Con alcuni anni di ritardo, alcuni media internazionali tra cui Forbes hanno scoperto l’esistenza di Shodan. Un motore di ricerca un po’ particolare e molto usato, sin dalla sua creazione (nel 2009), da ethical hacker e ricercatori di sicurezza informatica, dal mondo accademico, dalle Forze di Polizia, dalle Agenzie di Intelligence, da semplici curiosi e, non ultimi, dai cybercriminali.
Cosa lo distingue da Google? La risposta del creatore di Shodan, John Matherly, è molto chiara e semplice: «Google indicizza i siti web, Shodan i dispositivi». Shodan infatti archivia al suo interno i dispositivi connessi alla rete Internet, organizzati per tipologia, produttore e modello. Detto così sembra una cosa da poco e preferisco quindi darvi qualche esempio concreto.
Vogliamo vedere quante telecamere IP della Philips (o della Foscam, Axis o di qualunque altro costruttore), centrali elettriche (o nucleari…) dotate di un certo software SCADA (non faccio esempi per non mettere idee malsane in testa a qualcuno), frigoriferi IP, Smart TV o quant’altro vi passa per la testa, sono collegate alla rete Internet? Shodan ha la risposta.
Se tutto finisse qui, Shodan altro non sarebbe che un enorme “pagine gialle”, organizzato per tipologia di dispositivo, versione software ed indirizzo IP. Ed in effetti questo è Shodan, altro non fa. Il problema è però un altro. Ognuno dei device che ho elencato, chi più chi meno, soffre di vulnerabilità, i famosi “bug” che affliggono qualunque software; questo accade, principalmente, perché il software lo scrivono gli umani i quali, notoriamente, non sono perfetti né infallibili e, quindi, sbagliano (ma anche perché la cultura dello “scrivere software sicuro” è purtroppo davvero poco diffusa… ma questa è un’altra storia).
Quindi, tornando alle telecamere IP della Foscom, la comunità hacker (ma anche quella delle spie) sa perfettamente che la telecamera contiene una password standard, di “default”, e che chi la conosce può collegarsi alla nostra webcam e guardare cosa succede, parlare nel microfono e così via.
In realtà la casa madre ha risolto il problema, ma sono sempre troppo pochi quegli utilizzatori che scaricano la “patch” ed aggiornano il firmware.
È successo a più di una persona, dato che questa vulnerabilità era appunto molto nota (e continua ad esserlo). Certo, non è bello sapere che qualcuno può spiarti e parlarti anche se sta dall’altra parte del mondo, specialmente se quella webcam la metti, per esempio, in ufficio, o a casa nella camera da letto dei tuoi figli.
Un altro esempio molto semplice da capire è rappresentato dagli apparati di audio-conferenza: si trovano in tutte le sale riunione di qualunque azienda medio-grande, in genere i marchi sono sempre gli stessi, ed anche loro soffrono di bachi nel software, che si tratti di password di default piuttosto che di codice scritto male e che permette di bypassare l’autenticazione (in parole povere: non serve sapere la password per ascoltarsi tutte le interessanti riunioni del top management dell’azienda X, Y e Z).
E poi c’è l’utilizzo più semplice e banale: quante persone con l’ADSL o la fibra ottica a casa cambiano la password al router (la classica “admin/admin” o “Admin/Password”) ? Pochi, purtroppo. Con Shodan possiamo cercare tutti i router della Dlink, della Pirelli o del costruttore più diffuso in un certo paese (Huawei?), entrarci e riconfigurarlo, intercettando così tutto il traffico Internet in ingresso ed in uscita.
Cosa significa? La password della vostra casella di posta elettronica, l’account su Facebook e di Twitter (il recentissimo “Caso Alpitour” sta facendo molto rumore…ma pare sia stato un molto più banale attacco di Phishing verso la persona che gestiva quegli account sui vari Social Network) e, con un po’ di sofisticazione che in gergo si chiama “Man in the Middle”, le credenziali del nostro conto on-line. Sì, anche se sono cifrate (“Https”, per capirci)…
Come tutte le tecnologie, Shodan non è “cattivo”: è uno strumento e sta a noi farne un corretto utilizzo. Purtroppo, come spesso accade, gli utenti “normali” queste cose non le sanno, le password non le cambiano, e magari si dimenticano della webcam installata a casa (per difendersi dai ladri e controllare l’appartamento da remoto anche quando sono lontani) e ci si spogliano davanti prima di andare a dormire. I cyber-voyeur di mezzo mondo ringraziano…
Ad oggi il database di Shodan conta oltre un miliardo e mezzo di device; se il report che la Ericsson ha recentemente rilasciato ha ragione, entro il 2020 la nascente “Internet of Things” vedrà collegati circa 50 miliardi di dispositivi, tutti connessi ad Internet (nella sua nuova versione IPv6), tutti “always-on”. Non c’è insomma da scherzare.
RAOUL “NOBODY” CHIESA