Botnets van miljoen virtuele Linux-machines onderzocht

Onderzoekers van Sandia National Laboratories in de Amerikaanse plaats Livermore hebben op een computercluster ruim een miljoen virtuele Linux-machines draaien. De onderzoekers willen daarmee het gedrag van botnets bestuderen.

De gevirtualiseerde Linux-kernels zijn ondergebracht op de Thunderbird-supercomputercluster van Sandia National Laboratories, die bestaat uit 4480 Dell-nodes die elk weer onderdak bieden aan 250 Linux-kernels. Volgens de onderzoekers is het draaien van een miljoen virtuele machines op een enkel systeem een record; het oude record zou op twintigduizend stuks liggen.

De onderzoekers, die worden gesponsord door onder andere Dell, IBM en een aantal overheidsinstellingen, verwachten met de miljoen virtuele machines het gedrag van 'zombies' in een botnet beter te kunnen bestuderen. Met de resultaten hopen ze nieuwe methoden te ontwikkelen om de kwaadaardige netwerken te kunnen bestrijden; het onderzoeken van grote aantallen zombies via het internet zou veel lastiger zijn.

Als gast-OS gebruiken de wetenschappers een zelf gecompileerde en van alle overbodige functionaliteit gestripte Linux-kernel. In de kernel is de door IBM ontwikkelde hypervisor Lguest geïntegreerd. De keuze zou op Lguest zijn gevallen vanwege de eenvoud van IBM's lichtgewicht hypervisor. Als clustermanagementsoftware wordt OneSis toegepast.

De wetenschappers zijn in juni begonnen met het stapsgewijs opstarten van de virtuele machines. De opstarttijd van een enkele gevirtualiseerde kernel in het Thunderbird-cluster zou slechts een fractie van een seconde bedragen, waarbij de meeste tijd nog in het lezen van het omvangrijke configuratiebestand zou zitten. De komende maanden gaan de onderzoekers de virtuele machines uitrusten met browsers, e-mail-clients en uiteraard een botnet-client.

Thunderbird-cluster

IT-banen

Reacties (110)

Clementine 5 augustus 2009 11:51

Das best wel vet

Toch wel een stuk indrukwekkender dan mijn botnetje met 100 pc's

Ik test er vooral mee hoe goed ddoss attacks worden afgeslagen op mijn websites.

Hiermee kan je in 1 dag duizenden sites controleren

[Reactie gewijzigd door Clementine op 23 juli 2024 23:43]

blorf @Clementine • 6 augustus 2009 10:37

Wat is het verschil tussen 100 lokale virtuele nodes die een service zitten te flooden met requests en een enkel systeem met 100 processen die hetzelfde doet?
Volgens mij moet je echt 100 echte remote nodes ter beschikking hebben om er een ddos aanval mee te simuleren.

Je kunt jezelf natuurlijk via buiten en weer naar binnen requesten, maar dan zit je veel sneller aan de limieten van je modem plus dat alle sender id's dan hetzelfde zijn waar de meeste firewalls niet in trappen.
Ik heb een keer geprobeerd mijn eigen dc++ hub te vullen met fake user connecties. Mijn rtl8139 kaartje kon er ongeveer 800 in stand houden. Van buiten was er geen doorkomen meer aan.
Maar ik had daar geen 800 VM's voor nodig, alleen maar 800 instances van een klein dc++ clientje op dezelfde host. Het was geen echte ddos, gewoon de NIC van binnenuit overbelasten zodat ie niet buiten niks meer hoort. Ik denk dat het ook wel werkt als je gewoon rauwe data naar je netwerk device stuurt. Iets van cat /dev/random > /dev/rl0.
Maar "thuis" een botnet draaien is niet haalbaar omdat je normaalgesproken maar een uitgaande lijn hebt. Tenminste niet eentje die met wat dan ook het nieuws haalt.

@johhny2000: Iemand die zijn eigen site bij een webhoster gaat ddossen met een zombienetwerk? Hoe gestoord ben je?

[Reactie gewijzigd door blorf op 23 juli 2024 23:43]

johnny2000 @Clementine • 5 augustus 2009 15:07

Hoe kan een website een ddoss afslaan? Zal toch echt op netwerk niveau moeten gebeuren.

Tenzij je dit niet op je eigen netwerk hebt gedaan, heb je enig idee wat voor schade je kan aanrichten? We hebben onder onze klanten ook wel eens gehad dat een fluim dit met zijn eigen website deed. Deze hebben we zonder pardon zijn contract ontbonden en restitutie kon ie op zijn buik schrijven!

nl2dav @johnny2000 • 5 augustus 2009 21:00

Dus ik begrijp dat als je het bij jezelf doet dat je dan beter kunt ontkennen dat je het zelf bent want dan gebeurd er verder niets.

Zo wordt oneerlijkheid wederom beloont. Als gewoonlijk.

johnny2000 @nl2dav • 5 augustus 2009 22:02

nee zegt iets over de mensen, ze hebben geen flauw idee wat ze doen...

