Supercomputer simuliert eine Million Zombie-PCs

Das so entstehende virtuelle Netzwerk soll Cybersecurity-Experten helfen, das Verhalten von Botnetzen leichter als durch eine Analyse realer, global verteilter Zombie-PC-Netzwerke zu erforschen und dadurch ihre Funktionsweise besser zu durchschauen. "Eventuell kann man mit einer solchen Simulation die Kommunikation innerhalb von Botnetzen besser verstehen", meint dazu Thorsten Holz, Botnetz-Experte der Universität Mannheim, im Gespräch mit pressetext. Allerdings ist für ihn die Frage, ob das virtuelle Internet realweltliche Bedingungen gut genug wiedergeben kann.

Bislang haben Forscher nur etwa 20.000 Kernels gleichzeitig als VMs betreiben können, so Sandia-Technikexperte Ron Minnich. Dadurch, diese Zahl in die Höhe zu treiben, hofft man, die entstehenden virtuellen Netzwerke zur Cybersecurity-Forschung nutzen zu können. "Langfristig wollen wir das Netzwerk eines kleinen Landes oder sogar eines großen wie den USA emulieren, um Cyberangriffe zu 'virtualisieren' und zu überwachen", so Minnich. Beispielsweise hofft man bei Sandia, dass die virtuellen Netze es erlauben, das Verhalten von Botnetzen zu beobachten und Gegenstrategien zu entwickeln. Minnich ist überzeugt, dass der Ansatz helfen kann, Phänomene des Internets besser zu verstehen. "Indem wir echte Betriebssystem-Instanzen verwenden, um Knoten im Internet darzustellen, werden wir nicht nur die Funktionsweise des Internets auf Netzwerkebene, sondern auch Internet-Funktionalität emulieren können", so der Technikexperte.

Holz dagegen ist skeptisch, inwieweit die von Sandia geplanten Simulationen dem Botnetz-Verständnis wirklich helfen können. "Dazu fehlen einfach zu viele Parameter wie unter anderem nicht-infizierte Maschinen, die Latenz beim Versenden von Nachrichten, Router und andere Netzwerkkomponenten", meint der Botnetz-Forscher. Auch, ob die Verwendung von Linux-Kernels statt Windows-Systemen dem Verständnis realer Botnetze zuträglich ist, erscheint fraglich. "Ein Linux-Kernel verhält sich teilweise doch ganz anders als ein komplettes Windows-System", erklärt Holz. Das gilt besonders dann, wenn im Kernel keine anderen Anwendungen laufen, wie das in einem realen System der Fall wäre. Auch die Kommunikation zwischen Systemen könne anders aussehen als in realen Umgebungen. Allerdings glaubt er, dass der Sandia-Ansatz im Bereich Honeypots (Fallen-Systeme für illegale Aktivitäten im Internet) interessant sein könnte. " Man könnte auf entsprechend vielen IP-Adressen einen verwundbaren Rechner simulieren", sagt Holz.

Unabhängig davon, wie gut die Internet-Simulation im Supercomputer dem Verständnis um und Kampf gegen Botnetze tatsächlich auf die Sprünge helfen kann, erfordert sie jedenfalls sehr leistungsfähige Systeme. Um die eine Million Linux-Kernels gleichzeitig zu betreiben, haben die Sandia-Forscher den in Albuquerque angesiedelten Dell-Cluster "Thunderbird" mit 4480 physischen Knoten genutzt. Er zählte 2006 zu den zehn stärksten Superrechnern der Welt und nahm in der im Juni veröffentlichten aktuellsten Auflage der Liste der 500 rechenstärksten Supercomputer der Welt immerhin noch Platz 70 ein. (pte/cvi)