Manter a Internet segura às vezes pode parecer um jogo de Whac-A-Mole, reagindo aos ataques à medida que surgem e depois passando para o próximo. Na realidade, porém, é um processo contínuo que envolve não apenas a identificação de ameaças, mas também a captura e a manutenção do controle da infraestrutura por trás delas. Durante anos, uma pequena organização sem fins lucrativos chamada Shadowserver realizou silenciosamente uma parte surpreendentemente grande desse trabalho. Mas agora a organização enfrenta extinção permanente em questão de semanas.

Há uma cena crucial em Caça-fantasmas em que o inspetor da Agência de Proteção Ambiental Walter Peck entra na sede do grupo, armado com uma ordem de cessação e desistência. “Cale a boca”, Peck diz ao trabalhador que o acompanha. “Cale tudo isso.” Eles cortam a energia da rede de proteção dos Caça-Fantasmas, e todos os fantasmas são liberados. Pense no Shadowserver como a grade de proteção da Internet.

“Algo semelhante acontecerá digitalmente se o Shadowserver fechar as lojas”, diz Roland Dobbins, engenheiro principal da Netscout Arbor. “O trabalho que eles fazem em conjunto com operadores de rede, pesquisadores de segurança, policiais e fornecedores de tecnologia é um dos pilares do trabalho de segurança na Internet atualmente”.

Por mais de 15 anos, o Shadowserver foi financiado pela Cisco como uma organização independente. Mas, graças à reestruturação orçamentária, o grupo agora precisa sair por conta própria. Em vez de procurar um novo benfeitor, o fundador Richard Perlotto diz que o objetivo é que o Shadowserver se torne uma aliança totalmente financiada pela comunidade que não depende de nenhum colaborador para sobreviver. O grupo precisa arrecadar US $ 400.000 nas próximas semanas para sobreviver à transição e ainda precisará de US $ 1,7 milhão a mais para chegar até 2020 – um esforço de captação de recursos já hercúlea que coincide com uma pandemia global.

É difícil exagerar a importância do trabalho da organização. O Shadowserver varre mais de 4 bilhões de endereços IP – quase toda a Internet pública – todos os dias e reúne relatórios de atividades com base nas descobertas para mais de 4.600 operadores de rede, bem como nas equipes nacionais de resposta a incidentes de segurança de computadores de 107 países. O Shadowserver também hospeda um repositório de 1,2 bilhão de amostras de malware, semelhante ao VirusTotal do Google, que é acessível gratuitamente. Ao todo, a organização hospeda mais de 11,6 petabytes de inteligência de ameaças e dados relacionados a malware. Mas tudo isso é apenas para iniciantes.

O verdadeiro potencial de fuga de fantasmas vem do fato de o Shadowserver não apenas monitorar incidentes, mas também trabalhar ativamente para contê-los. A organização possui uma vasta infraestrutura de “honeypot” e “sinkholing”. O primeiro atrai os atacantes e registra detalhes sobre eles, enquanto o último desvia o tráfego malicioso para uma espécie de buraco negro digital e para longe do seu objetivo.

A Shadowserver diz que perfura até cinco milhões de endereços IP por dia, neutralizando uma série de dados maliciosos que, de outra forma, seriam lançados a partir de redes de bots e malware disruptivo. Mais de quatro anos depois que os pesquisadores expuseram o malware iOS e macOS conhecido como XcodeGhost, por exemplo, o Shadowserver ainda possui mais de meio milhão de dispositivos conectados ao seu sumidouro, na tentativa de conversar com a infraestrutura de comando e controle do malware. A organização também administra o que chama de “registrador de último recurso”, que controla nomes de domínio maliciosos para interromper a infra-estrutura criminal e, portanto, o malware não pode telefonar para casa para seguir os comandos de um hacker.

Além disso, o Shadowserver colabora muito ativamente com grupos de aplicação da lei em todo o mundo para usar sua própria infraestrutura e conhecimento em operações coordenadas massivas. Nos últimos anos, por exemplo, o Shadowserver participou da queda de Avalanche em 2016 e da queda de Goznym em 2019. A organização diz que seu objetivo é sempre ajudar as autoridades a fazer prisões e remediar danos às vítimas.



Fonte