Một vài ngày trước, thông tin đã được công bố bởi một nhóm các nhà nghiên cứu về sự phát triển của cuộc tấn công Rowhammer đầu tiên mà đã được chỉ đạo thành công đến la Bộ nhớ video GDDR6 của GPU, cụ thể là NVIDIA A6000.
Kỹ thuật, được gọi là GPUHammer, cho phép thao túng từng bit riêng lẻ trong DRAM của GPU, làm giảm đáng kể độ chính xác của các mô hình học máy bằng cách thay đổi chỉ một bit tham số của chúng. Những thao tác đảo bit này cho phép người dùng GPU độc hại thao túng dữ liệu GPU của người dùng khác trong môi trường chia sẻ, phân chia theo thời gian.
Cho đến bây giờ, Việc áp dụng Rowhammer vào bộ nhớ video được coi là không thực tế Do một số hạn chế kỹ thuật. Bố cục vật lý của các ô nhớ trong chip GDDR rất khó lập bản đồ, độ trễ truy cập chậm hơn tới bốn lần so với DRAM thông thường và tần số quét cao hơn đáng kể. Thêm vào đó là các cơ chế bảo vệ độc quyền chống lại tình trạng mất điện tích sớm, mà việc thiết kế ngược đòi hỏi thiết bị chuyên dụng.
Để vượt qua những trở ngại này, Các nhà nghiên cứu đã phát triển một kỹ thuật đảo ngược mới nhắm vào GDDR DRAMSử dụng mã CUDA cấp thấp, họ thực hiện cuộc tấn công thông qua các tối ưu hóa cụ thể nhằm tăng cường khả năng truy cập vào một số ô nhớ nhất định, tạo điều kiện thuận lợi cho việc thao tác bit. Chìa khóa thành công nằm ở việc đạt được khả năng tính toán song song được tổ chức chặt chẽ, hoạt động như một bộ khuếch đại áp lực lên các ô nhớ liền kề.
Cuộc tấn công hoạt động như thế nào?
Cuộc tấn công khai thác điểm yếu vật lý trong DRAM, nơi truy cập chuyên sâu vào một hàng bộ nhớ (được gọi là "đập mạnh") có thể gây ra sự thay đổi ở các hàng liền kềMặc dù lỗ hổng này đã được phát hiện vào năm 2014 và được nghiên cứu rộng rãi trong bộ nhớ DDR của CPU, nhưng việc chuyển nó sang GPU cho đến nay vẫn là một thách thức do:
- Độ trễ truy cập cao của GDDR6 (cao hơn DDR4 tới 4 lần).
- Sự phức tạp trong việc phân bổ bộ nhớ vật lý.
- Sự hiện diện của các biện pháp giảm thiểu độc quyền và ít được ghi chép, chẳng hạn như TRR.
Rowhammer là một lỗ hổng phần cứng, trong đó việc kích hoạt nhanh một hàng bộ nhớ sẽ gây ra hiện tượng đảo bit ở các hàng liền kề. Từ năm 2014, lỗ hổng này đã được nghiên cứu rộng rãi trên CPU và bộ nhớ dựa trên CPU như DDR3, DDR4 và LPDDR4. Tuy nhiên, do các khối lượng công việc AI và học máy quan trọng hiện nay chạy trên GPU rời trên nền tảng đám mây, việc đánh giá tính dễ bị tấn công của bộ nhớ GPU trước các cuộc tấn công Rowhammer là rất quan trọng.
Mặc dù có những trở ngại này, Các nhà nghiên cứu đã áp dụng được kỹ thuật đảo ngược về phân bổ bộ nhớ ảo/vật lý trong CUDA, Họ đã phát triển một phương pháp để xác định các ngân hàng bộ nhớ DRAM cụ thể và tối ưu hóa khả năng truy cập song song bằng nhiều luồng và warp, tối đa hóa tốc độ xử lý mà không gây ra độ trễ bổ sung.
Bằng chứng khái niệm cho thấy việc đảo bit đơn trong trọng số mô hình mạng nơ-ron sâu (DNN), cụ thể là trong số mũ FP16, có thể làm giảm độ chính xác hàng đầu của các mô hình phân loại hình ảnh trên ImageNet từ 1% xuống 80%. Phát hiện này đáng báo động đối với các trung tâm dữ liệu và dịch vụ đám mây chạy khối lượng công việc AI trong môi trường dùng chung với GPU.
Giảm thiểu và hạn chế
NVIDIA đã xác nhận lỗ hổng bảo mật và khuyến nghị bật hỗ trợ ECC. (Mã sửa lỗi) sử dụng lệnh nvidia-smi -e 1. Mặc dù Biện pháp này có thể sửa lỗi một bit, Điều này có nghĩa là hiệu suất sẽ giảm tới 10%. và giảm 6,25% bộ nhớ khả dụng. Nó cũng không bảo vệ chống lại các cuộc tấn công trong tương lai liên quan đến nhiều lần đảo bit.
Chúng tôi đã xác nhận hiện tượng dao động bit Rowhammer trên GPU NVIDIA A6000 với bộ nhớ GDDR6. Các GPU GDDR6 khác, chẳng hạn như RTX 3080, không xuất hiện dao động bit trong quá trình thử nghiệm của chúng tôi, có thể do sự khác biệt về nhà cung cấp DRAM, đặc điểm chip hoặc điều kiện hoạt động như nhiệt độ. Chúng tôi cũng không quan sát thấy bất kỳ dao động nào trên GPU A100 với bộ nhớ HBM.
Nhóm nghiên cứu nhấn mạnh rằng GPUHammer hiện chỉ được xác minh trên GPU A6000 với GDDR6và không phải trên các mẫu như A100 (HBM) hoặc RTX 3080. Tuy nhiên, vì đây là một cuộc tấn công có thể mở rộng nên các nhà nghiên cứu khác được khuyến khích sao chép và mở rộng phân tích trên các kiến trúc và mô hình GPU khác nhau.
Cuối cùng, nếu bạn muốn tìm hiểu thêm về nó, bạn có thể tham khảo chi tiết trong phần liên kết theo dõi.