FYI.

This story is over 5 years old.

Stuff

Shodan è il motore di ricerca più pericoloso del mondo

Almeno se sognate di controllare la temperatura di un forno crematorio o il funzionamento di una diga.
6.5.13

Arrivati a questo punto, i più ritengono internet un mezzo per perdere tempo piuttosto che per risparmiarlo. Ma mentre diventiamo sempre più pigri, internet ci aiuta a fare cose come aprire la serranda del garage, regolare la temperatura del freezer, impostare degli spegnimenti automatici del router e, in pratica, controllare ogni elemento della vita domestica attraverso l’uso di app per smartphone. Tutti questi congegni devono essere collegati a internet per poter funzionare, e Shodan—un motore di ricerca sviluppato privatamente—si occupa principalmente di individuarli e ficcare il naso negli affari dei loro proprietari.

Il software ispeziona internet alla ricerca di ogni congegno connesso. Oltre che i frigoriferi e i router wifi, è riuscito a individuare anche i pannelli di controllo dei sistemi elettrici più complessi, degli equipaggiamenti scientifici, dei forni crematori e persino di una diga in Francia. Ciò significa che, con il giusto mix di competenze tecniche e sadismo, chiunque potrebbe rintracciare uno di questi congegni, accedervi e tagliare l’elettricità a un’intera città, inondare una valle o mandare in fusione una centrale elettrica con un solo click.

Pubblicità

L'attività di Shodan non è completamente nuova. Non molto tempo fa, un tizio chiamato Adrian Hayter aveva orgogliosamente dato vita a un sito web capace di individuare tutti i collegamenti diretti con le telecamere a circuito chiuso connesse a internet. Ma la scoperta di Shodan presenta problemi potenzialmente molto più pericolosi delle questioni legate alla privacy, quindi ho chiamato John Matherly, il creatore del motore di ricerca, per capire quali siano le possibili implicazioni del suo software.

John Matherly.

VICE: Ciao John, quando hai iniziato a lavorare a Shodan?

John Matherly: Ho iniziato con una macchina Dell da un centinaio di euro, nel tempo libero, e ho continuato a ritmi molto contenuti per tre anni. All'inizio rintracciavo 10.000 o 100.000 congegni al mese, e ora ne raggiungo centinaia di milioni. La velocità con cui riesco a scandagliare internet è aumentata moltissimo.

Cavolo, sono tanti. Qual è lo scopo di Shodan?

Be’, è diventato una cosa un po' diversa da quello per cui l’avevo concepito. In pratica, ho creato Shodan così che le aziende potessero rintracciare i luoghi in cui venivano usati i loro software. Alla fine, però, gli utenti erano sopratutto esperti nella ricerca sui temi della sicurezza, che riescono a usarlo per individuare tutti questi software e questi congegni.

Ok.

Da tempo erano attive analisi di vulnerabilità su centrali elettriche e sistemi simili, ma prima di Shodan i ricercatori non disponevano di alcun dato empirico per poter dire, “La tale cosa rappresenta una seria minaccia.” Lo usano per avvalorare le proprie tesi—dimostrando l'esistenza di luoghi in cui è anche remotamente possibile accedere a questi sistemi, ad esempio centrali elettriche e dighe.

Pubblicità

Shodan lavora in maniera simile a Google?

Sì, è simile. Google setaccia e analizza gli URL—io non lo faccio. L’unica cosa che faccio è prendere degli IP random tra tutti gli IP esistenti, sia che siano online che inutilizzati, e cerco di connettermici da porte diverse. Probabilmente non è parte del web visibile nel senso che non puoi usare un browser. Non è qualcosa che chiunque potrebbe scoprire facilmente, perché non è visibile nel modo in cui lo è un sito web.

I controlli di un forno crematorio a cui potreste accedere dal vostro computer

Quindi a quale genere di dispositivi puoi accedere? Qualcosa che non ti saresti aspettato di trovare?
Be’, il ciclotrone (un acceleratore di particelle) è certamente uno di questi. Fa parte della strumentazione utilizzata dai fisici teorici, un apparecchio molto instabile che non dovrebbe essere connesso online. Ci sono un sacco di cose strane, come i forni crematori. Sono davvero inquietanti. Puoi visualizzare il nome del paziente e sono previste diverse funzionalità. Non c’è bisogno di alcuna autenticazione, password, niente.