Zyppora @johnny2000 • 5 augustus 2009 22:23

Dat valt te bezien. Sowieso is een botnet zoals deze in de volksmond bekend staat een criminal activity, je gebruikt namelijk een programma op de machine van een ander zonder diens toestemming. Mocht je je botnet op eigen machines draaien, dan nog lijkt het me beter om vooraf even af te stemmen met je hoster of dit kan, en zo ja, onder welke omstandigheden. Daarnaast zou het zomaar kunnen zijn dat Upquark zijn eigen botnet EN zijn eigen server(s) onderhoudt. In dat geval is er van misdaad geen sprake

Upquark @Clementine • 5 augustus 2009 14:36

Foei!

/me 112 belt...

K_VL 5 augustus 2009 12:06

Vreemd... Een computer is toch geen "organisch wezen"? Het doet toch gewoon wat je het opdraagt te doen?
Waarom moet je dan in het groot een experiment opzetten dat je gewoon op papier 100% kan voorspellen?

Xenomorphh @K_VL • 5 augustus 2009 12:17

je hebt tegenwoordig ook robots die voor zichzelf denken ik dacht dat het autonoom heette.. dit is een botnet ook deze schrijft zelf software bij.. een virus is ook autonoom anders heeft natuurlijk weinig nut om zo'n ding uit te brengen..

al hebben virussen helemaal geen nut behalve lekken ontdekken..

[Reactie gewijzigd door Xenomorphh op 23 juli 2024 23:43]

timonb @Xenomorphh • 5 augustus 2009 13:41

zelfdenkende machines/software bestaan/bestaat niet.

Software voert enkel de voorafgedefinieerde routines uit. Daar is niks zelfdenkend aan. Dat je de routines op een ander niveau definieert, maakt het nog niet zelfdenkend.

Virussen hebben overigens wel degelijk een nut. Want je kunt een virus immers ook in positieve zin gebruiken. Bijvoorbeeld een virus in je netwerk los laten om een bug of leak te fixen.

CAPSLOCK2000

Linux
Internet
Netwerk en systeembeheer
Besturingssystemen

@timonb • 5 augustus 2009 13:58

zelfdenkende machines/software bestaan/bestaat niet.

Software voert enkel de voorafgedefinieerde routines uit. Daar is niks zelfdenkend aan. Dat je de routines op een ander niveau definieert, maakt het nog niet zelfdenkend.

Een interessante vraag is of mensen wel zelfdenkend zijn.

Virussen hebben overigens wel degelijk een nut. Want je kunt een virus immers ook in positieve zin gebruiken. Bijvoorbeeld een virus in je netwerk los laten om een bug of leak te fixen.

Ik vind dit onzin. Dat neem ik jouw niet kwalijk, dit idee komt regelmatig terug. Maar waarom zou je een virus los laten op je eigen netwerk? Als het echt jouw netwerk is, dan heb je efficientere manieren om je updates te verspreiden.

Als het niet jouw netwerk is, dan lijkt het misschien heel nobel om de problemen van een ander op te lossen, maar je bent uiteindelijk gewoon crimineel bezig.

Het is alsof je in m'n auto inbreekt omdat ik de lichten aan heb laten staan. Heel aardig dat jij wil voorkomen dat ik morgen met een lege accu sta, maar het blijft inbreken, je had ook aan mijn voordeur kunnen bellen.

timonb @CAPSLOCK2000 • 5 augustus 2009 16:30

Of dat er betere methodes zijn om te patchen, dat geloof ik direct. Maar er zullen vast situaties denkbaar zijn waarin je een positieve variant kunt bedenken.

Laten we wel wezen, op een virus manier software patchen is best interessant.

tes_shavon @timonb • 6 augustus 2009 08:22

en alle maatwerk op het systeem vernietigd van zien worden omdat daar geen rekening mee is gehouden met het testen. Of dat er iemand het "positieve" virus heeft meegenomen naar een concurrent...

nee dank je...

virustechnieken gebruiken om zaken te patchen, liever dan maar aan de WSUS

CAPSLOCK2000

Linux
Internet
Netwerk en systeembeheer
Besturingssystemen

@timonb • 6 augustus 2009 12:34

Het heeft alleen zin als je zelf niet de volledige controle over die computer hebt. In dat geval is het gewoon inbraak.
De eerste die zoiets op mijn computers flikt mag een advocaat gaan zoeken.

CAPSLOCK2000

Linux
Internet
Netwerk en systeembeheer
Besturingssystemen

@Xenomorphh • 5 augustus 2009 13:17

Autonoom kun je het beste vertalen als "zelfstandig".
Wat dat precies betekend weet niemand

Deze week was er nieuws dat Conficker autonoom zou zijn. Dat is schromelijk overdreven. Dat is hetzelfde als zeggen dat een boot autonoom is, omdat de kapitein is uitgestapt maar de boot nog niet is gezonken.

Verwijderd @K_VL • 5 augustus 2009 12:15

En dat stuk papier dan op het internet aansluiten en laten wachten op de opdrachten van een botmaster?

Verwijderd @K_VL • 5 augustus 2009 12:19

Het wordt echter wel door een organisch wezen geprogrammeerd en vaak krijg je bij zo'n dingen dan de keuzes van de programmeur te zien en niet altijd wat een rationele machine zou doen.

