NVIDIA dringt er bij klanten op aan om foutencorrectiecodes op systeemniveau (ECC) in staat te stellen als een verdediging tegen een variant van een Rowhammer-aanval die wordt aangetoond tegen de grafische verwerkingseenheden (GPU’s).
“Het risico op succesvolle exploitatie van Rowhammer -aanvallen varieert op basis van DRAM -apparaat, platform, ontwerpspecificatie en systeeminstellingen,” zei de GPU -maker in een advies dat deze week werd vrijgegeven.
Nagesynchroniseerd GPuhammer, de aanvallen markeren de allereerste Rowhammer-exploit die is aangetoond tegen de GPU’s van NVIDIA (bijv. NVIDIA A6000 GPU met GDDR6-geheugen), waardoor kwaadaardige GPU-gebruikers geknoei met de gegevens van andere gebruikers door gegevens te treffen in het GPU-geheugen.
Het meest zorgen over het gevolg van dit gedrag, zo blijkt dat onderzoekers van de Universiteit van Toronto het degradatie is van de nauwkeurigheid van een kunstmatige intelligentie (AI) -model van 80% naar minder dan 1%.
Rowhammer is voor moderne drama’s, net als hoe Spectre en Meltdown zijn voor hedendaagse CPU’s. Hoewel beide beveiligingskwetsbaarheden op hardwares zijn, richt Rowhammer zich op het fysieke gedrag van DRAM-geheugen, terwijl Spectre speculatieve uitvoering in CPU’s exploiteert.
Rowhammer veroorzaakt bitflips in nabijgelegen geheugencellen vanwege elektrische interferentie in DRAM die voortkomt uit herhaalde geheugentoegang, terwijl Spectre en Meltdown aanvallers in staat stellen bevoorrechte informatie uit het geheugen te verkrijgen via een zijkanaalaanval, mogelijk lekkende gevoelige gegevens.
In 2022 beschreven academici van de Universiteit van Michigan en Georgia Tech een techniek genaamd Spechammer die Rowhammer en Spectre combineert om speculatieve aanvallen te lanceren. De aanpak houdt in wezen in bij het activeren van een Spectre V1-aanval met behulp van Rowhammer bit-flips om kwaadaardige waarden in slachtoffergadgets in te voegen.
GPUHAMMER is de nieuwste variant van Rowhammer, maar een die in staat is om bitflips in Nvidia GPU’s te induceren, ondanks de aanwezigheid van mitigaties zoals Target Refresh Rate (TRR).
In een proof-of-concept ontwikkeld door de onderzoekers, kan het gebruik van een single-bit flip om te knoeien met het ImageNet Deep Neural Network (DNN) -modellen van een slachtoffer (DNN) de modelnauwkeurigheid afbreken van 80% naar 0,1%.
Exploits zoals GPuhammer bedreigen de integriteit van AI -modellen, die in toenemende mate afhankelijk zijn van GPU’s om parallelle verwerking uit te voeren en computationeel veeleisende taken uit te voeren, en niet te vergeten een nieuw aanvalsoppervlak voor cloudplatforms.
Om het risico van GPuhammer te verminderen, wordt geadviseerd om ECC mogelijk te maken via “Nvidia -SMI -E 1.” Nieuwere NVIDIA GPU’s zoals H100 of RTX 5090 worden niet getroffen omdat ze met ON-ECC met het detecteren en corrigeren van fouten die ontstaan door spanningsschommelingen die zijn geassocieerd met kleinere, dichtere geheugenchips helpen detecteren en corrigeren.
“Het inschakelen van foutcorrectiecodes (ECC) kan dit risico verminderen, maar ECC kan tot een vertraging van 10% voor (machine learning) inferenties introduceren op een A6000 GPU,” Chris (Shaopeng) Lin, Joyce Qu en Gurraj Saileshwar, de hoofdauto’s van de studie, zei dat het ook een geheugencapaciteit door 6,25% reduceert.
De openbaarmaking komt wanneer onderzoekers van NTT Social Informatics Laboratories en CentralesUppelec Crowhammer presenteerden, een type Rowhammer-aanval die een belangrijke herstelaanval op de Falcon (FIPS 206) post-Quantum Signature Scheme mogelijk maakt, die door NIST voor standaardisatie is geselecteerd.
“Met behulp van Rowhammer richten we ons op Falcon’s RCDT (omgekeerde cumulatieve distributietabel) om een zeer klein aantal gerichte bitflips te activeren, en bewijzen dat de resulterende verdeling voldoende scheef is om een belangrijke herstelaanval uit te voeren,” zei de studie.
“We laten zien dat een enkele gerichte bit -flip volstaat om de ondertekeningssleutel volledig te herstellen, gezien een paar honderd miljoen handtekeningen, met meer bit flips die belangrijk herstel mogelijk maken met minder handtekeningen.”
