Internet è pieno di persone molto disponibili e di sistemi autonomi che sondano, testano e valutano silenziosamente le vostre difese aziendali ogni secondo di ogni minuto di ogni ora di ogni giorno. Se queste anime e questi sistemi utili non stanno sondando la vostra rete, allora stanno diligentemente registrando e catalogando tutto ciò che hanno trovato in modo che altri possano rapidamente enumerare la vostra attività online o elencare i sistemi come il vostro che sono similmente vulnerabili a qualche tipo di attacco o altro.
L'evoluzione della scansione di Internet
Ai tempi dell'era oscura di Internet (circa il 20° secolo) ognuno doveva eseguire le proprie scansioni per mappare Internet e individuare i sistemi vulnerabili sulla rete. Oggi, se non volete rischiare di incorrere in qualche antiquata legge sull'hacking in qualche Paese, sondando gli indirizzi IP e stringendo la mano elettronica ai servizi che incontrate, potete facilmente trovare un'anima disponibile che ha capito tutto per vostro conto e aprire il rubinetto della conoscenza per una cifra irrisoria.
Shodan: Un'arma a doppio taglio
Uno dei servizi più popolari per fare luce e censire gli angoli più oscuri di Internet è Shodan. Si tratta di un servizio basato su un portale attraverso il quale gli abbonati possono interrogare il suo vasto database di indirizzi IP, applicazioni online e banner di servizi che popolano Internet. Dietro le quinte, i molteplici server di Shodan scansionano continuamente Internet, enumerando e sondando ogni dispositivo che incontrano e registrando le ultime scoperte.
Come servizio online che cataloga diligentemente Internet, Shodan si comporta piuttosto bene. I server che effettuano la scansione non sono eccessivamente aggressivi e forniscono informazioni DNS che non offuscano chi e cosa sono. Inoltre, sono poco più problematici di Google nei suoi sforzi di mappare i contenuti Web su Internet.
Percezione pubblica e preoccupazioni per la sicurezza
In generale, la maggior parte delle persone non identifica ciò che Google (o Microsoft, Yahoo o qualsiasi altro motore di ricerca commerciale) fa come cattivo, tanto meno illegale. Ma se avete familiarità con le opzioni di ricerca avanzata che questi siti offrono o leggete un qualsiasi libro o blog sui "Google Dorks", probabilmente li temete più di qualcosa di portata limitata come Shodan. Purtroppo, Shodan è sempre più percepito come una minaccia da molte organizzazioni. Ciò potrebbe essere dovuto alla sua schiacciante popolarità o alla sua frequente citazione da parte della comunità infosecurity e dei giornalisti come fonte di statistiche imbarazzanti. Di conseguenza, aziende di sicurezza come Check Point hanno inserito avvisi e firme di blocco nel vano tentativo di contrastare Shodan e i suoi simili.
La sfida di distinguere l'amico dal nemico
Da un lato, ci si può immedesimare in molte organizzazioni che ricevono una scansione Shodan. I loro sistemi accessibili a Internet vengono costantemente sondati, i loro servizi vengono enumerati e ogni imbarazzante misconfigurazione o servizio non patchato viene catalogato e potrebbe essere usato contro di loro da hacker, ricercatori e giornalisti malintenzionati.
In alcuni ambiti, si sente anche dire che i cattivi concorrenti di Shodan (ad esempio, i criminali informatici che mappano Internet per il proprio guadagno economico) copiano le caratteristiche di scansione di Shodan in modo che i team di sicurezza e di risposta agli incidenti dell'obiettivo pensino che si tratti in realtà dei buoni e ignorino la minaccia.
Il futile tentativo di bloccare lo Shodan
D'altra parte, essendo così facile modificare il processo di scansione - cambiando i tipi di scansione, modificando i processi di handshake, utilizzando nomi di dominio diversi e lanciando le scansioni da una gamma più ampia di indirizzi IP - si potrebbe pensare che si tratti di un po' di fatica sprecata... utile quanto un cartello "keep-off-the-grass" a Hyde Park.
Sebbene il "robots.txt" serva a suo modo come una richiesta altrettanto educata agli scanner di ricerca Web commerciali di non navigare e memorizzare nella cache le pagine di un sito, il più delle volte viene ignorato dai fornitori di scansioni. Serve anche come freccia al neon lampeggiante che indirizza gli hacker e i ricercatori di sicurezza verso i contenuti più sensibili.
Conclusione: L'inevitabilità del sondaggio online
Il continuo adattamento delle regole di rilevamento per le scansioni Shodan da parte di fornitori di sicurezza affidabili sottolinea una vulnerabilità significativa nelle strategie di sicurezza di rete prevalenti. Sebbene i cartelli virtuali "keep-off-the-grass" offrano un deterrente minimo contro le sonde determinate, essi forniscono comunque agli amministratori di rete una parvenza di controllo e una base per applicare le misure di sicurezza.
Tuttavia, l'attività incessante di entità di scansione, sia benintenzionate che malintenzionate, persiste senza sosta.
Nel navigare tra le complessità di servizi come Shodan e il loro impatto sulla cybersecurity, diventa evidente che solo soluzioni sofisticate e lungimiranti possono assicurare una protezione digitale completa.
Vectra AI è in prima linea in questa iniziativa e sfrutta l' intelligenza artificiale avanzata per offrire capacità di rilevamento delle minacce in tempo reale e di risposta proattiva. Questa tecnologia consente alle organizzazioni non solo di rilevare, ma anche di contrastare efficacemente le minacce alla sicurezza informatica poste dalle pratiche di scansione estensiva di piattaforme come Shodan.