BadRespawn @K_VL • 5 augustus 2009 12:50

Het probleem is dat grote systemen (botnet in dit geval) bestaande uit componenten (bots) die elk op zich eenvoudig gedrag vertonen, als geheel complex en zeer lastig voorspelbaar gedrag kan vertonen. Simulatie van dat soort systemen is de beste methode om er greep op te krijgen, en daar is veel rekenkracht voor nodig.

(Zelfs als het gedrag vh systeem niet bijzonder complex zou zijn, dan nog zou uitwerken *op papier* vh gedrag van een netwerk bestaande uit miljoenen bots, erg veel tijd vergen. Voor dat soort rekenwerk zijn computers nou juist zo handig.)

CAPSLOCK2000

Linux
Internet
Netwerk en systeembeheer
Besturingssystemen

@K_VL • 5 augustus 2009 12:58

Omdat die voorspellingen nogal moeilijk zijn. Door zo'n cluster te bouwen kunnen ze hun voorspellingen controleren. Daarmee kunnen ze controleren of hun methodes betrouwbaar zijn.

De reactie van een enkele computer is nog redelijk overzichtelijk, maar als je rekening moet houden met de interacties met andere computers wordt het al snel enorm complex.

MachoM 5 augustus 2009 11:55

Wat willen ze nou precies bestuderen, dat vraag ik me dan af. In het originele artikel is dat ook niet erg duidelijk. "Botnets" is niet erg duidelijk, heeft iemand kunnen vinden wat ze nou specifiek van deze netwerken willen onderzoeken? Ik bedoel, welk gedrag willen ze bestuderen?

[Reactie gewijzigd door MachoM op 23 juli 2024 23:43]

Clementine @MachoM • 5 augustus 2009 11:55

Kijken hoe botnetten ontstaan, zich gedragen en tegengegaan kunnen worden.

Gedragen: hoe worden ze geactiveerd, beheerd en waarvoor worden ze voornamelijk gebruikt etc...

[Reactie gewijzigd door Clementine op 23 juli 2024 23:43]

Verwijderd @Clementine • 5 augustus 2009 12:11

En hoe dan? Ze gaan hun eigen linux-cluster besmetten met een bot ofzo om de evolutie te bestuderen? Dat maak ik op uit het artikel, maar ben er niet zeker van.

CAPSLOCK2000

Linux
Internet
Netwerk en systeembeheer
Besturingssystemen

@Verwijderd • 5 augustus 2009 12:50

ja, dat is een van de dingen die ze willen doen.

Pak een bestaand virus, en laat het los in deze simulator. Je kan dan heel precies volgen hoe het zich gedraagd. In het echt zul je nooit zo'n goed totaalbeeld krijgen, omdat je altijd maar een paar van de computers direct kan bestuderen.

Verder denk ik dat ze wel een hoop experimenten zullen doen met virus-achtige programmaatjes. Ze hoeven natuurlijk niet echt in te breken op hun eigen computers. Dat deel vinden ze toch niet interessant. Ze kunnen gewoon de deur openzetten voor hun eigen software.

Wat mij wel een interessante vraag lijkt is hoeveel kwetsbare computers je nodig hebt voordat een bot echte een bedreiging vormt voor je infrastructuur.
Als er wereldwijd maar 10 kwetsbare computers zouden zijn, dan is de kans dat een virus een van die computers vindt erg klein. Als 90% van de computers kwetsbaar is, dan bezwijkt die laatste 10% misschien wel aan de bijverschijnselen.
(Er is natuurlijk niet 1 antwoord dat geldig is voor alle virussen, maar er zijn vast wel principes die breed op gaan, net als bij biologische virussen).

Qreed @Clementine • 5 augustus 2009 12:19

Tja, blijft een beetje vaag. Er zijn veel verschillende botnets. Sommige verspreiden zich door simpele trojans in downloads die mensen installeren. Andere verspreiden zich via exploits en sommige gebruiken p2p transport zoals emule. Gaan ze al die varianten simuleren? Wat gaan ze daar dan uithalen?

Begrijp me niet verkeerd; het is een heel stoer onderzoek maar ik heb het idee dat de essentie meer het draaien van een zillion vm clients gaat dan om het bestrijden van botnets.

dasiro @MachoM • 5 augustus 2009 12:56

inderdaad. De titel zou dan ook moeten zijn 'wetenschappers bouwen virtueel botnet voor onderzoek', want nu lijkt het alsof ze een bestaand botnet gaan onderzoeken, terwijl elk botnet toch wel weer anders is dan de anderen

Verwijderd @MachoM • 5 augustus 2009 12:14

Beeld je even de reportages van de afrikaanse vlakten in die je op NatGeo kan zien. Dit gaan ze nu dus doen voor botnets.
In gekoelde serverkamers gaan nerds rondlopen om het sociale gedrag, de jachttechnieken en de voorplanting van botnets te onderzoeken. Keivet!

Mr_gadget 5 augustus 2009 11:57

Botnets draaien toch meestal gewoon windows? Aangezien het vaak gehackde jan met de pet pc's zijn? Waarom dan linux?
En het is gewoon software toch, dat zou je toch makkelijker moeten kunnen simuleren doordat het voorspelbaar is hoe een client zich gaat gedragen?

Clementine @Mr_gadget • 5 augustus 2009 11:58

Linux is minder zwaar dan windows. Hierdoor kunnen ze meer pc's installeren (virtueel) dan met windows mogelijk zou zijn.

