NVIDIA insta a los clientes a habilitar los códigos de corrección de errores a nivel de sistema (ECC) como una defensa contra una transformación de un ataque de Rowhammer demostrado contra sus unidades de procesamiento de gráficos (GPU).
“El peligro de explotación exitosa de los ataques de Rowhammer varía según el dispositivo DRAM, la plataforma, la observación de diseño y la configuración del sistema”, dijo el fabricante de GPU en un aviso publicado esta semana.
GPUHammer denominado, los ataques marcan el primer exploit de Rowhammer demostrado contra las GPU de NVIDIA (por ejemplo, NVIDIA A6000 GPU con memoria GDDR6), lo que hace que los usuarios de GPU maliciosos se tambaleen con los datos de otros usuarios al activar las flujos de bits en la memoria GPU.
La consecuencia más preocupante de este comportamiento, encontraron los investigadores de la Universidad de Toronto, es la degradación de la precisión del maniquí de inteligencia fabricado (IA) del 80% a menos del 1%.
Rowhammer es a los dramas modernos como Spectre y Meltdown son las CPU contemporáneas. Si acertadamente uno y otro son vulnerabilidades de seguridad a nivel de hardware, Rowhammer se dirige al comportamiento físico de la memoria DRAM, mientras que Spectre explota la ejecución especulativa en las CPU.
Rowhammer provoca volteos de broca en las células de memoria cercanas correcto a la interferencia eléctrica en DRAM derivada del comunicación a la memoria repetida, mientras que Spectre y Meltdown permiten a los atacantes obtener información privilegiada de la memoria a través de un ataque de canal adjunto, con una fuga potencialmente con datos confidenciales.
En 2022, los académicos de la Universidad de Michigan y Georgia Tech describieron una técnica convocatoria Spechammer que combina Rowhammer y Spectre para divulgar ataques especulativos. El enfoque esencialmente implica desencadenar un ataque Spectre V1 utilizando flotas de bits de Rowhammer para insertar títulos maliciosos en dispositivos de víctimas.
Gpuhammer es la última transformación de Rowhammer, pero que es capaz de inducir volteos de bits en las GPU de NVIDIA a pesar de la presencia de mitigaciones como la tasa de aggiornamento objetivo (TRR).
En una prueba de concepto desarrollada por los investigadores, el uso de un tumbo de un solo bit para manipular con los modelos de la red neuronal profunda (DNN) de una víctima puede degradar la precisión del maniquí de 80% a 0.1%.
Las hazañas como GPUHammer amenazan la integridad de los modelos de IA, que dependen cada vez más de GPU para realizar un procesamiento paralelo y llevan a extremo tareas computacionalmente exigentes, sin mencionar que se abre una nueva superficie de ataque para las plataformas de nubes.
Para mitigar el peligro planteado por GPUHammer, se recomienda habilitar ECC a través de “NVIDIA -SMI -E 1.” Las GPU NVIDIA más nuevas como H100 o RTX 5090 no se ven afectadas correcto a que con ECC en la asesinato, lo que ayuda a detectar y corregir errores surgidos correcto a las fluctuaciones de voltaje asociadas con chips de memoria más pequeños y más densos.
“Habilitar los códigos de corrección de errores (ECC) puede mitigar este peligro, pero ECC puede introducir una desaceleración del 10% para las cargas de trabajo de inferencia (del educación automotriz) en una GPU A6000”, dijo Chris (Shaopeng) Lin, Joyce Qu y Gururaj Saileshwar, los autores principales del estudio, según lo agregó que incluso reduce la capacidad de la memoria en 6.25%.
La divulgación se produce cuando los investigadores de NTT Social Informatics Laboratories y Centralesupelec presentaron a Crowhammer, un tipo de ataque de Rowhammer que permite un ataque esencia de recuperación contra el esquema de firma a posteriori del quantum de Falcon (FIPS 206), que ha sido seleccionado por NIST para la estandarización.
“Usando Rowhammer, nos dirigimos al RCDT de Falcon (tabla de distribución acumulada inversa) para desencadenar un número muy pequeño de volteos de bits dirigidos y demostramos que la distribución resultante es suficientemente sesgada como para realizar un ataque de recuperación esencia”, dijo el estudio.
“Mostramos que un solo flip de bit dirigido es suficiente para recuperar completamente la esencia de firma, dadas unos pocos cientos de millones de firmas, con más flips de bit que habilitan la recuperación de la esencia con menos firmas”.
