Mantenere Internet sicuro a volte può sembrare impossibile, reagire agli attacchi man mano che si presentano, quindi passare al successivo. In realtà, tuttavia, è un processo in corso che coinvolge non solo l’identificazione delle minacce, ma il mantenimento del controllo dell’infrastruttura dietro di esse. Per anni una piccola organizzazione no profit chiamata Shadowserver ha svolto tranquillamente una parte sorprendentemente grande di quel lavoro. Ma ora l’organizzazione deve affrontare il pericolo di chiusura nel giro di poche settimane.
C’è una scena storica nel film Ghostbusters in cui l’ispettore dell’Agenzia per la protezione ambientale Walter Peck marcia nel quartier generale del gruppo, armato di un ordine di cessazione e desistere. “Chiudi questo,” dice Peck all’operatore che lo accompagna. “Chiudi tutto.” Tagliano energia alla griglia di protezione degli Acchiappafantasmi e tutti i fantasmi vengono liberati. Pensa a Shadowserver come alla griglia di protezione di Internet.
Shadowserver esegue la scansione di oltre 4 miliardi di indirizzi IP – quasi l’intera rete Internet pubblica ogni giorno e mette insieme rapporti di attività basati sui risultati di oltre 4.600 operatori di rete, nonché i team nazionali di risposta agli incidenti di sicurezza informatica di 107 paesi. Shadowserver ospita anche un repository di 1,2 miliardi di campioni di malware, simile a VirusTotal di Google , che è liberamente accessibile. Nel complesso, l’organizzazione ospita oltre 11,6 petabyte di informazioni sulle minacce e dati relativi al malware. Ma tutto ciò è solo per cominciare.
Il vero potenziale di fuga dai fantasmi deriva dal fatto che Shadowserver non si limita a monitorare gli incidenti, ma lavora attivamente anche per contenerli. L’organizzazione ha una vasta infrastruttura “honeypot” e ” sinkholing “. Il primo attira gli aggressori e registra i dettagli su di loro, mentre il secondo devia il traffico dannoso in una sorta di buco nero digitale e lontano dal suo obiettivo previsto.
Per più di 15 anni, Shadowserver è stato finanziato da Cisco come organizzazione indipendente. Ma a causa di una ristrutturazione del bilancio, il gruppo ora deve cavarsela da solo. Invece di cercare un nuovo benefattore, il fondatore Richard Perlotto afferma che l’obiettivo è che Shadowserver diventi un’alleanza interamente finanziata dalla comunità che non si affida a nessuno dei partecipanti per sopravvivere. Il gruppo dovrà raccogliere $ 400.000 nelle prossime settimane per sopravvivere alla transizione, e poi avrà ancora bisogno di $ 1,7 milioni in più per raggiungere il 2020, uno sforzo di raccolta fondi già erculeo che coincide con una pandemia globale. Hanno creato una pagina sia per grandi donazioni aziendali che per piccoli contributi individuali.
“Qualcosa di simile avverrà su base digitale se Shadowserver chiudesse”, afferma Roland Dobbins, ingegnere principale di Netscout Arbor. “Il lavoro che svolgono in collaborazione con operatori di rete, ricercatori di sicurezza, forze dell’ordine e venditori di tecnologia è oggi un pilastro del lavoro di sicurezza di Internet”.
Shadowserver afferma di riuscire a far chiudere fino a 5 milioni di indirizzi IP al giorno, neutralizzando i dati dannosi di dati che altrimenti verrebbero diffusi da botnet e malware dannosi. L’organizzazione gestisce anche quello che chiama un “registrar di ultima istanza”, che prende il controllo di nomi di dominio dannosi per interrompere l’infrastruttura criminale, quindi il malware non può telefonare a casa per seguire i comandi di un hacker.
Inoltre, Shadowserver collabora attivamente con le forze dell’ordine di tutto il mondo per utilizzare la propria infrastruttura e le proprie competenze in operazioni coordinate di massa.
Esistono molte altre organizzazioni che svolgono attività simili, ma la maggior parte sono unità di ricerca e difesa all’interno di società a scopo di lucro. La posizione relativamente neutra di Shadowserver lo rende unico. Ma se si spegne, la scatola digitale di Pandora che Shadowserver ha costruito in oltre 15 anni si aprirà e inonderà Internet.