Meer computers = meer rekenkracht

phosporus @Clementine • 5 augustus 2009 12:05

Nee meer computers = een meer realistische botnet
Daarintegen zou een realistische botnet bestaand uit Windows machines misschien wel betrouwbaardere resultaten geven, maar misschien dat Linux wel precies net zo werkt in dit geval.

CAPSLOCK2000

Linux
Internet
Netwerk en systeembeheer
Besturingssystemen

@phosporus • 5 augustus 2009 12:54

Ze gebruiken Wine om Windows te simuleren. Wine is natuurlijk wel subtiel anders dan Windows, maar voor het onderzoek dat zij willen doen maakt het niet uit. Hun test-worm doet het prima onder Wine.

Door Linux+Wine te gebruiken kunnen ze de virtuele machines veel compacter houden dan als ze Windows zouden gebruiken.

Verder kost het natuurlijk een smak geld als je 1 miljoen Windows licenties moet kopen (al zouden ze vast wel korting krijgen

ajmwegman @CAPSLOCK2000 • 5 augustus 2009 14:42

MS had ook mede sponsor kunnen zijn...
Zouden ze zijn gevraagd, of benaderd?

[Reactie gewijzigd door ajmwegman op 23 juli 2024 23:43]

timonb @Clementine • 5 augustus 2009 13:30

Oei gevaarlijk!

Definieer computers een even duidelijk?

Want als je de "bot" bedoelt, dan is het niks anders dan een virtuele machine. Die samen met vele andere virtuele machines op één server draaien. In dat geval is meer "computers" dus niet automatisch meer rekenkracht.

Zet je daar fysiek extra servers neer, dan zou de stelling allicht valide zijn.

Clementine @Mr_gadget • 5 augustus 2009 12:02

Software die door 1 persoon (of een groep) mensen wordt aangestuurd.

Menselijke keuzes vallen nog slecht te simuleren.

Ze willen onderzoeken waarvoor botnets vooral (mis)bruikt worden.

High-Voltage2 @Mr_gadget • 5 augustus 2009 12:02

Het maakt toch niet uit op wat OS je zombies draaien? Het gaat er gewoon om dat je een heel legertje wil maken en kijken wat je met dat legertje kan doen, hoe het zich gedraagt, hoe het zich uitbreidt, hoe makkelijk is het om zoiets aan te sturen etc...

johnkeates @Mr_gadget • 5 augustus 2009 12:49

Zie mijn post hierboven.

LoBbY_1 5 augustus 2009 12:03

Ik kan me ook voorstellen dat het licentiegewijs niet echt leuk is om een miljoen win machines te draaien! Tenzij je MS neemt als sponsor van een dergelijk project. Misschien zal het zelfs wel interessant zijn voor MS om een dergelijk onderzoek te doen.

Daarnaast is het natuurlijk een lastig iets, ieder bot in een net is vaak verschillend. Denk aan verbinding, OS, snelheid/geheugen, locatie noem maar op. Ik ben wel benieuwd hoe ze dat in dit onderzoek meenemen.

Verwijderd @LoBbY_1 • 5 augustus 2009 12:12

Het lijkt mij toch wel dat MS die licenties graag beschikbaar zal stellen, aangezien dit onderzoek ook in hun belang is. In 't ergste geval kunnen ze natuurlijk gewoon trial-licenties gebruiken, maar dat zal vast niet 't geval zijn.

timonb @Verwijderd • 5 augustus 2009 13:35

Weet je wat cool is? Microsoft biedt zelfs trials aan om mee te kunnen testen. Het mooie van virtual machines is dat je ze gewoon kunt kopieren en nog eens starten.

Er is dus geen enkele noodzaak om een licentie af te nemen van MS.

phosporus @LoBbY_1 • 5 augustus 2009 12:10

nadat ik je eerste zin las dacht ik, nee die denk toch niet serieus dat ze naar een winkel gaan en daar voor 80 a 90 euro de stuk een xp licentie kopen voor 1 miljoen virtueel pc's
ik denk dat Microsoft zeer veel interesse in het eindresultaat zal hebben en zich hier best wat ongebruikte licenties wil aan spenderen

himlims_

Linux

5 augustus 2009 12:11

Labs Accomplishments [pdf]
NW: Nuclear Weapons SMG & SMU
ITS: Integrated Technologies & Systems SMG
DS&A: Defense Systems & Assessments SMU
ER&N: Energy, Resources, & Nonproliferation SMU
HS&D: Homeland Security & Defense SMU
ST&E: Science, Technology, & Engineering SMU
IES: Integrated Enabling Services SMU

Wat zouden ze hier nu echt testen? Wat de effecten kunnen zijn van buitenlandse botnets? En hoe daar tegen te verdedigen? bedoel ze worden aardig gesponserd

ik denk het wel

CAPSLOCK2000

Linux
Internet
Netwerk en systeembeheer
Besturingssystemen

@himlims_ • 5 augustus 2009 13:03

Meer dan 80% van het onderzoeksbudget in de VS wordt direct of indirect uitgegeven door het leger. Van de ene kant is dat natuurlijk omdat de Amerikanen erg oorlogszuchtige zijn (

), en van de andere kant hebben ze gewoon een heel andere kijk op het leger dan wij hier in Europa.

