Rowhammer — одна из наиболее известных аппаратных уязвимостей в современных оперативных запоминающих устройствах, которая с момента обнаружения в 2014 году регулярно привлекает внимание специалистов по кибербезопасности и разработчиков оборудования. Она заключается в том, что частое и быстрое активирование одной строки памяти может привести к возникновению битовых ошибок в соседних строках, что порождает риск целенаправленной модификации данных. В течение многих лет Rowhammer-атаки рассматривались преимущественно в контексте процессорной памяти DDR, однако развитие высокопроизводительных вычислений и рост значимости GPU для работы с искусственным интеллектом вынудили исследователей обратить внимание на уязвимости видеопамяти новых поколений. Именно здесь и появилась технология GPUHammer — первый научный труд, который подтвердил практическую возможность проведения Rowhammer-атак на память графических процессоров, использующих GDDR6. GPUHammer представлен учеными из Университета Торонто и продемонстрировал, что даже современные графические карты, такие как NVIDIA RTX A6000 с 48 ГБ GDDR6 памяти, подвержены подобным аппаратным атакам.
Особенность GPUHammer в том, что для эксплуатации уязвимости не требуется привилегий на уровне ядра, атака запускается напрямую с пользовательского уровня используя CUDA и позволяет изменять данные, принадлежащие другим пользователям в мультизадачной среде с разделением GPU по времени. Для многих данное открытие кажется неожиданным, учитывая высокие характеристики GDDR6 по скорости обновления и контролю доступа к памяти, а также существование встроенных в память защитных механизмов вроде Target Row Refresh (TRR). Однако GPUHammer преодолевает все эти ограничения, показывая, что аппаратные детали DRAM GDDR6 остаются восприимчивыми к интенсивным многопоточными обращениям, если организовать их должным образом. Первым крупным препятствием, которое пришлось решить исследователям, стали особенности отображения адресов памяти. В отличие от CPU, где процессоры часто раскрывают физические адреса или используют стандартизированные схемы, GPU-видеокарты NVIDIA не предоставляют прямого доступа к физическим адресам через CUDA.
Это существенно усложняло определение строк памяти, принадлежащих к одному и тому же банку DRAM, что критично для осуществления эффективной Rowhammer-атаки. Благодаря методике, вдохновленной техникой DRAMA, исследователи обошли это ограничение, выявив закономерности времени доступа к виртуальным адресам, что позволило им присвоить адресам соответствующие DRAM-бэнки. Использование времени задержек доступа позволило избавиться от шума, вызванного эффектом неравномерного доступа к памяти (NUMA) и выделить те адреса, которые точно находились в одинаковом банке памяти. Эта грамотная фильтрация существенно повысила эффективность обнаружения «цельевых» строк для атак. Дальнейший этап заключался в максимизации интенсивности доступа к памяти, так как GDDR6 не просто быстрее, но и более жестко контролирует частоту обновления и доступы к строкам DRAM.
В отличие от CPU, где достаточно одного потока инструкции, на GPU с его архитектурой SIMD и огромным параллелизмом запуск сотен и тысяч потоков стал ключом к достижению необходимой частоты активаций памяти. GPUHammer реализация использует многопоточное и мультиварповое приложение, что позволяет максимально загружать контроллер памяти и почти полностью исключать время простоя. В результате за окошко одного периода обновления памяти (tREFW) может быть выполнено преувеличенно большое число активаций, что критично для достижения порога возникновения битовых ошибок. Но одним интенсивным обращением дело не ограничивается — эффективный Rowhammer требует еще и правильного тайминга, так как встроенные защиты памяти обновляют содержимое строк регулярно и пытаются предотвратить перекрестное влияние. Синхронизация hammering-операций с моментом обновления DRAM (refresh) является важнейшим элементом успешной атаки.
