La unidad de contención de bots de la web necesita tu ayuda – Krebs on Security


Cualquiera que haya visto la exitosa película de 1984 Cazafantasmas probablemente recuerda la escena very important donde un burócrata del gobierno ordena el cierre de la unidad de contención fantasma, desatando efectivamente una amenaza fantasma acumulada en la ciudad de Nueva York. Ahora, algo identical está en peligro de suceder en el ciberespacio: Shadowserver.org, una organización sin ánimo de lucro totalmente voluntaria que trabaja para ayudar a los proveedores de servicios de Web (ISP) a identificar y poner en cuarentena las infecciones de malware y botnets, ha perdido su fuente principal de financiación desde hace mucho tiempo.

Imagen: Cazafantasmas.

Shadowserver proporciona información diaria gratuita en vivo de información sobre sistemas que están infectados con malware de bot o están en peligro de infectarse con más de 4,600 ISP y con 107 equipos nacionales de respuesta a emergencias informáticas (CERT) en 136 países. Además, ha ayudado al FBI y a los funcionarios federales de aplicación de la ley de otras naciones en los nombres de dominio «hundidos» utilizados para controlar las operaciones de imperios de malware remotos.

En el léxico de seguridad informática, un sumidero es básicamente una forma de redirigir el tráfico malicioso de Internet para que pueda ser capturado y analizado por expertos y / o funcionarios encargados de hacer cumplir la ley. Por lo common, un sumidero se configura en conjunto con algún tipo de acción lawful diseñada para arrebatar el regulate sobre los recursos clave que alimentan una purple de malware.

Aquí se han documentado algunas de estas intervenciones que involucran a ShadowServer, incluida la eliminación de la botnet de spam Avalanche, la adquisición de la botnet Rustock, la captura de la botnet de malware Gameover y el ataque furtivo de la botnet Nitol. La semana pasada, Shadowserver fue instrumental en ayudando a Microsoft a superar la red de malware Necurs, una de las botnets de malware y spam más grandes del mundo.

Imagen: Shadowserver.org

Sinkholing permite a los investigadores asumir el management sobre los dominios de una red de malware, mientras redirige el tráfico que fluye a esos sistemas a un servidor que controlan los investigadores. Mientras los buenos controlen los dominios hundidos, ninguna de las computadoras infectadas puede recibir instrucciones sobre cómo hacerse daño a sí mismas oa otros en línea.

Y Shadowserver ha sido una y otra vez el socio de confianza cuando las agencias nacionales de aplicación de la ley necesitaban a alguien para administrar el aspecto técnico de las cosas, mientras que las personas con armas e insignias incautaron los discos duros en los ISP y proveedores de internet hosting afectados.

Pero muy recientemente, Shadowserver recibió la noticia de que la compañía que principalmente financió sus operaciones por más de 15 años, gigante de redes Cisco Programs Inc., optó por dejar de proporcionar ese apoyo. Cisco aún no ha respondido a las solicitudes de comentarios.

Para empeorar las cosas, a Shadowserver le han dicho que necesita migrar su centro de datos a una nueva ubicación antes del 15 de mayo, una tarea que la organización calcula que costará alrededor de $ 400,000.

“Millones de víctimas infectadas con malware en todo el mundo, que actualmente están siendo enredadas y protegidas del control cibercriminal por Shadowserver, pueden perder esa protección crítica, justo en el momento en que los gobiernos y las empresas se ven obligados a estirar inesperadamente sus perímetros de seguridad corporativos y permite que el personal trabaje desde casa en sus propios dispositivos, potencialmente no administrados, y el riesgo de otro gusano mayor de Windows ha aumentado «, Shadowserver escribió en una publicación de blog site publicada hoy sobre su difícil situación financiera.

La Fundación Shadowserver actualmente atiende a 107 equipos nacionales de respuesta a emergencias informáticas (CERT) en 136 países, más de 4,600 propietarios de redes investigadas y más del 90% de World-wide-web, principalmente brindándoles informes de red diarios gratuitos.

«Estos informes notifican a nuestros electores acerca de millones de dispositivos mal configurados, comprometidos, infectados o abusables para su reparación todos los días», explicó Shadowserver.

El grupo está explorando varias opciones para el autofinanciamiento en el futuro, pero el Director de Shadowserver Richard Perlotto dice que la organización probablemente dependerá de un modelo de financiación escalonado de «alianza», en el que múltiples entidades brindan apoyo financiero.

«Muchos CERT nacionales han estado recibiendo nuestros datos de forma gratuita durante años, pero la mayoría de estas organizaciones no tienen dinero y nunca les cobramos porque Cisco pagó la factura», dijo Perlotto. «El problema para Shadowserver es que no blogueamos sobre nuestros logros con mucha frecuencia y operamos con bastante tranquilidad. Pero ahora que necesitamos fondos es una historia diferente «.

Perlotto dijo que aunque los datos de Shadowserver son extremadamente valiosos, la organización adoptó una postura hace mucho tiempo que lo haría nunca venda datos de víctimas.

«Esto no significa que seamos actividades contrarias al sector comercial. Definitivamente creemos que existen grandes oportunidades para la innovación, el desarrollo de productos y la venta de servicios de seguridad cibernética», dijo. “Shadowserver no busca competir con proveedores comerciales ni alterar sus modelos comerciales. Pero creemos fundamentalmente que nadie debería tener que pagar para descubrir que ha sido víctima de un delito cibernético. «

De manera más inmediata, Shadowserver necesita recaudar aproximadamente $ 400,000 para fines de este mes para administrar la migración de sus más de 1,300 servidores del centro de datos de Cisco en California a una nueva instalación.

Cualquier persona interesada en apoyar ese esfuerzo de migración puede hacerlo directamente aquí La página de contacto de Shadowserver es aquí.


Etiquetas: Cisco Methods, Richard Perlotto, Shadowserver Basis

Esta entrada fue publicada el lunes 16 de marzo de 2020 a las 8:55 am y está archivada en The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary