Shodan, cos'è e come permette di scovare webcam, router, NAS e altri dispositivi remoti

• Tips

Capita spesso di doversi scontrare con la dirigenza di un’azienda che esige, a torto, che l’accesso remoto ad alcuni dispositivi utilizzati internamente sia reso il più immediato possibile dove, con l’aggettivo “immediato”, ci si riferisce alla rimozione di qualunque procedura di autenticazione.
E allora ecco che si lasciano porte aperte in ingresso sul router e non si protegge adeguatamente il dispositivo magari lasciando username e password predefiniti.

Alcuni ritengono che cambiare semplicemente la porta utilizzata dal servizio reso accessibile da remoto aiuti a proteggersi. Niente di più sbagliato.
I port scanner (Port scanner: scansione di tutte le porte sull’IP pubblico) sono strumenti che consentono di stabilire tutte le porte in ingresso trovate aperte su gruppi di indirizzi IP pubblici più o meno ampi.

Prima o poi, anche ponendo il componente server in ascolto su una porta diversa da quella standard, qualcuno in giro per il mondo scoprirà certamente quale porta si sta utilizzando.

Attivare un filtro sugli IP remoti (consentendo la connessione dei soli indirizzi noti) è certamente una mossa ragionevole ma i client dovrebbero usare un indirizzo statico, che non cambia mai a ogni collegamento: Indirizzo IP statico, come averlo e a cosa serve.

Come fare se un utente deve collegarsi da remoto usando il suo dispositivo mobile (non necessariamente uno smartphone ma anche una connessione dati condivisa mediante hotspot 3G/4G o tethering)? Lì l’IP pubblico cambierà sempre.

L’ideale sarebbe allestire un server VPN all’interno della propria rete locale, sia essa il network di casa, dell’ufficio o dell’azienda.
Collegandosi al server VPN da un qualunque dispositivo remoto, indipendentemente dall’IP pubblico da esso utilizzato, si potrà accedere ai device da amministrare – collegati alla LAN – senza bisogno di aprire troppe porte (basterà aprire solo quella per il collegamento al server della VPN). Ne abbiamo parlato nell’articolo Connessione VPN in Windows con OpenVPN (un server VPN può essere configurato anche usando un NAS: vedere Server VPN, come crearlo usando un NAS e Rendere più sicura la VPN sui server NAS Synology).

Cos’è Shodan e come funziona

Consultando il servizio Shodan, definito dal suo stesso autore John Matherly come “il motore di ricerca più spaventoso della rete“, ci si renderà conto di quanti dispositivi dotati di funzionalità server siano costantemente collegati e accessibili da remoto da parte di chiunque.

Con qualche semplice ricerca su Shodan si possono trovare router, webcam, NAS e sistemi industriali aperti e gestibili da remoto senza la necessità di inserire credenziali o con i dati di autenticazione predefiniti.
Non solo. Ci si può imbattere nei pannelli di amministrazione e controllo di impianti elettrici, stazioni idriche, punti di stoccaggio, installazioni industriali amministrate mediante SCADA e addirittura impianti pubblici: Il pannello di controllo di un impianto sciistico in Austria gestibile da chiunque via Internet.

Anche nei casi in cui la password di default venisse sostituita con una scelta in proprio, è bene accertarsi di usare sempre il firmware più aggiornato.
Non è cosa infrequente la scoperta di vulnerabilità di sicurezza che consentono l’accesso da remoto da parte di soggetti non autorizzati dei dispositivi connessi a Internet. Ecco perché, come consigliato in precedenza, la configurazione di una VPN è la scelta migliore.

Nell’articolo Come rendere la rete sicura sia in azienda che a casa abbiamo presentato le migliori strategie per proteggere la propria rete locale da attacchi remoti.
Usando una VPN e assicurandosi che sul router non siano aperte porte superflue, si eviterà che il proprio indirizzo IP e i servizi in ascolto vengano pubblicati su Shodan e su altri motori di ricerca simili.