In de VS is het leger bijvoorbeeld ook verantwoordelijk voor het aanleggen en onderhouden van dijken. Dat is niet uit paranoia voor Russen die dijken komen doorsteken. De VS kijkt gewoon heel anders tegen het leger aan.

Verwijderd @CAPSLOCK2000 • 5 augustus 2009 14:20

Precies. Als onderzoek ook maar enigzins interesseant kan zijn voor het leger, dan wordt het door hen gefinancierd. En dan zijn de onderzoekers trots dat het voor het leger is. In Nederland zou exact datzelfde onderzoek gefinancierd worden door FOM o.i.d., omdat het hier vies is om door defensie te werken.

Ik heb in mijn vakgebied al heel vaak gezien dat onderzoek door de Amerikaanse defensie werd gefinancieerd, waarbij je zelfs met de grootste fantasie er geen wapensysteem in kunt ontdekken.

fevenhuis @himlims_ • 5 augustus 2009 12:45

Ze maken/testen er dus veel wapens en nucleare technologie en dat wil je dus zo goed mogelijk verdedigen en beveiligen.

http://www.sandia.gov/about/faq/

LuckY 5 augustus 2009 12:25

Oud nieuws:
bron: http://security.nl/artike...er_prooi_voor_botnet.html

De onderzoekers willen vervolgens het netwerk met echte malware infecteren, om te zien hoe het botnet zich zal gedragen. Eén van de uitdagingen waar het onderzoeksteam mee te maken krijgt is het botnet te laten geloven dat het zich op het echte internet bevindt. Om Windows te simuleren draaien de Linux virtual machines Wine. Hierdoor is het niet nodig om één miljoen Windows licenties aan te schaffen, wat vanwege de kosten onhaalbaar was. De simulatie kan op elk moment worden afgebroken.

bron: http://www.nytimes.com/2009/07/28/science/28comp.html?_r=1

Because most botnets are written for the Windows operating system, the researchers are planning to use an open source program called Wine, making it possible to run Windows-based programs without actually having the complete Windows operating system. They said they were not using Windows itself because of the licensing costs of purchasing one million copies of Windows.

Of ze zouden samen moeten werken met MS of ze moeten _heel_ veel trial versions gaan installeren.

Echter denk ik dat het met linux evengoed na te maken is er zijn ook wel linux botnets. Echter als ze WINE gebruiken voor de emulatie moet de test het maar bewijzen dat het goed gaat.

Mijn vraag is echter, wat voor bot pakken ze en is die gekocht of zelf gemaakt.
En hoe zit het met de internet acces van dit ding, als het een gekochte bot is die niet goed nagekeken is heb je een superbotnet op glasvezel die hele racks aldanniet datacentrums kunnen platleggen.
Echter heb ik er zelf wel vertrouwen in dat dit goed geregeld is, wel jammer dan MS geen gratis OS's heeft gesponsord. Het lijkt me echter wel een crime om dit ding te beheren voor die test...

The researchers said they were collaborating with military contractors who are developing the National Cyber Range, a project financed by the Pentagon that is intended to be a testing ground for defensive techniques and new weapons developed for cyberwar.

Dit vond ik ook wel grappig om te lezen

misschien gaan ze al die bots wel testen op iets.

[Reactie gewijzigd door LuckY op 23 juli 2024 23:43]

watercoolertje

Malware

@LuckY • 5 augustus 2009 12:51

Of een MSDN installatie, kost niks mag op oneindig veel machines voor non commerciaeel gebruik gebruikt worden... en denk je dat die dingen geinstalleerd worden stuk voor stuk?

LuckY @watercoolertje • 5 augustus 2009 12:56

Tuurlijk niet maar de uitrol is nog wel een groot project... De tactiek die gebruikt lijkt te worden is op basis van pxe.
Maar ik denk dat het op wine meer controle heeft, je hebt immers maar een paar directory's waar die iets in doet. In plaats van een volledig OS waar je het niet kan garanderen wat er voor extra dingen binnengehaald worden e.d.

CAPSLOCK2000

Linux
Internet
Netwerk en systeembeheer
Besturingssystemen

@LuckY • 5 augustus 2009 13:27

En hoe zit het met de internet acces van dit ding, als het een gekochte bot is die niet goed nagekeken is heb je een superbotnet op glasvezel die hele racks aldanniet datacentrums kunnen platleggen.

Dat ding krijgt echt geen internet verbinding. Dat hebben ze ook niet nodig. Met zoveel computers lijkt het genoeg op het echte internet.
Ze gaan ook vast geen ingekochte bot hier op draaien. Misschien een die ze ergens gestolen hebben, maar een bot kopen is gewoon crimineel. Daar blijven die onderzoekers wel van af. Zelf een bot schrijven is ook veel te leuk om zo'n kans te laten liggen

Echter heb ik er zelf wel vertrouwen in dat dit goed geregeld is, wel jammer dan MS geen gratis OS's heeft gesponsord. Het lijkt me echter wel een crime om dit ding te beheren voor die test...

