Oggi parliamo di Shodan, un motore di ricerca “alternativo” e poco conosciuto ai più che ci permette di ottenere tutta una serie di informazioni sensibili di livello critico, attraverso internet per studi sulla sicurezza dei sistemi e delle reti.
Il motore di ricerca Shodan ha fatto (e fa ancora) molto parlare di se perché si distingue da Google per la sua capacità di indicizzare tutti i piccoli device che fanno parte della categoria “Internet of Things”, dispositivi che hanno anche solo un minimo di capacità computazionale ma che al contempo sono connessi permanentemente ad internet.
GiardiniBlog, lo staff e l’autore dell’articolo, non si assumono alcuna responsabilità. In questo blog siamo contro i crimini che riguardano gli accessi non autorizzati a sistemi informatici. Usate le informazioni contenute in questo articolo solo a scopo puramente informativo.
Tutti possono provare Shodan che è disponibile all’indirizzo www.shodan.io
L’idea dietro a questo motore di ricerca, definito come “il più pericoloso motore di ricerca del mondo”, consiste nel provare che molti device sono vulnerabili se non adeguatamente configurati e che sono pubblicamente accessibili via internet; il motore di ricerca non viola alcun protocollo di sicurezza o login, ma si limita a catalogare quelle che sono le webcam, router, dreambox, stampanti o ogni sorta di dispositivo raggiungibile da un crawler ottenendo semplicemente “banner” o informazioni basilari che il produttore del device stesso fornisce in modo pubblico.
Le informazioni a disposizione, anche se a scopo puramente dimostrativo, possono essere utilizzate da un attaccante (chiamatelo anche hacker) per introdursi nei sistemi catalogati e carpire dati sensibil usando le password di default dei device indicizzati.
Shodan fornisce informazioni anche sui servizi e le vesioni del software installato sui device che trova; effettua una ricerca su web server, ftp, ssh, telnet, snmp e servizi sip.
Ovviamente non è semplice per l’utente comune utilizzare il motore di ricerca e carpire informazioni sensibili. Possiamo provare ad eseguire una ricerca alla stregua di Google e non riuscire ad ottenere comunque risultati di alcuna utilità.
Proviamo per esempio con una ricerca “default password” per avere già qualche informazione in più sulle password usate di default e molti device connessi ad internet che le utilizzano.
Il motore, può essere usato anche per avere una serie di statistiche sui browser e computer più utlizzati o sui provide più diffusi.
Per sfruttare le potenzialità di questo strumento, è necessario registrarsi e inserire la propria mail e sapere cosa cercare. Sono disponibili degli account avanzati e a pagamento che mostrano più risultati e che permettono un uso del motore Shodan più sistematico, per esempio attraverso l’uso di filtri.
La cosa veramente pericolosa, non è tanto il motore di ricerca in se, quanto gli strumenti / tools che sfruttano le informazioni fornite dal motore di ricerca per attaccare in massa o in modo automatico sistemi e device.
Alla pagina developer.shodan.io infatti sono disponibili le API (funzioni) per chiamare direttamente Shodan da un altro programma.
Con gli strumenti abbinati a Shodan (che evitiamo anche solo di nominare per ovvi motivi), un utente è in grado di spiare nelle webcam installate negli appartamenti, prendere il controllo di baby monitor, entrare nel software di un router e iniziare a monitorare tutto il traffico di un ignaro utente o controllare un dreambox per accesso alle PayTV con tanto di funzioni di registrazione e streaming.
Per esempio, in modo del tutto legale, esiste la possibilità di trovare tutti i domini di terzo livello (sottodomini) di un dominio principale tramite uno strumento chiamato instarecon che dietro le quinte usa Shodan:
Usando la “shodan_key” ottenuta durante la registrazione su Shodan, si può fare una ricerca approfondita su un nome di dominio e avere tutte le informazioni possibili usando il comando (per esempio)
Questo è solo un assaggio di quello che c’è dietro l’universo “scoperto” di questo motore di ricerca.
Per fortuna difendersi dal tipo di ricerche più critiche, ovvero quelle sui dati sensibili, è abbastanza semplice; evitare di usare password di default del produttore, pensarci due volte prima di lasciare un device connesso ad internet e con servizi pubblici e avere un minimo di buon senso.