперь выполняются на дискретных графических процессорах в облаке, оценка уязвимости памяти графических процессоров к атакам Rowhammer имеет решающее значение.
Несмотря на эти препятствия, Исследователям удалось применить обратную разработку о распределении виртуальной/физической памяти в CUDA, Они разработали метод идентификации конкретных банков памяти DRAM. и оптимизированный параллельный доступ с использованием нескольких потоков и варпов, что максимизирует скорость обработки без возникновения дополнительных задержек.
Подтверждение концепции показало, как однобитовое изменение весовых коэффициентов модели глубокой нейронной сети (DNN), в частности, экспонент FP16, может снизить точность моделей классификации изображений в ImageNet с 1% до 80%. Это открытие вызывает тревогу для центров обработки данных и облачных сервисов, выполняющих задачи ИИ в общих средах с использованием графических процессоров.
Смягчения и ограничения
NVIDIA подтвердила наличие уязвимости и рекомендует включить поддержку ECC. (код исправления ошибок) с помощью команды nvidia-smi -e 1. Хотя Эта мера может исправить ошибки однобитный, Это подразумевает потерю производительности до 10%. и сокращение объёма доступной памяти на 6,25%. Кроме того, это не защищает от будущих атак, включающих множественные перестановки битов.
Мы подтвердили наличие битовых флуктуаций Rowhammer на видеокартах NVIDIA A6000 с памятью GDDR6. Другие видеокарты GDDR6, такие как RTX 3080, не демонстрировали битовых флуктуаций в нашем тестировании, возможно, из-за различий в поставщике памяти DRAM, характеристиках чипа или рабочих условиях, таких как температура. Мы также не наблюдали никаких флуктуаций на видеокарте A100 с памятью HBM.
Команда подчеркивает, что В настоящее время GPUHammer проверен только на графическом процессоре A6000 с GDDR6., а не на таких моделях, как A100 (HBM) или RTX 3080. Однако, поскольку это расширяемая атака, другим исследователям рекомендуется повторить и расширить анализ на других архитектурах и моделях графических процессоров.
Наконец, если вы хотите узнать об этом больше, вы можете ознакомиться с подробностями в по следующей ссылке.