GPUHammer: Attacchi hardware sulle GPU NVIDIA portano alla compromissione dei modelli di AI

NVIDIA ha segnalato una nuova vulnerabilità nei suoi processori grafici, denominata GPUHammer. Questo attacco, basato sulla nota tecnica RowHammer, consente agli aggressori di corrompere i dati di altri utenti sfruttando le peculiarità della RAM delle schede video. Per la prima volta, è stata dimostrata la possibilità di implementare un attacco RowHammer su una GPU, anziché su processori tradizionali. Ad esempio, gli specialisti hanno utilizzato la scheda video NVIDIA A6000 con memoria GDDR6, riuscendo a modificare singoli bit nella memoria video. Questo può portare alla distruzione dell’integrità dei dati senza accesso diretto.

Di particolare preoccupazione è il fatto che anche un singolo bit flip possa compromettere l’accuratezza dell’intelligenza artificiale: un modello addestrato su ImageNet che in precedenza aveva dimostrato un’accuratezza dell’80% è stato attaccato fino a meno dell’1%. Questo impatto trasforma GPUHammer da un’anomalia tecnica in un potente strumento per distruggere l’infrastruttura di intelligenza artificiale, inclusa la sostituzione dei parametri interni del modello e l’avvelenamento dei dati di addestramento.

A differenza delle CPU, le GPU spesso non dispongono di meccanismi di sicurezza integrati come il controllo degli accessi a livello di istruzione o il controllo di parità. Questo le rende più vulnerabili ad attacchi di basso livello, soprattutto in ambienti di elaborazione condivisi come piattaforme cloud o desktop virtuali. In tali sistemi, un utente potenzialmente malintenzionato può interferire con le attività adiacenti senza avervi accesso diretto, creando rischi a livello di tenant.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ricerche precedenti, inclusa la metodologia SpecHammer, combinavano le vulnerabilità RowHammer e Spectre per sferrare attacchi tramite esecuzione speculativa. GPUHammer prosegue questa tendenza, dimostrando che l’attacco è possibile anche in presenza di meccanismi di protezione come Target Row Refresh (TRR), precedentemente considerati una precauzione affidabile.

Le conseguenze di tali attacchi sono particolarmente pericolose per i settori con elevati requisiti di sicurezza e trasparenza, come la sanità, la finanza e i sistemi autonomi. L’introduzione di distorsioni incontrollate nell’IA può violare normative come la ISO/IEC 27001 o la legislazione europea in materia di IA, soprattutto quando le decisioni vengono prese sulla base di modelli corrotti. Per ridurre i rischi, NVIDIA consiglia di abilitare l’ECC (Error Correction Code) con il comando “nvidia-smi -e 1”. È possibile verificarne lo stato con “nvidia-smi -q | grep ECC”. In alcuni casi, potrebbe essere accettabile abilitare l’ECC solo per i nodi di training o per i carichi di lavoro critici. Vale inoltre la pena monitorare i log di sistema per le correzioni degli errori di memoria, in modo da rilevare tempestivamente eventuali attacchi.

Vale la pena notare che l’abilitazione dell’ECC riduce le prestazioni di apprendimento automatico sulla GPU A6000 di circa il 10% e riduce la memoria disponibile del 6,25%. Tuttavia, i modelli di GPU più recenti come H100 e RTX 5090 non sono interessati da questa vulnerabilità, poiché utilizzano la correzione degli errori on-chip.

Di ulteriore preoccupazione è un recente sviluppo correlato, chiamato CrowHammer, presentato da un team di NTT Social Informatics Laboratories e CentraleSupélec. In questo caso, l’attacco è riuscito a recuperare la chiave privata dell’algoritmo di firma Falcon post-quantistico selezionato per la standardizzazione dal NIST. I ricercatori hanno dimostrato che anche un singolo bit flip mirato può portare all’estrazione della chiave in presenza di diverse centinaia di milioni di firme, con più distorsioni e meno dati.

Nel complesso, tutto ciò evidenzia la necessità di riconsiderare gli approcci alla sicurezza dei modelli di intelligenza artificiale e dell’infrastruttura su cui operano. La semplice protezione a livello di dati non è più sufficiente: dobbiamo tenere conto delle vulnerabilità che emergono a livello hardware, fino all’architettura della memoria video.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.