Sabino Maggi
La teoria è tanto bella ma la pratica permette di capire molto di più.
Si può parlare all’infinito dei rischi associati a certi comportamenti su internet, ma finché non ci si sbatte contro si tenderà sempre a minimizzare e a pensare che non ci riguardino.
Usare password banali per accedere ai siti è rischioso? Lo sanno tutti ma (quasi) tutti le usano lo stesso. Almeno finché non scoprono con stupore che l’email e la password che usano sempre si trovano anche su internet, pronti per essere usati da qualche figuro senza scrupoli per farci passare guai seri.
Lo stesso succede con i dispositivi IoT. Sono insicuri, lo sappiamo, lo abbiamo visto fino a stufarci nel corso di questa lunga serie (primo tempo, interludio, secondo tempo, secondo interludio e terzo tempo).
Ma tendiamo sempre a pensare che la cosa non ci riguardi finché, novelli San Tommaso, non tocchiamo direttamente con mano quello che può succedere.
Shodan è un motore di ricerca per i dispositivi IoT, con il quale si possono trovare con facilità i dispositivi accessibili pubblicamente su internet e quindi potenzialmente vulnerabili all’attacco di un qualunque cracker.
Questo articolo di parecchi anni fa spiega molto bene come usare Shodan per craccare un certo tipo di videocamere di sorveglianza. Ho provato a rifare la procedura descritta e dopo quasi 10 anni funziona ancora perfettamente, a dimostrazione che il tempo non ha aumentato la consapevolezza dei rischi presenti sulla rete.
Quest’altro articolo più recente è ancora più dettagliato, ci sono perfino i dati di autenticazione di default di parecchi produttori di videocamere, chi avesse tempo e voglia di provare ad usarli potrebbe trovare di tutto.
Ma non c’è bisogno di essere così sofisticati. Le funzioni di ricerca di Shodan permettono agli account gratuiti di visualizzare solo due pagine di risultati (ma bastano 49 dollari per ottenere l’accesso completo), ma basta usare la mappa mondiale per analizzare velocemente e senza limitazioni un gran numero di dispositivi potenzialmente attaccabili.
Affinando progressivamente la ricerca in base alla nazione, alla città o al servizio che ci interessa, si possono anche superare i limiti degli account gratuiti.
Qualunque metodo si usi, la quantità di informazioni che si possono ottenere è stupefacente. Niente che non si possa già ottenere con i metodi classici di penetrazione (nmap e simili), ma vedere tutto messo in bella mostra su una pagina web sa quasi di magia.
Se provo a cercare su Shodan con la parola chiave “sonos” ottengo più di 10.000 risultati, distribuiti con poca sorpresa soprattutto nell’Europa del Nord e nel Nord America. Con “thermostat” o “nest” i risultati sono decisamente meno numerosi, ma non vorrei essere nei panni di quello a cui spengono il riscaldamento a distanza in pieno inverno.
Le cose diventano ancora più interessanti se si usa la parola chiave “webcam”. Shodan ne trova solo 5.000, magari perché sono intrinsecamente più sicure dei dispositivi Sonos, magari perché questi ultimi sono più di diffusi di quanto ci si possa aspettare. Sta di fatto che ci sono almeno 5.000 videocamere di sorveglianza in giro per il mondo che possono potenzialmente mostrare a tutti quello che “vedono”.
In parecchi casi lo mostrano già nella pagina di ricerca o cliccando su uno dei puntini rossi della mappa (l’immagine di anteprima è probabilmente quella visualizzata al momento dell’ultima analisi del motore di ricerca). Queste videocamere sono esposte sulla rete senza nemmeno la protezione di una password di default e basta un click per entrare in casa e vedere quello che stanno inquadrando in questo preciso momento.
In alcuni casi funziona anche il microfono, per cui non solo si vede ma si sente anche tutto quello che succede nei dintorni della videocamera. Come questa nonna latino-americana che guarda la televisione con la nipotina o la bambina che mette in ordine la cuccia del cane. Volendo si può registrare un video di quello che stiamo vedendo o andare a curiosare fra le immagini e i video salvati nella memoria della videocamera.1
A me sembra inquietante. E a voi?
Ancora più inquietante è rendersi conto che uno bravo può fare praticamente quello che vuole con i dispositivi IoT esposti sulla rete. Può accedere ai router, ai semafori, ai sistemi di controllo degli impianti idraulici, elettrici e, Dio non voglia!, nucleari. Sembra incredibile, ma tante installazioni professionali hanno livelli di sicurezza praticamente nulli.
Un hacker si limita a guardare, a studiare e ad informare, senza fare danni. Ma cosa succede se ci si imbatte in un cracker cattivo? Ci sono delle contromisure che possiamo prendere?
Se abbiamo in casa qualche dispositivo IoT in funzione, possiamo usare questo servizio web per controllare se è visibile su internet. Non so quanto sia efficace, ma di sicuro è meglio che non fare niente.
Nel lungo periodo, è chiaro che le aziende che producono i dispositivi IoT devono decidersi a curare di più (e meglio) la sicurezza del software di gestione dei loro dispositivi, rendendosi pienamente conto dei rischi associati al loro uso. I dispositivit IoT non saranno pericolosi quanto una macchina lanciata a piena velocità in autostrada, ma è sempre meglio non sfidare la sorte.
-
Io l’ho fatto per scrivere questo articolo ma non mi è piaciuto per niente. E comunque poi ho cercato di rimettere tutto a posto. ↩