La coneguda tècnica d’atac de seguretat de Rowhammer s’ha estès a un nou mitjà amb atacs provats a les GPU de Nvidia.

L’atac, conegut com a GPUHammer, permet que un actor de l’amenaça manipuli el contingut de la memòria, cosa que pot permetre eludir la seguretat o filtrar dades. La tècnica, desenvolupada per un trio d’investigadors de la Universitat de Toronto, és la primera vegada que ha demostrat un atac de Rowhammer a les GPU Nvidia A6000 amb memòria GDDR6.

La tècnica Rowhammer fa anys que es coneix. Si s’activen repetidament fileres específiques de memòria, un atacant pot invertir els valors de bits a les fileres adjacents. Si un atacant pot apuntar específicament a fileres i bits, pot alterar la configuració de seguretat crítica i revelar dades delicades del contingut de la memòria.

Mentre que els atacs de Rowhammer s’havien demostrat eficaços contra certs tipus de DRAM, encara no s’havien demostrat als xips de memòria GDDR6 basats en GPU. Això es deu en part a la latència més alta dels mòduls de memòria i a la manera de mapejar la memòria als mòduls de la GPU, tot dificultant el reconeixement de les fileres.

En resum, la memòria GPU és més difícil d’atacar amb qualsevol mena de regularitat o precisió, cosa que fa que els atacs siguin molt menys fiables i pràctics.

El que el trio de Toronto, format per Chris Lin, Joyce Qu i Gururaj Saileshwar va descobrir, però, és que la gestió d’adreces de memòria virtual per a grans bancs de memòria es podria fer amb enginyeria inversa. Això permetria que un actor d’amenaces identifiqués de manera fiable una adreça de memòria física i dur a terme un atac de tipus Rowhammer que podria canviar els valors de bits per a ubicacions de memòria específiques.

«Quan fem servir aquests bit-flips, demostrem per primera vegada atacs de degradació de precisió en models ML (aprenentatge automàtic) que s’executen en una GPU, que afecten una àmplia gamma de models d’aprenentatge profund», van explicar els investigadors.

«Mostrem que els bit-flips es poden produir en el bit més significatiu de l’exposició en els pesos de representació FP16, i es pot alterar significativament el valor del paràmetre i degradar-ne la precisió”.

Ser capaç de dur a terme atacs Rowhammer al maquinari de la GPU és especialment rellevant, perquè molts desenvolupadors i venedors confien cada cop més en el maquinari de la GPU per a tasques informàtiques específiques.

Operacions com ara l’aprenentatge automàtic i els desplegaments de computació virtualitzada es basen en la naturalesa distribuïda del maquinari de la GPU, cosa que fa que les unitats siguin més importants que mai per als entorns informàtics.

Els investigadors consideren que en trencar la tècnica Rowhammer per a les GPU, és possible interrompre els desplegaments multiinquilí, cosa que permet que l’actor de l’amenaça accedeixi al contingut de memòria d’altres instàncies que s’executen al mateix servidor.

Tot i que hi ha una mitigació per a la fallada, té un preu. Els investigadors van dir que, tot i que els atacs es poden frenar mitjançant l’ús de codis de correcció d’errors (ECC), aquestes mitigacions també poden tenir un impacte negatiu en el rendiment de l’aprenentatge automàtic, i, en alguns casos, alentir l’activitat fins a un 10 %.