Un motore di ricerca parallelo permette di scovare webcam, server e sistemi di controllo, la maggior parte privi di protezione
Se non c’è su Google non vuol dire che non esista. Questo potrebbe essere lo slogan migliore per pubblicizzare Shodan, il motore di ricerca del “dark” web. A differenza di Google, che esplora internet alla ricerca di siti visibili, Shodan si destreggia tra i canali più reconditi, quelli che cercano di nascondersi. È una sorta di agente segreto in missione che cerca tra server, webcam, stampanti e router e tutto ciò che collegato alla Rete.
Come funziona
Il sito funziona sempre e a qualsiasi ora e cerca informazioni su circa 500 milioni di dispositivi connessi e servizi ogni mese. Quello che si può trovare con una semplice ricerca su Shodan è impressionante: dalle telecamere di sicurezza ai dispositivi di automazione domestica fino ai sistemi di riscaldamento che sono collegati ad internet, è tutto online e quindi tutto ricercabile. Alcuni utenti di Shodan hanno trovato sistemi di controllo per un parco acquatico, per un distributore di benzina e persino un dispositivo di raffreddamento di un hotel. Il problema maggiore è che Shodan può ricercare e visualizzare anche sistemi di comando e controllo per le centrali nucleari e di un dispositivo di accelerazione di particelle.
Poca sicurezza
Ciò che rende Shodan un motore di ricerca spaventoso è che la maggior parte di quello che viene trovato è privo di controlli di sicurezza. Una rapida ricerca delle password più comuni utilizzate dagli utenti rivela che molte stampanti, server e dispositivi di controllo utilizzano come nome utente “admin” e come password “1234”, molti dei sistemi collegati al web, soprattutto quelli personali, sono configurati con impostazioni di base e quindi potenzialmente violabili da remoto. Durante la conferenza di sicurezza informatica Defcon che si è tenuta lo scorso anno, il tester Dan Tentler ha dimostrato come utilizzando Shodan abbia trovato una pista di hockey sul ghiaccio in Danimarca che poteva essere scongelata con un semplice click del mouse. “Si potrebbe fare davvero qualche danno” – ha poi espresso alla fine della conferenza.