La registrazione su Shodan permetterà di usare anche i filtri in qualunque ricerca:

city:

Cerca dispositivi in una città specifica

country:

Cerca dispositivi nella nazione indicata

geo:

Permette di passare delle coordinate geografiche

hostname:

Cerca gli host che corrispondono alla stringa di testo indicata

net:

Effettua una ricerca basata su IP o CIDR

os:

Ricerca basata sul sistema operativo

port:

Cerca una porta aperta

before/after:

Cerca risultati in una particolare finestra temporale

product:

Per cercare un prodotto specifico

Il consiglio è quello di cercare su Shodan i propri indirizzi IP pubblici (soprattutto se si utilizzassero IP statici).
Provate a portarvi a questo indirizzo, quindi scrivere – nella casella di ricerca di Shodan – net: seguito dall’IP pubblico desunto in precedenza e riportato su DNSStuff accanto alla voce Your IP address (vedere anche Il mio IP: come trovarlo e a che cosa serve).
Se Shodan restituisse delle informazioni ci si dovrà immediatamente attivare per evitare di esporre porte sull’IP pubblico: Port scanner: scansione di tutte le porte sull’IP pubblico.

La ricerca su Shodan può essere automatizzata usando il tool IoT Scanner mentre il servizio Hide My Name aiuta a scoprire le eventuali porte lasciate aperte in ingresso sul router (cliccare su Enter your IP address, scegliere almeno Frequently used ports e premere il pulsante verde Scan).

Shodan è legale?

Da un punto di vista prettamente normativo, il codice penale italiano prevede la reclusione fino a tre anni per chi si introduce abusivamente in un sistema informatico o telematico protetto da misure di sicurezza o comunque nei confronti di chi guadagni un accesso contro la volontà espressa o tacita del gestore o del proprietario dello stesso sistema.
Il collegamento a sistemi remoti non protetti non è quindi punibile, a meno che non si apportino modifiche che possano recare danno all’infrastruttura di rete e agli apparati altrui.

Anzi, è proprio chi gestisce un sistema accessibile da remoto che – stando a quanto prescrive lo stesso GDPR, il regolamento europeo in materia di tutela dei dati personali – è tenuto a proteggerlo adeguatamente (ad esempio richiedendo l’inserimento di credenziali d’accesso). E ciò proprio perché un dispositivo collegato alla rete locale e reso accessibile in modalità remota potrebbe essere sfruttato da parte di terzi, non autorizzati, per spiare e sottrarre dati sensibili.

Shodan non è quindi assolutamente uno strumento illegale mentre possono diventare sanzionabili le operazioni che un soggetto decidesse di condurre utilizzando le informazioni tratte dal motore di ricerca.

Shodan mostra anche le versioni del componente server in ascolto sulla porta remota: così, un eventuale aggressore sa immediatamente quali vulnerabilità sono eventualmente presenti in tale software e può provare a sfruttarle per far danni.

Il consiglio è quindi quello di seguire le indicazioni riportate nell’articolo Come rendere la rete sicura sia in azienda che a casa disattivando le porte non necessarie aperte sul router in ingresso (compreso il relativo port forwarding) e ponendo la massima attenzione sulla corretta gestione dei dispositivi collegati alla rete locale, soprattutto in ottica Internet delle Cose (Cos’è l’IoT o Internet delle Cose e come funziona).
I dispositivi IoT, soprattutto se non adeguatamente configurati, possono fungere da “testa di ponte” per penetrare all’interno di una rete aziendale o domestica (vedere anche Falle di sicurezza in 400 modelli di telecamere IP Axis: installate subito il firmware aggiornato).

L’uso di una VPN e l’aggiornamento periodico del firmware dei dispositivi sono le migliori soluzioni per non esporsi a rischi.
Per approfondire, suggeriamo anche la lettura dell’articolo Sicurezza informatica, come difendersi dalle minacce più moderne in ufficio e in azienda.