Ik denk dat als ze er om gevraagd hadden dat ze die licenties wel hadden gekregen. Dan heb je nog een zooi aan update en beheer servers nodig, maar daar is ook wel overheen te komen. Het beheer lijkt mij de voornaamste reden om dat niet te doen. Linux is veel makkelijker aan te passen zodat je het van je broeksknoop kan installeren op een rol wc-papier. (excuus voor deze kansloze metafoor).

Kalief @LuckY • 5 augustus 2009 13:19

misschien gaan ze al die bots wel testen op iets

Ik vermoed dat internet in Iran binnenkort heeeel langzaam wordt.

abot13 @Kalief • 6 augustus 2009 23:52

juist niet internet in Iran is het middel voor de oppositie

Verwijderd 5 augustus 2009 11:52

Ik mag toch aannemen dat er op die VM's dan Windows geinstalleerd wordt, aangezien dat hét platform is waarop zombies draaien.

Ik ben wel benieuwd wat 't stroomverbruik van dit cluster is, aangezien dit mij 'n optimale configuratie lijkt, wat de resources & gebruik betreft.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 23:43]

wildhagen

Malware
Beveiliging
Besturingssystemen
Internet
Wetenschap
Bedrijfsnieuws

@Verwijderd • 5 augustus 2009 11:54

Een zombie kan op elk OS draaien hoor. Of dacht je dat Linux niet gehacked kon worden, en misbruikt voor god mag weten wat voor doeleinden?

Psilax @wildhagen • 5 augustus 2009 12:27

Je hebt in principe gelijk, maar kijk eens op het internet, de meerderheid van de zombieprogrammas is voor windows geschreven. Dus zijn opmerking is niet helemaal onterecht. Ik heb niet direct kennis van linux-zombiepc's die voor kwade doel einden worden gebruikt.

freelh @Psilax • 5 augustus 2009 12:56

Als je even ruwweg stelt dat voor elke 10 windows machines er 1 linux draait, is toch niet meer dan normaal dat dit ook geldt voor de software die er wordt voor geschreven? Vooral dan voor dit soort zaken?
(ik zou kunnen inzien dat alledaagse software gewoon geport wordt naar Linux, terwijl drivers, virussen, botnets, weetiknogwat echt apart gecodeerd worden?)

Volgens mij geldt hier gewoon dezelfde wet als voor virusmakers: maak een virus dat zoveel mogelijk computers treft en zo eenvoudig/snel mogelijk. Hier kom je dan uit op Windows.
(Ik durf er niet over te beginnen, maar virussen voor Mac en Linux zijn niet onmogelijk hoor, van zodra er evenveel Mac/Linux/Windows is, zal je dit merken bij virussen en botnets)

Ik vind het iig een mooie studie om in de toekomst botnets beter af te kunnen slagen of zelfs te voorkomen dat ze ontstaan.

Verwijderd @freelh • 5 augustus 2009 14:26

10 windows machines er 1 linux draait

Verhouding is eerder 50:1

ookhoi @Verwijderd • 5 augustus 2009 15:18

Als het cluster online is niet meer

Gojira @ookhoi • 8 augustus 2009 12:40

Jij denkt dat 1,000,000 Linux computers die verhouding ineens scheef trekt? Heb je enig idee hoeveel computers er ongeveer op deze aardbol draaien?

De opstarttijd van een enkele gevirtualiseerde kernel in het Thunderbird-cluster zou slechts een fractie van een seconde bedragen

..... $_/-\o_$ Do want.

Verwijderd @wildhagen • 5 augustus 2009 12:02

Inderdaad. Op een windows machine (werkstation) is het over het algmeen wat waarschijnlijker, omdat er nu eenmaal meer van zijn, en omdat er nu eenmaal meer meukware voor is.
Maar een gehackte linux doos die lekker spam loopt rond te strooien is alles behalve ongewoon.

Ventieldopje @Verwijderd • 6 augustus 2009 01:42

Offtopic: Ergens zweefde eens een filmpje rond waar in ze demonstreerde hoe lang het zou duren als je een windows xp machine aan het internet zou hangen zonder firewall, virus scanner etc.

... 15 min was dat ding helemaal vol gebombardeerd met virussen, backdoors, trojans etc. zonder ook maar 1 pagina op internet te bekijken of ook maar wat uit te voeren met de pc.

exoOw @Ventieldopje • 9 augustus 2009 21:27

Lijkt mij zéér onwaarschijnlijk.

Ik heb pas sinds een 2-tal jaartjes een Security Suite (Firewall, Anti-virus, ...) op m'n PC staan, daarvoor surfte ik altijd op het net zonder enige beveiliging whatsoever.
Heb amper last gehad van virusjes, hoogstens een hijacker o.i.d. (zover ik weet natuurlijk)

Zonder ook maar één pagina te bekijken of ook maar iets uit te voeren met de PC ga je echt niet in 15 minuten overspoeld worden met virussen of spyware, zou wel erg absurd zijn dan.

Verder zijn botnet's nog steeds vrij moeilijk tegen te houden, meeste zombies in het netwerk zijn huis tuin en keuken computertjes waarvan de huisvrouw/man niet eens weet dat er iets mee scheelt.

johnkeates @Verwijderd • 5 augustus 2009 12:41

Ik denk dat qua virtualisatie en customization bar weinig vrijheid te halen is in Microsoft land

Vandaar linux..

