Internet è pieno zeppo di persone davvero disponibili e sistemi autonomi che sondano, testano e valutano silenziosamente le difese aziendali ogni secondo di ogni minuto di ogni ora di ogni giorno. Se queste anime disponibili e questi sistemi non stanno sondando la rete, allora stanno registrando e catalogando diligentemente tutto ciò che hanno trovato, in modo che altri possano rapidamente enumerare le attività online o elencare sistemi simili al proprio che sono altrettanto vulnerabili a qualche tipo di attacco.
L'evoluzione della scansione Internet
Ai tempi bui di Internet (intorno al XX secolo), tutti dovevano eseguire le proprie scansioni per mappare Internet e individuare i sistemi vulnerabili sulla rete. Oggi, se non vuoi rischiare di incorrere in qualche antiquata legge sull'hacking in qualche paese sondando indirizzi IP e stringendo mani elettroniche con i servizi che incontri, puoi facilmente trovare un'anima gentile che ha capito tutto al posto tuo e aprire il rubinetto della conoscenza per una somma irrisoria.
Shodan: un'arma a doppio taglio
Uno dei servizi più popolari per far luce e enumerare gli angoli più oscuri di Internet è Shodan. Si tratta di un servizio basato su un portale attraverso il quale gli abbonati possono interrogare il suo vasto database di indirizzi IP, applicazioni online e banner di servizi che popolano Internet. Dietro le quinte, i molteplici server di Shodan scansionano continuamente Internet, enumerando e sondando ogni dispositivo che incontrano e registrando gli ultimi risultati.
Come servizio online che cataloga diligentemente Internet, Shodan si comporta piuttosto bene. I server che eseguono la scansione non sono eccessivamente aggressivi e forniscono informazioni DNS che non nascondono chi e cosa sono. Inoltre, sono poco più fastidiosi di Google nei loro sforzi di mappare i contenuti web su Internet.
Percezione pubblica e preoccupazioni in materia di sicurezza
In generale, la maggior parte delle persone non considera ciò che fa Google (o Microsoft, Yahoo o qualsiasi altro motore di ricerca commerciale) come qualcosa di negativo, figuriamoci illegale. Ma se avete familiarità con le opzioni di ricerca avanzate offerte da questi siti o avete letto libri o blog su "Google Dorks", probabilmente ne avrete più paura che di qualcosa con un ambito limitato come Shodan. Purtroppo, Shodan è sempre più percepito come una minaccia da molte organizzazioni. Ciò potrebbe essere dovuto alla sua enorme popolarità o alla sua frequente citazione da parte della comunità infosec e dei giornalisti come fonte di statistiche imbarazzanti. Di conseguenza, aziende di sicurezza come Check Point hanno incluso avvisi e firme di blocco nel vano tentativo di contrastare Shodan e simili.
La sfida di distinguere gli amici dai nemici
Da un lato, potresti provare empatia per molte organizzazioni che sono oggetto di una scansione Shodan. I loro sistemi accessibili via Internet vengono costantemente sondati, i loro servizi vengono enumerati e ogni imbarazzante errore di configurazione o servizio non aggiornato viene catalogato e potrebbe essere utilizzato contro di loro da hacker malintenzionati, ricercatori e giornalisti.
In alcuni ambiti, si sente anche dire che i concorrenti malintenzionati di Shodan (ad esempio, i criminali informatici che mappano Internet per proprio tornaconto economico) stanno copiando le caratteristiche di scansione di Shodan, in modo che i team di sicurezza e di risposta agli incidenti del bersaglio pensino che si tratti effettivamente dei buoni e ignorino la minaccia.
Il futile tentativo di bloccare Shodan
D'altra parte, dato che è così facile modificare il processo di scansione (cambiando i tipi di scansione, modificando i processi di handshake, utilizzando nomi di dominio diversi e avviando scansioni da una gamma più ampia di indirizzi IP), saresti perdonato se pensassi che sia tutto un po' uno sforzo inutile... utile quanto un cartello "vietato calpestare il prato" a Hyde Park.
Sebbene il file "robots.txt" funga a suo modo da richiesta cortese ai motori di ricerca commerciali affinché non navigino e non memorizzino nella cache le pagine di un sito, esso viene spesso ignorato dai provider di scansione. Inoltre, funge da freccia lampeggiante al neon che indirizza gli hacker e i ricercatori di sicurezza verso i contenuti più sensibili.
Conclusione: l'inevitabilità delle indagini online
Il continuo adeguamento delle regole di rilevamento delle scansioni Shodan da parte di rinomati fornitori di soluzioni di sicurezza evidenzia una vulnerabilità significativa nelle attuali strategie di sicurezza delle reti. Sebbene i cartelli virtuali "vietato calpestare il prato" offrano una deterrenza minima contro sondaggi determinati, essi forniscono comunque agli amministratori di rete una parvenza di controllo e una base per applicare misure di sicurezza.
Tuttavia, l'attività incessante di entità di scansione sia ben intenzionate che maligne persiste senza sosta.
Nel districarsi tra le complessità di servizi come Shodan e il loro impatto sulla sicurezza informatica, diventa evidente che solo soluzioni sofisticate e lungimiranti possono garantire una protezione digitale completa.
Vectra AI in prima linea in questa iniziativa, sfruttando l'intelligenza artificiale avanzata per fornire rilevamento delle minacce in tempo reale e capacità di risposta proattiva. Questa tecnologia consente alle organizzazioni non solo di rilevare, ma anche di contrastare efficacemente le minacce alla sicurezza informatica poste dalle pratiche di scansione estese di piattaforme come Shodan.