В отличие от традиционных средств синхронизации CUDA, которые могут непредсказуемо изменять порядок выполнения варпов, в GPUHammer применяется прием, основанный на неявных задержках на уровне варпов, заточенных под совпадение с моментами обновления памяти. Таким образом, атака сохраняет максимальную скорость работы при соблюдении точного тайминга и гарантирует, что команды хммеринга максимально эффективно мешают обновлениям, обходя такие защиты как TRR. Практические результаты оказались впечатляющими. В тестах на NVIDIA RTX A6000 было зафиксировано восемь уникальных одноразрядных изменений битов в памяти, проявившихся во всех протестированных DRAM банках, при активациях около 12 тысяч. Это число близко к ранее известным значениям, что подтверждает сходство поведения GDDR6 с DDR4 в критических для Rowhammer аспектах.
Значимость таких битфлипов выходит далеко за пределы технической демонстрации. В качестве убедительного примера злоумышленники способны использовать эти ошибки для разрушения интеллектуальных моделей. Изменение одного из важнейших битов весов нейросетей, представленных в формате FP16, способно снизить точность классификации с примерно 80% до всего лишь 0,1%. Учитывая, что все более многообразные и критичные сервисы и приложения развернуты на мультизадачных GPU, подобная атака вызывает серьезные вопросы к безопасности и целостности информации в системах искусственного интеллекта. Для организации подобной атаки злоумышленники применяют техники, известные как memory massaging — манипулирование расположением данных в памяти жертвы, вынуждающее их располагаться в уязвимых строках.
В средах общего доступа и облачных сервисах, где физический доступ отсутствует, подобные хитрости позволяют достигать своих целей без специальных привилегий. Понимая серьезность угрозы, производители, в частности NVIDIA, оперативно отреагировали на результаты исследования. Рекомендовано использовать включение коррекции ошибок ECC, которая способна исправлять все зафиксированные битовые ошибки. Однако стоит учитывать, что включение ECC снижает производительность потенциально на 10%, а объем доступной памяти уменьшается примерно на 6%. Это создаёт определенный компромисс между безопасностью и эффективностью.
Следует отметить, что аппаратные уязвимости такого рода не решаются программными средствами навсегда. Требуются архитектурные изменения в дизайне памяти, такие как новые методы защиты PRAC или вероятностные методы PRIDE, которые постепенно внедряются в последних поколениях DDR5 и будущих GDDR стандартов. Пока же актуальность подобных атак в мире GPU остается низкой, но непрерывное усложнение и интеграция аппаратного софта с ML-приложениями поднимает эту сторону безопасности на новый уровень. При этом эксперименты с другими поколениями GPU, включая RTX 3080 с GDDR6 и NVIDIA A100 с HBM памятью, не выявили устойчивых битфлипов, вероятно из-за различий в производителях DRAM, особенностях аппаратного обеспечения и рабочих температур. Новые GPU, например H100 и RTX 5090, снабжены встроенной ECC, минимизируя риск атак, однако в перспективе потенциальное появление более сложных паттернов атак, способных обходить проверку ECC, нельзя исключать.
GPUHammer — весомый шаг в изучении угроз безопасности для программ и систем, оперирующих на графических процессорах, и он заставляет индустрию взглянуть на вопросы защиты данных и целостности моделей искусственного интеллекта с новой стороны. Постоянный рост доли GPU в вычислительных решениях и вовлечение их в критично важные сервисы требует активного развития и внедрения как аппаратных, так и программных средств профилактики подобных уязвимостей. Для организаций, использующих GPU в режиме общего доступа или в облаке, важным становится обновление политики безопасности, включающее мониторинг системы и настройки, акцент на использование ECC и планирование долгосрочных мер по защите. Со стороны исследователей и разработчиков аппаратного обеспечения ожидаются дальнейшие изучения Rowhammer на GPU, расширение списка протестированных устройств и разработка новых методов выявления и предотвращения атак. Исследование GPUHammer является важной вехой, которая показывает, что старые уязвимости продолжают жить и эволюционировать, адаптируясь к новым технологиям.
В мире, где безопасность данных и моделей машинного обучения становится одной из важнейших задач, знания об аппаратных угрозах и умение их устранять приобретает ключевую значимость для всех игроков IT-индустрии. Ключевым напоминанием для специалистов остается призыв не останавливаться на достигнутом, ведь любая технология, даже самая современная, прежде всего должна быть надежной и безопасной.
