Pred niekoľkými dňami zverejnil tím výskumníkov informácie o vývoji... prvý útok Rowhammeru že bol úspešne presmerovaný na la Videopamäť GDDR6 grafického procesora, konkrétne NVIDIA A6000.
Technika, prezývaný GPUHammer, umožňuje manipuláciu s jednotlivými bitmi v DRAM pamäti GPU, čím drasticky znižuje presnosť modelov strojového učenia zmenou iba jedného bitu ich parametrov. Tieto zmeny bitov umožňujú používateľovi GPU so zlomyseľným úmyslom manipulovať s údajmi GPU iného používateľa v zdieľaných, časovo rozdelených prostrediach.
Doteraz Aplikácia Rowhammeru na videopamäte sa považovala za nepraktická. kvôli niekoľkým technickým obmedzeniam. Fyzické rozloženie pamäťových buniek v čipoch GDDR je ťažké mapovať, latencie prístupu sú až štyrikrát pomalšie ako v konvenčnej DRAM a obnovovacie frekvencie sú výrazne vyššie. K tomu sa pridávajú proprietárne ochranné mechanizmy proti predčasnej strate nabitia, ktorých reverzné inžinierstvo si vyžadovalo špecializované vybavenie.
Aby sa prekonali tieto prekážky, Výskumníci vyvinuli novú techniku reverzného inžinierstva zameranú na GDDR DRAMPomocou nízkoúrovňového kódu CUDA vykonali útok prostredníctvom špecifických optimalizácií, ktoré zintenzívnili prístup k určitým pamäťovým bunkám, čím vytvorili podmienky priaznivé pre manipuláciu s bitmi. Kľúčom k úspechu bolo dosiahnutie vysoko organizovaného paralelného výpočtu, ktorý fungoval ako zosilňovač tlaku na susedné bunky.
Ako útok funguje?
Útok využíva fyzickú slabinu v DRAM, kde intenzívny prístup k riadku pamäte (známy ako „hammering“) môže spôsobiť zmeny v susedných riadkochHoci táto zraniteľnosť bola identifikovaná v roku 2014 a rozsiahlo študovaná v pamäti CPU DDR, jej prenos na GPU bol doteraz náročný z dôvodu:
- Vysoká prístupová latencia GDDR6 (až 4-krát vyššia ako DDR4).
- Zložitosť fyzickej alokácie pamäte.
- Prítomnosť proprietárnych a slabo zdokumentovaných zmierňujúcich opatrení, ako napríklad TRR.
Rowhammer je hardvérová zraniteľnosť, pri ktorej rýchla aktivácia jedného riadku pamäte spôsobuje prepnutie bitov v susedných riadkoch. Od roku 2014 sa táto zraniteľnosť intenzívne skúma v oblasti CPU a pamätí založených na CPU, ako sú DDR3, DDR4 a LPDDR4. Keďže však kritické úlohy umelej inteligencie a strojového učenia teraz bežia na samostatných GPU v cloude, posúdenie zraniteľnosti pamäte GPU voči útokom Rowhammer je kľúčové.
Napriek týmto prekážkam, Výskumníkom sa podarilo aplikovať reverzné inžinierstvo o alokácii virtuálnej/fyzickej pamäte v CUDA, Vyvinuli metódu na identifikáciu špecifických pamäťových bánk DRAM a optimalizovaný paralelný prístup pomocou viacerých vlákien a osnov, čím sa maximalizuje rýchlosť zrýchlenia bez spôsobenia dodatočnej latencie.
Dôkaz konceptu ukázal, ako môže jednobitové prevrátenie váh modelu hlbokej neurónovej siete (DNN), konkrétne v exponentoch FP16, znížiť presnosť modelov klasifikácie obrázkov na prvej priečke na ImageNet z 1 % na 80 %. Toto zistenie je alarmujúce pre dátové centrá a cloudové služby, ktoré prevádzkujú úlohy umelej inteligencie v zdieľaných prostrediach s grafickými procesormi.
Zmiernenia a obmedzenia
Spoločnosť NVIDIA potvrdila zraniteľnosť a odporúča povoliť podporu ECC. (Kód na opravu chýb) pomocou príkazu nvidia-smi -e 1. Hoci Toto opatrenie dokáže opraviť chyby jednobitový, To znamená stratu výkonu až o 10 %. a zníženie dostupnej pamäte o 6,25 %. Taktiež nechráni pred budúcimi útokmi zahŕňajúcimi viacnásobné prevrátenia bitov.
Potvrdili sme fluktuácie bitov Rowhammer na grafických procesoroch NVIDIA A6000 s pamäťou GDDR6. Iné grafické procesory GDDR6, ako napríklad RTX 3080, v našich testoch nevykazovali fluktuácie bitov, pravdepodobne kvôli variáciám u výrobcu DRAM, charakteristík čipu alebo prevádzkových podmienok, ako je teplota. Taktiež sme nepozorovali žiadne fluktuácie na grafickom procesore A100 s pamäťou HBM.
Tím zdôrazňuje, že GPUHammer bol momentálne overený iba na grafickej karte A6000 s pamäťou GDDR6., a nie na modeloch ako A100 (HBM) alebo RTX 3080. Keďže však ide o rozšíriteľný útok, iní výskumníci sa vyzývajú, aby analýzu replikovali a rozšírili na rôzne architektúry a modely GPU.
Nakoniec, ak máte záujem dozvedieť sa viac o tom, môžete si prečítať podrobnosti v nasledujúci odkaz.