Guardatevi intorno: viviamo nell’Internet delle Cose. Nel nostro quotidiano, ci imbattiamo in oggetti connessi a Internet, dai router Wi-Fi domestici fino ai sistemi di gestione dei semafori e delle videocamere di sicurezza per strada. Poiché sono connessi, si possono trovare in due mondi: quello reale e quello virtuale.
Come Google, che serve a trovare informazioni in rete, esistono anche motori di ricerca per questi dispositivi connessi. Salutate Shodan e Censys!
Shodan è il primo (e probabilmente il più importante) motore di ricerca per l’Internet delle Cose, operativo da più di 7 anni. Deve il suo nome all’antagonista principale nella serie di videogiochi System Shock, un’intelligenza artificiale molto cattiva chiamata Shodan. Lo Shodan del mondo reale non è così implacabile, ma è capace di fare danno. Prima di passare alle cattive notizie, però, scopriamo come funziona.
Nice wrap up of #IoT-related talks at #TheSAS2015: "Internet of Crappy Things: https://t.co/ORygHSJs9W
— Eugene Kaspersky (@e_kaspersky) February 20, 2015
In un certo senso, Shodan è come un ragazzo che cammina per la città e bussa a ogni porta che vede. Ma invece delle porte, Shodan “bussa” a ogni indirizzo IPv4, e al posto di una città, c’è il mondo intero.
Se chiedete a quel ragazzo informazioni su di un particolare tipo di porte o su di una porta in particolare in una determinata zona della città, ne saprebbe qualcosa di sicuro e vi fornirebbe l’informazione: quante porte di quel tipo ci sono, chi risponde e cosa dicono. Shodan vi dà le stesse informazioni sugli oggetti dell’Internet delle Cose: come si chiamano, di che tipo sono e se c’è un’interfaccia web che può essere usata. Non è del tutto gratuito: richiede un abbonamento, relativamente economico.
Non è un problema bussare alle porte, a meno che scopriate che ce ne sono molte senza serrature e senza nessuno che possa impedire ai delinquenti di scassinarle. Nel mondo dell’Internet delle Cose queste porte sono rappresentate da router non protetti, telecamere IP e altro che utilizzi credenziali d’accesso predefinite. Se riuscite ad accedere alla loro interfaccia web e a scoprire login e/o password, ne avrete il completo accesso. E non ci vuole una scienza poiché le informazioni sulle credenziali d’accesso predefinite di diversi dispositivi connessi, in genere possono essere trovati sui siti dei loro produttori.
How will the Internet of Things affect cybersecurity? – http://t.co/fWScmf4QfQ pic.twitter.com/sAk1mcZPg5
— Kaspersky (@kaspersky) April 9, 2015
Se si tratta di una telecamera IP, si può guardare tutto ciò che vede e perfino controllarla se supporta qualcosa del genere. In un router, si possono cambiare le sue impostazioni. In un baby monitor, si può parlare al povero piccolo con una voce inquietante. Tutto dipende dai vostri standard morali.
#parents Is that connected baby monitor exposing your kids to a hacker? Possibly. https://t.co/H2nKD5ck86 pic.twitter.com/jmgJdwuDj5
— Kaspersky (@kaspersky) January 14, 2016
Ma con Shodan, può essere trovato molto altro come, per esempio, una macchina a raggi X non protetta, che vi consente di vedere le lastre che scatta.
Esplorare Shodan è piuttosto interessante: molte persone lo fanno perché sono curiose di sapere cosa possono scoprire. Alcuni hanno trovato i sistemi di controllo dei parchi acquatici, mentre altri hanno scoperto per caso una centrale nucleare. Aggiungiamoci autolavaggi, pompe di calore, bancomat e in linea di massima ogni altra cosa immaginabile che abbia una connessione a Internet. Il nostro esperto Sergey Lozhkin ha trovato per caso dell’attrezzatura medica, ma quella è un’altra storia.
The list of exposed medical devices @scotterven found using #Shodan #TheSAS2016 pic.twitter.com/GXNHNsl8mC
— Eugene Kaspersky (@e_kaspersky) February 9, 2016
Se una telecamera IP non sicura può, potenzialmente, nuocere soltanto alla privacy, altre connessioni non sicure come i sopramenzionati sistemi di controllo degli acqua park o quelli presenti sui treni sono capaci di rendere un’area piuttosto grande in un’apocalisse locale, se finissero nelle mani sbagliate. Ecco perché i produttori e gli amministratori di sistema di tali infrastrutture critiche devono prestare estrema attenzione alla sicurezza dei dispositivi connessi.
Per molto tempo Shodan è stato l’unico motore di ricerca dell’Internet delle Cose. Nel 2013 è arrivato un concorrente gratuito, Censys. Si basa sugli stessi principi ma, come dicono i suoi creatori, è più accurato quando si tratta di cercare le vulnerabilità. Ebbene sì, Censys può davvero fornire una lista di dispositivi con una particolare vulnerabilità, per esempio, quelli esposti a Heartbleed.
Great explanation of the heartbleed bug, from the always amazing @xkcd http://t.co/zVdNQixlaE pic.twitter.com/j5jn9dFD3I
— Josh Long (@starbuxman) May 8, 2014
Censys è stato creato da un gruppo di scienziati dell’Università del Michigan come strumento per rendere Internet più sicuro. In effetti, sia Shodan che Censys sono destinati alle ricerche di sicurezza, ma poiché i due richiamano sempre più attenzione, di sicuro in molti tenteranno di usarlo per scopi criminali.
È improbabile che Shodan o Censys vengano utilizzati da pericolosi cybercriminali: i veri delinquenti hanno a disposizione già da un po’ le botnet, che servono esattamente allo stesso scopo ma con un rendimento maggiore. Al creatore di Shodan, John Matherly, sono bastate appena 5 ore per fare un ping e mappare tutti i dispositivi dell’intera rete, e un botnet che utilizza centinaia di computer probabilmente ci mette ancora meno.
#Shodan shows thousands of exposed ATMs potentially vulnerable to a network attack @_endless_quest_ #TheSAS2016 pic.twitter.com/9E3SSYwG89
— Eugene Kaspersky (@e_kaspersky) February 9, 2016
Molte altri hanno già provato a usare impropriamente Shodan e Censys per tirare brutti scherzi agli altri. E sebbene tocchi principalmente ai produttori risolvere il problema della sicurezza dell’Internet delle Cose, ci sono alcune cose che potete fare per proteggere gli oggetti che vi appartengono. Vi daranno una mano i nostri esperti in uno dei prossimi post sulla ricerca nell’Internet delle Cose.