Shodan è uno dei motori di ricerca più utili agli hacker di tutto il mondo perché consente di ottenere velocemente informazioni riguardanti gli indirizzi IP di siti Web, servizi online, Webcam connesse e ogni altra attività Internet. In verità non è una novità poiché la sua creazione risale al 2009, ma oggi è fondamentalmente più pericoloso sia perché il fai-da-te informatico è sempre più diffuso, sia perché il Web è più densamente popolato.
Negli Stati Uniti recentemente è esplosa la Shodan-fobia, soprattutto perché alcune testate - come ad esempio Forbes - hanno iniziato a raccontare casi di violazioni informatiche piuttosto bizzarre. Come ad esempio il padre di famiglia che aveva istallato un Baby Monitor connesso alla Rete e che si è ritrovato con qualcuno che insultava pesantemente la sua figliola mentre stava dormendo. Banalmente l'hacker aveva approfittato della mancanza di una password adeguata del sistema per infiltrarsi e spaventare tutti.
Shodan
Ricostruendo i fatti si è scoperto che l'indirizzo IP del Baby Monitor era presente su Shodan con tutte le indicazioni del caso. Abbiamo intervistato Marco Giuliani, AD e fondatore di Saferbytes S.r.l.s, società di sicurezza informatica italiana, per comprendere meglio i meccanismi di questo motore di ricerca. Oggi fa consulenze a società ed enti governativi, sviluppa software di sicurezza e progetta nuove tecnologie per l'individuazione e rimozione di malware. Con il suo passato di Malware Technology Specialist, presso Prevx, e Threat Research Analyst in Webroot ci sembrava la persona più adatta.
"Ogni computer connesso a Internet o eventualmente dispositivo ha un indirizzo IP pubblico, quindi raggiungibile dall'esterno. Il motore di ricerca sapendo il range di indirizzi disponibili online in tutto il mondo, come un crawler fa una scansione automatica e cerca di connettersi a tutti. Per ogni IP a cui riesce a connettersi ne legge i cosiddetti banner".
In pratica questi banner non sono altro che i "messaggi di benvenuto" dei server connessi alla Rete. Una volta interrogati posso fornire informazioni di vario genere: la tipologia e il nome del server web, il software adottato (Apache) e la versione, la geolocalizzazione, etc.
Digitando "Italy" su Shodan
"Per un pirata informatico è una sorta di fingerprinting, si traccia un profilo dell'obiettivo. E così di fatto si sa che a quell'indirizzo IP corrisponde un server attivo, magari web, conosce la versione e così via di conseguenza eventuali falle. Magari il software è una versione vecchia e quindi sa che è afflitta da specifici bug che possono essere usati per far lavorare trojan o malware", spiega Giuliani.
Nulla di nuovo rispetto ai tempi di Wargames, il mitico film del 1983 con Matthew Broderick, che mostrava come con la tecnica del "war-dialing" fosse possibile individuare un server dialogante. Per poi approfittare successivamente magari con un tentativo di intrusione. Il protagonista riesce ad arrivare persino al calcolatore del NORAD (North American Aerospace Defense Command).
Wargames (1983 - John Badham)
"Chi configura un server o un dispositivo spesso pensa che sia sufficiente un indirizzo IP segreto per essere sicuri. In verità tutto ciò che si connette è in vista, quindi dovrebbe essere protetto adeguatamente".
Il motore di ricerca Shodan è semplicemente un sistema che automatizza quel che gli hacker hanno sempre fatto manualmente. Oggi il primo approccio di avvicinamento alla vittima è semplicemente agevolato.
"Vogliamo fare un po' di danni? Andiamo a vedere chi su Internet utilizza una versione di Apache che non è stata aggiornata", ironizza Giuliani. "Ecco, grazie a Shodan oggi appare tutto più semplice. Ovviamente questo non può prescindere dalle competenze del pirata. Bisogna comunque essere un esperto per dar seguito a un attacco".
"Il problema è che la tecnologia così com'è oggi è a portata di tutti. Vai in negozio e compri una Webcam IP, non considerando che l'accesso a casa tua in remoto lo possono fare anche altri, senza le dovute accortezze. La gente non è conscia dei rischi. Spesso non cambia neanche le password di default fornite dai produttori"