Zyppora @Verwijderd • 5 augustus 2009 22:32

Ik mag toch aannemen dat er op die VM's dan Windows geinstalleerd wordt, aangezien dat hét platform is waarop zombies draaien.

Ik ben wel benieuwd wat 't stroomverbruik van dit cluster is, aangezien dit mij 'n optimale configuratie lijkt, wat de resources & gebruik betreft.

Waarom zouden die machines Windows moeten draaien? Deze onderzoekers richten zelf de machines in, inclusief (zelfgeschreven?) botnet-software. Linux kan heel resource-zuinig worden geconfigureerd, waardoor dit cluster zo efficient mogelijk zijn botnet kan draaien.

Gojira @Zyppora • 8 augustus 2009 12:43

Lijkt me niet dat het zelfgeschreven botnet-software is:

De onderzoekers willen daarmee het gedrag van botnets bestuderen.

awulms @Verwijderd • 5 augustus 2009 23:10

Dan zouden ze een milioen windows licenties moeten betalen. Kassa voor MS en de onderzoekers zijn al hun geld kwijt.

Ze zullen zelf botnet en zombie software schrijven en op hun virtuele machines installeren en dan het gedrag ervan bestuderen.

Herko_ter_Horst

@awulms • 8 augustus 2009 12:37

Of ze worden, net als met de hardware en de overige software, gesponsored natuurlijk...

elleP @Verwijderd • 5 augustus 2009 12:48

Volgens de New York Times gebruiken ze wine om windows apps te draaien

Gojira @elleP • 8 augustus 2009 12:42

En laat er nou net vandaag een nieuwe versie van Wine uitkomen.

FreqAmsterdam @Verwijderd • 5 augustus 2009 11:57

Onderzoekers van Sandia National Laboratories in de Amerikaanse plaats Livermore hebben op een computercluster ruim een miljoen virtuele Linux-machines draaien.

Verwijderd @FreqAmsterdam • 5 augustus 2009 12:16

Ze draaien zo goed als elk OS op dat botnet, maar dan virtueel op deze manier hoeven ze geen extra licenties te hebben voor Microsoft Windows, 1 windows xp licentie en je mag deze zo veel virtueel draaien als je maar wil, althans dat werd toch zo uitgelegd op de slashdot website.

IStealYourGun @Verwijderd • 5 augustus 2009 14:00

Vermoedelijk wel op voorwaarde dat je maar 1 processor hebt.
Bij visualisatie zal de prijs dan ook eerder per processor worden berekend.

WPN @Verwijderd • 5 augustus 2009 14:25

dat lijkt me erg sterk, dat zou inhouden dat je dan een VDI omgeving aanlegt en 1 xp licentie en je hebt voor je complete bedrijf een infrastructuur liggen....

virtueel is voor zover ik weet gewoon 1op1 licentiekopen, dat is het in iedergeval wel voor de server familie als je geen gebruik maakt van hyper-v (toevallig van de week nagevraagt)

Clementine @Verwijderd • 5 augustus 2009 11:53

Je kan ook een zombie maken van verschillende linux pc's

[Reactie gewijzigd door Clementine op 23 juli 2024 23:43]

arjankoole

Beveiliging
Bedrijfsnieuws

@Clementine • 5 augustus 2009 12:03

Je kan ook een zombie maken van verschillende linux pc's

Sterker nog, ik denk dat je dan makkelijker vanaf 1 Linux install meerdere botjes tegelijk kan laten draaien voor een aanval, omdat Linux toch wel een stukje beter met z'n resources omgaat dan Windows. ( Windows 7 lijkt een vooruitgang op dat gebied ).

Botjes zijn vaak te detecteren omdat je windows machine vreselijk traag wordt, ik heb menig botje zo mogen opruimen, iets wat overigens met de ontwikkeligen op dat gebied steeds moeilijker lijkt te worden. (het zijn helaas geen domme jongens, die een bot in elkaar schroeven).

Rob Coops

Beveiliging
Supercomputers

@arjankoole • 5 augustus 2009 12:35

Er zijn steeds minder bots die stom genoeg zijn om de PC over te nemen. Iedereen die nu een goede bot schrijft zorgt er voor dat het ding zo min mogelijk resources gebruikt en al helemaal niet opvalt voor de gebruiker. Niet op in Task Manager te vinden, en ook niet als service draaien, gewoon echt goed verstoppen. Met zo min mogelijk data communiceren met de master en ook dat alleen doen als het echt nodig is.

De volgende stap in de bot-netwerken zal warschijnlijk de p2p netwerken zijn, waar bij een bot alleen met een of twee andere bots spreekt op die manier is het nog veel moeilijker te vinden wie de eigenaar is. Op die manier kunnen de netwerken bijvoorbeeld vriendelijke mail server configuraties uit wisselen of samen werken om een wachtwoord te kraken zelfs zonder dat de master nodig is om opdracht te geven. Het enige wat de master dan hoeft te doen is eens in de zo veel tijd een nieuwe spam mail door te geven of een nieuw ddos target aan te wijzen de rest van de tijd doen de bots gewoon waar ze zelf zin in hebben.

xzaz @Rob Coops • 5 augustus 2009 13:18

Met andere woorden als rootkit?

dusti @xzaz • 5 augustus 2009 15:42

Of eerder een SPOOKkit?

