shadowserver.org

 
Alberto Partida Rodríguez
Especialista en Seguridad TI
Securityandrisk.blogspot.com
apartidar@gmail.com

La portada de este sitio avanza su razón de ser: recopilar información sobre el “lado oscuro” de Internet y colaborar en la lucha contra el “fraude digital”, incluyendo “malware” y “botnets”. Podemos hacernos una buena idea de la utilidad de esta web recorriendo los enlaces de la parte izquierda de su portada.
Misión: Shadowserver es una organización norteamericana sin ánimo de lucro creada en 2004 por voluntarios. Su objetivo es informar sobre la presencia en Internet de servidores comprometidos, oleadas de “malware” y “botnets” activas. El proceso que siguen consiste en cuatro pasos: captura del software malicioso, análisis, seguimiento e informe.
Organización: presenta un gráfico sobre su estructura. Sus funciones giran en torno a cinco actividades técnicas (fraude electrónico, “botnets”, “honeypots”, “malware” y otros desarrollos) más un núcleo coordinador. En este aspecto, dan una lección sobre cómo mantener un equipo de seguridad ágil y enfocado en sus tareas. Los detalles de cada una de estas actividades técnicas aparecen en el enlace “knowledge base” (base de conocimiento).
Prensa y Operaciones: contiene una colección de todas la referencias a shadowserver en conferencias, organizaciones de seguridad, artículos, blogs, así como un tablón de anuncios sobre el estado operativo del sitio.
Colaboración: sin duda, el aspecto más valioso de este sitio. Todos aquellos administradores de un sistema autónomo conectado a Internet (ASN) pueden beneficiarse de los informes de shadowserver. Su contenido es muy variado y específico: desde direcciones IP de servidores que controlan botnets, hasta direcciones involucradas en ataques de denegación de servicio, spam, fraude electrónico o distribución de “malware”, pasando por direcciones de máquinas comprometidas. Aunque algunos informes puedan contener falsos positivos, disponer de esta información sobre las redes que protegemos no tiene precio.
Servicios: además de la información relacionada con nuestras redes, también se ofrecen tres interesantes servicios accesibles por línea de comandos o programáticamente: una lista blanca de ficheros ejecutables, información sobre localización de direcciones IP (al estilo “whois”) e información de la detección de “malware” por diversos antivirus (al estilo de virustotal).
Estadísticas: el último conjunto de enlaces a destacar proporciona estadísticas sobre toda la información que shadowserver recoge: entre otros, sistemas autónomos, “bots”, ataques de denegación de servicio, “malware” y virus. Todo un océano de datos. Como curiosidad, menciono los mapas que se presentan dentro de las estadísticas del apartado titulado “Scan Map”.
Finalmente, para aquellos que quieran saber más sobre este proyecto, recomiendo escuchar la entrevista que pauldotcom realizó a Andre’ M. DiMino a finales de 2008, una de las almas de shadowserver (por cierto, el pasado 14 de febrero anunció su marcha), en su podcast número 132. Aquellos profesionales de la seguridad con algún “ciclo de CPU” libre quizás se animen a colaborar con shadowserver. En definitiva, un sitio a tener en cuenta si gestionamos incidentes de seguridad o protegemos redes.


Documento en PDF
 

<volver