Port scanning: un'arma a doppio taglio. Difendetevi

Ogniqualvolta si utilizzano i protocolli TCP e UDP, ovvero quelli adoperati quotidianamente per accedere a qualunque tipo di servizio e applicazione, si abbina l’utilizzo di una porta specifica.
Tutte le volte che si digita un URL nella barra degli indirizzi del browser, il programma di navigazione stabilisce una connessione attraverso il protocollo TCP sulla porta 80. Il server web di destinazione ossia quello ove è configurato il sito Internet, deve necessariamente aver aperta la porta 80 in ingresso per accettare le richieste di connessione provenienti dai sistemi client remoti.

Ogni volta che si installa un componente server ed esso deve essere raggiungibile in modalità remota, si apre una porta in ingresso sul router effettuando l’inoltro dei pacchetti dati in arrivo (port forwarding) verso il sistema locale che deve soddisfare le richieste di connessione.

Un server web, capace di erogare le pagine che compongono un sito Internet, è di solito in ascolto sulla porta 80 o 8080 anche se può di fatto usare qualunque delle altre 65.535 porte disponibili per ciascun host. Non solo, la porta 80 è usata da HTTP (le pagine vengono trasferite senza usare la crittografia) mentre HTTPS usa di default la porta 443.
Per convenzione, alcuni servizi si pongono in ascolto su porte ben precise: ad esempio, un server web sulle porte 80 o 8080, FTP sulle porte 20/21, SMTP sulla 25, Telnet sulla 23, DNS sulla 53, POP3 sulla 110, HTTPS sulla porta 443 e così via.

Per fare in modo che un sistema o un dispositivo (si pensi alle telecamere IP, ai server NAS, agli impianti d’allarme, ai device IoT,…) siano raggiungibili da remoto, molti aprono una o più porte in ingresso sul router e reindirizzano il traffico in arrivo verso il device collegato alla rete locale: Accedere a PC remoto, al router, a una videocamera o un dispositivo in rete locale.

Quest’operazione viene spesso svolta con troppa superficialità: basta dotarsi di un port scanner per accorgersi di quanti utenti e amministratori di rete aprano porte in ingresso senza soppesare le conseguenze in termini di sicurezza.

Adoperando un programma come Nmap (vedere Port scanner: scansione di tutte le porte sull’IP pubblico) ed effettuando una scansione di test su blocchi di indirizzi IP pubblici (le subnet mask aiutano a definire “i limiti” del port scanning: Subnet mask, cos’è e a che cosa serve) ci si accorgerà di quante e quali porte vengono lasciate aperte e sono accessibili da remoto da parte di chiunque.

Ancora più grave è che le richieste in arrivo vengono dirottate verso i sistemi o i dispositivi collegati alla rete locale sui quali è in esecuzione un componente server. Spesso si tratta di pannelli di amministrazione o di configurazione non adeguatamente protetti e, molto di frequente, accessibili con le credenziali predefinite.

Si tratta di un errore madornale che espone a gravi rischi non soltanto il singolo dispositivo ma anche l’intera rete locale e le risorse ivi condivise.

Noi stessi, limitandosi ad effettuare un port scanning su un limitato numero di IP, abbiamo visto spuntare tantissime porte aperte sulle quali sono posti in ascolto videocamere, DVR, NAS, condivisioni di rete senza password e molto altro ancora.

Suggeriamo quindi di verificare immediatamente le eventuali porte aperte sul router accedendo al pannello di configurazione dello stesso e chiudere le porte inutilizzate o non necessarie: vedere Come controllare porte aperte su router e IP pubblico.
Anzi, il nostro consiglio è chiudere tutte le porte in ingresso eventualmente aperte sul router e installare un server VPN per accedere da remoto, in tutta sicurezza, alla rete locale, alle risorse condivise e ai dispositivi collegati. Inoltre, è bene disattivare subito la funzionalità UPnP: UPnP, a cosa serve e perché va disattivato immediatamente.

Dall’apertura di una o più porte sul router alla pubblicazione su Shodan il passo è breve: Shodan, cos’è e come permette di scovare webcam, router, NAS e altri dispositivi remoti.

Port scanning legale o illegale?

Il port scanning non è un’attività illegale in sé. Ciò che non è ammissibile ed è perseguibile penalmente è il forzare un sistema remoto (ad esempio individuato con Nmap) per guadagnarvi l’accesso senza l’autorizzazione del proprietario.

L’obbligo di proteggere adeguatamente i propri sistemi è già da tempo una prescrizione imprescindibile. Eppure ancor oggi, ai tempi del GDPR, attività di port scanning continuano a portare alla luce migliaia di sistemi lasciati potenzialmente in balìa di utenti malevoli e criminali informatici.

Massima attenzione, quindi, prima di aprire una porta in ingresso sul router e fare port forwarding verso uno o più device collegati a valle. Sempre preferibile usare un server VPN o al limite i servizi cloud dei vari produttori di dispositivi hardware.
In ogni caso, comunque, aggiornare sempre il firmware dei dispositivi installati in rete locale, i software installati (soprattutto se dotati di funzionalità server) e modificare sempre le credenziali predefinite per l’accesso al pannello di amministrazione di ogni device.