Il motore di ricerca Shodan svela le vulnerabilità della Internet of Things
Il motore di ricerca Shodan può essere utilizzato per trovare router con backdoor aperte, webcam non protette e sistemi di controllo industriali che usano ancora password di default. Si tratta in pratica del Google della Internet of Things, un terreno fertile per hacker e terroristi ma, forse, anche uno strumento utile per aziende che vogliono mettere in sicurezza il proprio ambiente di lavoro.
John Matherly, fondatore di Shodan, ha lanciato questo motore di ricerca più di cinque anni fa come strumento di analisi di intelligence per offrire alle aziende tecnologiche informazioni su dove e come fossero utilizzati i loro prodotti.
Shodan è il Google della Internet of Things, un terreno fertile per hacker e terroristi
“Naturalmente lo stesso tipo di informazioni può essere richiesto riguardo i concorrenti, per capire meglio la loro posizione nel mercato attraverso dati empirici”, afferma Matherly, secondo il quale fin dal suo lancio il motore di ricerca ha iniziato a prendere un’altra strada e a vivere quasi di vita propria. “Ormai è diventato uno strumento per gli esperti di sicurezza per capire meglio Internet”, prosegue Matherly. Il sito ufficiale di Shodan rappresenta infatti solo una minima parte di ciò che questo motore di ricerca è in grado di offrire.
Una società per esempio può utilizzare Shodan per fare una ricerca sulle proprie reti. “È molto comune per le grandi aziende ritrovarsi con un computer a caso che sta utilizzando Telnet o avere un sistema di automazione online dell’edificio che non è stato configurato nel modo giusto”, afferma Matherly. “E con l’avvento del cloud computing ho notato un notevole incremento di server cloud accessibili pubblicamente che non hanno attivato un sistema di autenticazione e che, di conseguenza, fanno trapelare tutti i loro contenuti in Internet”.
Un’azienda può ricorrere a Shodan anche per controllare il grado di sicurezza di compagnie che intende acquisire o con cui vorrebbe fare affari. Un altro utilizzo che si può fare di Shodan è trovare malware e controllare i server usati da criminali informatici, operazione che normalmente richiede tempo e risorse in grandi quantità e che invece con Shodan può essere svolta in modo molto più diretto ed efficace.
“Non lo vedo come una minaccia”, afferma Leonard Jacobs, Presidente e CEO del security service provider Netsecuris Inc. di Minneapolis. “Per quanto ci riguarda, vediamo Shodan come un fattore positivo per i nostri clienti; lo utilizziamo per confermare quello che scopriamo con altri metodi”. In teoria un’azienda dovrebbe sapere tutto sui propri dispositivi e sistemi che espone in Internet, ma a volte per comodità si tralasciano molti aspetti importanti. “Sareste sorpresi di scoprire cosa potreste trovare là fuori”, conclude Jacobs.
Una forza malvagia?
Shodan permette ai criminali informatici di identificare velocemente specifici dispositivi o software su larga scala. “Ogni giocattolo Furby connesso alla rete ad esempio potrebbe essere identificato in un attimo andando su Shodan e cercando il codice appropriato, a differenza di un hacker che dovrebbe scansionare l’intero Internet”, afferma Shane MacDougall del Tactical Intelligence Inc.
Secondo il security researcher Jean Taggart dell’azienda californiana Malwarebytes Corp, i cyber criminali, i terroristi, gli Stati canaglia e persino le aziende concorrenti possono usare Shodan per identificare infrastrutture critiche e metterle fuori uso. Malgrado ciò, molto spesso, risolvere questi problemi non è una vera priorità per le aziende. “Temo che non cambierà nulla fino a quanto non succederà qualcosa di estremamente grave”, continua Taggart. “Un intervento governativo per identificare i proprietari di questi dispositivi e metterli in sicurezza è un’assoluta priorità”.
Temo che non cambierà nulla fino a quanto non succederà qualcosa di estremamente grave
Usare Shodan significa anche che un hacker non fa scattare nessun campanello di allarme nell’azienda che ha preso di mira. Michael Baucom, vice presidente di Ricerca e Sviluppo di Tangible Security, è convinto che la vera forza di Shodan sia proprio la semplicità con cui un utente può ottenere i risultati che cerca senza lasciare la minima traccia e con uno sforzo minimo. “Cercare le informazioni che offre Shodan con altri metodi più tradizionali è più rischioso e richiede molto più tempo”.
Shodan però non crea alcuna vulnerabilità. Ne è convinto Hagai Bar-El, CTO di Sansa Security, un’azienda israeliana di sicurezza specializzata nella Internet of Things. “Semplicemente le pone in evidenza. È innegabile che l’individuazione di punti deboli abbia un ruolo importante in un attacco informatico, ma gli hacker sono stati in grado di fare ciò con strumenti automatizzati molto prima che Shodan fosse sviluppato”.
Inoltre la maggior parte degli esperti indipendenti in ambito di sicurezza è convinta che una vulnerabilità, una volta scoperta, debba essere resa nota e non tenuta nascosta. “Chi sta facendo affidamento su un sistema vulnerabile ha il diritto di saperlo”, continua Bar-El, “e agire di conseguenza, cambiando ad esempio il fornitore di quel sistema o quel servizio”.
Chi sta facendo affidamento su un sistema vulnerabile ha il diritto di saperlo e agire di conseguenza, cambiando ad esempio il fornitore di quel sistema o quel servizio
“Rendere pubblico un difetto di questo tipo in un prodotto commerciale è l’unico metodo efficace per incoraggiare il produttore a risolverlo. Il passato è pieno di esempi di produttori che hanno ignorato i problemi di sicurezza per mesi o addirittura anni prima di renderli pubblici. E nel frattempo ogni vulnerabilità non ancora sistemata è una bomba a orologeria”.
Ottenere questi strumenti non è però qualcosa di immediato. Matherly tiene infatti a precisare che il sito di Shodan richiede la registrazione e la creazione di un account e che solo una prima parte dei risultati è gratuita, aggiungendo che ci sono anche diverse misure tecniche per evitare abusi di vario genere. “In realtà è molto meno costoso per i malintenzionati usare una botnet o sfruttare strumenti come zmap e masscan che non fare ricerche su Shodan”.