Nelle ultime settimane un “nuovo” motore di ricerca è stato citato su diverse testate italiane creando non pochi allarmismi. Proviamo a chiarire qualche punto e sfruttare l’occasione per imparare ad essere più sicuri nel nostro mondo digitale.
Shodan – il motore di ricerca per dispositivi connessi ad internet – è una miniera di informazioni ed, in quanto tale, i suoi contenuti possono essere oggetto di abusi per perseguire scopi diversi da quelli per i quali è stato creato. È stato descritto in modo spaventoso, ma non è nulla di molto diverso da Google o servizi simili.
Proviamo a fare un po’ di chiarezza…
Internet è una rete di comunicazione digitale tra computer, che “parlano” tra loro, formata sempre più da dispositivi high-tech di uso quotidiano, come: smartphone, smart TV, alcune sveglie digitali, telecamere di sorveglianza, frigoriferi, citofoni Wi-Fi o dispositivi di monitoraggio audio per bambini;
Oltre ai dispositivi di uso privato, la rete è utilizzata per i contenuti web e la maggior parte delle comunicazioni tra dispositivi di uso aziendale, universitario, governativo e militare.
Come si finisce nel database – Come funziona
Shodan, come ogni motore di ricerca esplora costantemente la rete mondiale e mette a disposizione dei sui utenti le informazioni raccolte in modo organizzato.
La ricerca avviene tramite scansione degli indirizzi IP e delle relative porte e servizi disponibili. Una volta raccolte, tali informazioni vengono indicizzate e ricercabili sul sito “shodan.io”.
Nel caso specifico, invece di scansionare i contenuti delle pagine web come fanno Google, Bing, Yahoo o DuckDuckGo, scansiona gli indirizzi IP della rete (un po’ come in un elenco telefonico, ma per i computer) e le relative porte aperte (ogni computer ne ha 65535), scovando così servizi e dispositivi IoT (Internet of Things) liberamente accessibili al pubblico e mal configurati.
Ribadisco, dispositivi identificabili da chiunque ed aperti al pubblico.
Non si pensi a questa attività di scansione come un’attività estremamente complessa e dispendiosa. Esistono strumenti pubblicamente accessibili che permettono di scansionare tutta la rete internet (non i servizi) in meno di 10 minuti. Si badi bene, non è detto sia legale farlo, dipende dalla legislazione del Paese di riferimento e dalle parti coinvolte nella scansione. Ad ogni modo…
A cosa serve Shodan
Shodan, sebbene offra l’accesso ad una piccola parte dei dati for free, non è un servizio gratuito, ma una società for profit che offre un servizio a pagamento rivolto a professionisti della sicurezza ed alle imprese.
Per fare un esempio, tali servizi di monitoraggio e scansione permetterebbero di monitorare la propria presenza digitale ed essere allertati nel caso in cui, per errore, uno o più servizi dovesse essere accessibile pubblicamente, e di conseguenza mitigare “in tempo” il problema, prevenendo ai malintenzionati un accesso non autorizzato.
Ma come si può immaginare, lo strumento può essere usato anche per scopi malevoli.
Purtroppo, non è remota la possibilità che uno sviluppatore software sotto pressione per le scadenze settimanali crei un database aperto al pubblico senza aver attivato un meccanismo di autenticazione.
E cosa succede se dovesse dimenticarsi di “chiuderlo” prima di iniziare ad usare quel database per scopi aziendali, magari per un sito di e-commerce?
Il risultato sarebbe un tentativo di estorsione assicurato. Tale ipotesi accade più spesso di quello che si pensi.
Sono necessari pochi minuti (il tempo di un caffè) per scaricare il database, eliminare il suo contenuto, e lasciare un messaggio di estorsione per il ripristino con i dettagli per il pagamento da elargire rigorosamente in cripto-valuta. Si veda l’immagine seguente:
Se le società usassero sistemi di monitoraggio dei propri servizi, Shodan è solo un esempio, il personale preposto alla sicurezza sarebbe notificato in tempo cosi da prendere le giuste misure e mitigare le vulnerabilità il prima possibile.
Ma si sa, gli affari richiedono compromessi che in ambito di sicurezza vengono pagati a caro prezzo, ed il più delle volte, a spese degli utenti finali.
Consigli utili sempre validi
Quando si acquista un dispositivo tecnologico, sarebbe il caso leggere le istruzioni del produttore. I dispositivi non sono tutti uguali, un’automobile Tesla è diversa da una Mini, così come uno smartphone iPhone e ben diverso da uno HTC Android o da un Windows Phone.
Purtroppo, il marketing sfrenato e la ricerca del profitto facile hanno comportato nel tempo una modifica dei fattori determinanti nelle scelte di acquisto dei consumatori, rendendo superflue le considerazioni sulla tecnologia sottostante e sulle le modalità d’uso in sicurezza.
Chi legge più il manuale di istruzioni di un nuovo cellulare, del frigorifero, dello smart-watch o della sveglia digitale? Ci si attende semplicità d’uso anche per dispositivi altamente complessi. C’è poco da meravigliarsi se i livelli di sicurezza informatica siano scarsi e migliaia di dispositivi siano accessibili pubblicamente via internet.
Tali dispositivi digitali sono potenti al pari di un qualunque computer, in senso ampio del termine, e lasciarli connessi ad internet senza un sistema di autenticazione, è come lasciare un mucchio di soldi per strada sperando che nessuno se ne accorga.
Prima o poi qualcuno lo noterà e ne farà qualcosa in base ai suoi valori o necessità. Potrà cercare il legittimo proprietario, tenerli per sé, o chiedere una ricompensa.
Identiche dinamiche si riscontrano con le informazioni e con il potere computazionale dei dispositivi, che nel momento in cui sono connessi alla rete e configurati in modo non sicuro – o semplicemente accesi e collegati dopo l’acquisto – diventano pubblicamente accessibili.
Nel dubbio, se non sai come controllare l’efficacia di una misura di sicurezza, chiedi un parere esperto al rivenditore. Nel dubbio, non lasciare nulla connesso alla rete mentre non è sotto il tuo controllo. Farsi qualche domanda in più non guasta.
Se proprio vuoi monitorare il tuo bambino durante la notte, forse non hai bisogno di un dispositivo per la sorveglianza Wi-Fi connesso in rete, è più che sufficiente un trasmettitore radio come un walkie talkie.
Nessuno è esente dai rischi informatici, ridurre i dispositivi da attaccare e rendere l’accesso meno ovvio aiuta sicuramente a ridurre brutte sorprese.