SPee @Rob Coops • 5 augustus 2009 14:31

Vult dat aan met een de bot als virtuele host en je hebt helemaal geen problemen meer met detectie door de host. De eerste stappen zijn (net zoals hier) al in een onderzoekslab genomen.

PiepPiep @Rob Coops • 6 augustus 2009 07:51

De volgende stap p2p netwerken, zoals conficker al kan?

CAPSLOCK2000

Linux
Internet
Netwerk en systeembeheer
Besturingssystemen

@arjankoole • 5 augustus 2009 12:18

Misschien nog wel erger is dat moderen bots zo slim zijn om de computer om zichzelf een beetje op de achtergrond te houden, en niet alle CPU gebruiken, zodat de gebruiker er geen last van heeft.
Ik ben al meer dan eens mensen tegen gekomen die, nadat ik ze vertelde dat hun PC besmet was, zeiden "ik heb er geen last van, je hoeft er niks aan te doen".

Mellow Jack @arjankoole • 5 augustus 2009 12:53

Ik denk inderdaad dat dit de grootste reden is voor deze keuze

Maakt verder niet uit hoe een bot draait het gaat om het bestuderen van het gedrag van een bot net en dat zal in Linux wel hetzelfde zijn als in Windows

Verwijderd 5 augustus 2009 12:05

IK denk dat als je 1000.000 vpc's willen installen met xp MS heel blij met jou gaat zijn.
De licentie kosten schieten de pan uit.
En illigaal heeft helemaal geen zin.
kan je 1000.000 de wga troep flessen elke keer als er een nieuwe wga uit komt

Verwijderd @Verwijderd • 5 augustus 2009 12:14

Ik denk dat je best een aardige deal met Microsoft had kunnen maken. Alsof zij niet geïnteresseerd zijn in de bevindingen

Niemand_Anders

Beveiliging

@Verwijderd • 5 augustus 2009 12:29

Onzin. Aangezien dit development/onderzoek betreft kun je volstaan met een eenvoudige MSDN licentie. Daarmee kun je zoveel Windows installaties uitvoeren, zolang de installatie niet commercieel wordt ingezet.

Daarnaast maakt het niet uit welke OS er wordt gedraaid. De onderzoekers installeren nu bewust een botnet client. Dat de meeste botnet clients onder Windows draaien is omdat die eigenaren bijna altijd niet weten dat ze een client draaien.

Omdat linux beter is uit te kleden dan windows en je daardoor meer virtuele machines kunt draaien, is de keuze voor linux vrij logisch.

[Reactie gewijzigd door Niemand_Anders op 23 juli 2024 23:43]

johnkeates 5 augustus 2009 12:56

Aan de mensen die er over discusseren waarom Windows niet als OS wordt toegepast;

Ik denk (dus nee, ik heb geen bronnen, maar wel ervaring) dat Windows niet 'hackbaar' genoeg is, je kan niet de source van de kernel nemen en alles weghalen wat je niet nodig hebt, je kan het waarschijnlijk niet op IBM's hypervisior draaien, en dan nog is het te zwaar.

Over duur/licenties zal ik het maar niet hebben, gezien hun sponsoring zou dat vast geen ramp zijn geweest. Het is naar mijn weten gewoon niet te doen, windows kan je in de huidige vorm niet ver genoeg strippen om het in enkele seconden te starten. Bovendien zal dat tegen de microsoft-regels zijn (EULA's e.d.).

Verder is software gewoon software. Ze willen niet weten hoe ze windows binnen dringen e.d., ze willen weten hoe het werk. En dan maakt het al lang niet meer uit op welk host OS de boel aan het werk is.

kKaltUu @johnkeates • 5 augustus 2009 13:22

Kleine correctie, ze willen weten hoe het zich verspreid.
Sandia wil de WINE applicatie infecteren met een aantal virussen en trojans, die op hun beurt via het netwerk zichzelf verspreiden naar de nabijgelegen hosts.
Hier is het doel om te kijken in welke snelheid en patroon de infectie zich verspreid, zodat hier meer over bekend wordt.
Net als een lichaam, als een infectie in een been begint, zal als de infectie te groot wordt, het been geamputeerd worden.
In een netwerk, is het moeilijker te constateren of alleen het been geïnfecteerd is.
Natuurlijk is dit geen 100% simulatie, vanwege dat alleen de WIN 32 API wordt nagebootst.
Bepaalde zwakheden in het besturingssysteem zelf zullen dus niet gebruikt worden.

Maar dit artikel is al een tijd geleden langsgekomen op slashdot.
Hier

[Reactie gewijzigd door kKaltUu op 23 juli 2024 23:43]

Verwijderd @johnkeates • 5 augustus 2009 14:04

Bij linux is een grafische schil niet nodig terwijl dit bij de oudere versies van Windows niet losgekoppeld (ik zeg oudere want bij de nieuwere versie weet ik het niet meer ... gebruik geen windows). 1.000.000 grafische omgevingen voor nop opstarten lijkt mij iets teveel van het goede. Ik denk zelf dat dat wel de grootste strip actie is geweest. En de meeste bots doen ook niets met de grafische schil.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (110)

Sorteer op:

Weergave: