NVIDIA insta a los clientes a habilitar los códigos de corrección de errores a nivel de sistema (ECCS) como una defensa contra las variantes probadas de ataque de Rowhammer contra las unidades de procesamiento de gráficos (GPU).
«El riesgo de explotación exitosa de un ataque de Rowhammer varía según los dispositivos DRAM, las plataformas, las especificaciones de diseño y la configuración del sistema», dijeron los fabricantes de GPU en un aviso publicado esta semana.
Un ataque llamado Gpuhammer Tampers con los datos de otros usuarios marcando la primera exploit de Rowhammer demostrada contra la GPU de NVIDIA (por ejemplo, NVIDIA A6000 GPU con memoria GDDR6) y activando un poco de volteo en la memoria GPU.
Los investigadores de la Universidad de Toronto dicen que la mayor preocupación sobre este comportamiento es la disminución de la precisión de los modelos de inteligencia artificial (IA) del 80% a menos del 1%.
Rowhammer está dirigido hacia la batería moderna, como Spectre y Meltdown contra las CPU modernas. Ambas son vulnerabilidades de seguridad a nivel de hardware, pero Rowhammer se dirige al comportamiento físico de la memoria DRAM, mientras que Spectre explota la ejecución especulativa en la CPU.
Rowhammer hace que las flipas de bits a las células de memoria cercanas debido a la interferencia eléctrica DRAM causada por los accesos de memoria repetidos, pero con Spectre y Meltdown, los atacantes obtienen información privilegiada de la memoria a través de ataques de canales laterales, potencialmente con datos confidenciales.
En 2022, los académicos de la Universidad de Michigan y Georgia Tech discutieron una tecnología llamada Specchammer, que combina a Rowhammer y Spectre para lanzar ataques especulativos. Este enfoque implica básicamente desencadenar un ataque Spectre V1 utilizando flipas de bits de Rowhammer para insertar valores maliciosos en el dispositivo de la víctima.
Gpuhammer es la última variante de Rowhammer, pero puede inducir gotas de bits en las GPU de NVIDIA a pesar de la presencia de mitigación, como la tasa de actualización objetivo (TRR).
La prueba de concepto desarrollada por el investigador permite que las volteretas de un solo bits manipulen los modelos de redes neuronales de ImageNet de ImageNet de las víctimas (DNN) para romper la precisión del modelo del 80% al 0.1%.
Las hazañas como GPUHammer amenazan la integridad de los modelos de IA. En lugar de abrir una nueva superficie de ataque para las plataformas de nubes, los modelos de IA dependen cada vez más de las GPU para realizar el procesamiento paralelo y realizar tareas computacionalmente exigentes.
Para mitigar las posturas de riesgo por GPUHammer, recomendamos habilitar ECC a través de «nvidia -smi -e 1». Las GPU NVIDIA más nuevas como el H100 y RTX 5090 no se ven afectados porque presentan Ondai ECC.
«Habilitar el código de corrección de errores (ECC) puede reducir este riesgo, pero ECC puede introducir una desaceleración del 10% de la carga de trabajo de inferencia (del aprendizaje automático) de las GPU A6000», dice Chris (Shaopeng) Lin, Joyce Qu y Gururaj Saileshwar, el autor principal de la investigación, Gururaj Saileshwar, agrega 6.25% de la capacidad de la memoria.
Esta divulgación se produce cuando el Instituto de Informática Social de NTT y Centralesupelec presente Crowhammer. Este es un tipo de ataque de Rowhammer que permite ataques de recuperación críticos contra el esquema de firma de la extremidad Falcon (FIPS 206) seleccionado por el NIST para la estandarización.
«Usamos Rowhammer para atacar al RCDT de Falcon (tabla de distribución acumulada inversa) para desencadenar muy pocas volteretas de bits objetivo y demostrar que la distribución resultante está lo suficientemente sesgada como para realizar un ataque de recuperación crítico», dice el estudio.
«Con cientos de millones de firmas, un giro de bit de objetivo que es suficiente para recuperar completamente la clave de la firma es suficiente, y más flips de bits permiten una menor recuperación de la clave de la firma».
Source link