Sì, è inquietante. Ma anche affascinante, in un certo senso. Altro?
Le telecamere a circuito chiuso sono molto comuni, semplicemente perché è qualcosa che chiunque può possedere. Alla gente piace l’idea di trovare un ufficio a caso nel quale sbirciare. C’è anche un’enorme diga francese. Fatto abbastanza interessante collegato alla vicenda, quella diga ha una lunga storia di fallimenti alle spalle. La città vicina ha subito un’inondazione perché c'è stato un intoppo nel funzionamento.

Pubblicità

Sistemi come le centrali elettriche non dovrebbero avere dispositivi di sicurezza più efficaci?
Uno dei motivi per cui si trovano in questa situazione è che cercano di risparmiare. Internet nemmeno esisteva quando la maggior parte di queste centrali sono state costruite, quindi hanno semplicemente comprato un adattatore per collegare il loro sistema alla rete e risparmiare qualche soldo. Ovviamente non hanno pensato al sistema di sicurezza e ora devono affrontare le ripercussioni.

Dicevi che molti non hanno nemmeno una password, giusto?
Sì, esatto. E anche i congegni che necessitano di una autenticazione, nella maggior parte dei casi usano credenziali di default, quindi vai su Shodan, cerchi una password di default e accedi con facilità.

I controlli di un sistema di purificazione dell’acqua a cui, ancora una volta, potreste accedere dalla vostra stanza. 

Quindi oggigiorno tutto è connesso a internet, giusto? 
Molte attrezzature arrivano già con la possibilità di una connessione a internet. Ma la gente probabilmente non pensa che quando connette la propria webcam a internet per vedere il figlio dall’ufficio, o fa tutte queste cose con il cellulare, la cosa avrà delle ripercussioni sulla sicurezza. Solo perché non compari su Google non vuol dire che non sia possibile trovarti.

Quali sono le tue preoccupazioni? 
Ci sono diversi livelli di problematiche legate alla sicurezza. Le webcam probabilmente sono la minaccia minore, ma ovviamente possono intaccare la privacy. I piccoli congegni non sono tecnicamente un problema di sicurezza nazionale di per sé. Ma il mio operato vuole evidenziare la possibilità di compromettere, per esempio, centinaia di migliaia di apparecchi; allora sì che diventerebbe un problema di sicurezza nazionale perché, se hai il controllo di molti congegni, hai la possibilità reale di creare un danno enorme. Quindi il problema diventa più critico quanto più crescono i numeri.

Pubblicità

Ti sorprende che non sia ancora successo niente di serio?
Io credo che le persone sottovalutino quanta conoscenza tecnologica sia necessaria per passare dalla scoperta allo sfruttamento. E la seconda cosa è che non sai da quanto tempo il sistema è stato forzato. Puoi compromettere il sistema, inserirci qualcosa di latente e, ogni volta che lo vorrai usare per scopi strategici, avrai la possibilità di entrarci.

Quindi potrebbe già esserci un virus che giace in un sistema potenzialmente importante?
Sì, eccome. Voglio dire, hai bisogno di una certa dose di conoscenza—non puoi semplicemente essere un ragazzo di 16 anni e entrare nel sistema di una centrale elettrica, non è così semplice. Potresti riuscire a rintracciarlo con Shodan, ma da lì a installarci il tuo codice, avrai bisogno di una certa conoscenza, soprattutto in sistemi grandi come quelli delle centrali elettriche.

Quindi cosa impedisce a un criminale incallito di usare Shodan per creare il caos?
Le persone che sanno quello che fanno non useranno Shodan, perché non vogliono che le loro azioni vengano tracciate. Shodan non è un servizio anonimo. Se vuoi usare Shodan e avere più di 50 risultati (e 50 non sono molti) devi iniziare rilasciandomi informazioni personali e dati per il pagamento. Se qualcuno volesse fare qualcosa di davvero illegale, userebbe botnet per raccogliere le informazioni necessarie.

Leggi anche:

Google sa cosa fate la notte