Пре неколико дана, тим истраживача је објавио информације о развоју први напад Роухамера да је успешно усмерен ка la GDDR6 видео меморија графичког процесора, тачније NVIDIA A6000.
Техника, назван GPUHammer, омогућава манипулацију појединачним битовима у DRAM меморији графичког процесора (GPU), драстично смањујући тачност модела машинског учења променом само једног бита њихових параметара. Ове замене битова омогућавају злонамерном кориснику графичког процесора да манипулише подацима графичког процесора другог корисника у дељеним, временски исеченим окружењима.
До сада, Примена Роухамера на видео меморије сматрала се непрактичном због неколико техничких ограничења. Физички распоред меморијских ћелија у GDDR чиповима је тешко мапирати, латенције приступа су до четири пута спорије него код конвенционалне DRAM меморије, а брзине освежавања су знатно веће. Овоме се додају и власнички механизми заштите од превременог губитка напуњености, чији је обрнути инжењеринг захтевао специјализовану опрему.
Да би се превазишле ове препреке, Истраживачи су развили нову технику обрнутог инжењеринга усмерену на ГДДР ДРАМКористећи CUDA код ниског нивоа, извршили су напад кроз специфичне оптимизације које су интензивирале приступ одређеним меморијским ћелијама, стварајући услове погодне за манипулацију битовима. Кључ успеха лежао је у постизању високо организованог паралелног рачунарства, које је деловало као појачало притиска на суседне ћелије.
Како делује напад?
Напад искоришћава физичку слабост у DRAM-у, где је интензиван приступ меморијском реду (познат као „чекићање“) може изазвати промене у суседним редовимаИако је ова рањивост идентификована 2014. године и опширно проучавана у CPU DDR меморији, њено преношење на GPU-ове до сада је представљало изазов због:
- Висока латенција приступа GDDR6 меморије (до 4 пута већа од DDR4).
- Сложеност у физичкој алокацији меморије.
- Присуство власничких и слабо документованих мера за ублажавање ризика, као што је TRR.
Роухамер је хардверска рањивост код које брза активација једног реда меморије доводи до замене битова у суседним редовима. Од 2014. године, ова рањивост је широко проучавана код процесора и меморије засноване на процесору, као што су DDR3, DDR4 и LPDDR4. Међутим, како се критична радна оптерећења вештачке интелигенције и машинског учења сада изводе на дискретним графичким процесорима (GPU) у облаку, процена рањивости GPU меморије на Роухамер нападе је кључна.
Упркос овим препрекама, Истраживачи су успели да примене обрнути инжењеринг о алокацији виртуелне/физичке меморије у CUDA-и, Развили су метод за идентификацију специфичних DRAM меморијских банака и оптимизован паралелни приступ коришћењем више нити и варпова, максимизирајући брзину удара без изазивања додатне латенције.
Доказ концепта је показао како једнобитна промена у тежинама модела дубоке неуронске мреже (DNN), посебно у FP16 експонентима, може смањити тачност модела класификације слика на ImageNet-у са 1% на 80%. Ово откриће је алармантно за центре података и клауд сервисе који покрећу вештачка интелигенција у дељеним окружењима са графичким процесорима (GPU).
Ублажавања и ограничења
NVIDIA је потврдила рањивост и препоручује омогућавање ECC подршке. (Код за исправљање грешака) помоћу команде nvidia-smi -e 1. Иако Ова мера може да исправи грешке једнобитни, То подразумева губитак перформанси до 10%. и смањење расположиве меморије од 6,25%. Такође не штити од будућих напада који укључују вишеструке замене битова.
Потврдили смо флуктуације бита код Rowhammer-а на NVIDIA A6000 графичким картицама са GDDR6 меморијом. Друге GDDR6 графичке карте, као што је RTX 3080, нису показале флуктуације бита у нашем тестирању, вероватно због варијација у произвођачу DRAM-а, карактеристикама чипа или условима рада као што је температура. Такође нисмо приметили никакве флуктуације на A100 графичкој картици са HBM меморијом.
Тим истиче да GPUHammer је тренутно верификован само на A6000 GPU-у са GDDR6 меморијом., а не на моделима попут A100 (HBM) или RTX 3080. Међутим, пошто је ово прошириви напад, други истраживачи се подстичу да реплицирају и прошире анализу на различитим архитектурама и моделима GPU-а.
Коначно, ако сте заинтересовани да сазнате више о томе, можете погледати детаље у следећи линк.