Shodan e lo stato della sicurezza dell’Internet of Things

Shodan

Shodan è un motore di ricerca per dispositivi IoT. Creato da John Matherly nel 2009 con l’idea di indicizzare ogni genere di dispositivo connesso ad Internet, si appoggia ad un crawler che esplora il web alla ricerca di indirizzi IP con porte aperte, verificando la presenza di chiavi di autenticazione ad esse associate e testandone le modalità d’accesso. Una volta che un dispositivo è stato indicizzato, Shodan permette di localizzarne l’esatta ubicazione, scoprire se è in funzione e di che genere di dispositivo si tratta. Che sia una telecamera di sorveglianza, una Smart TV o il sistema di controllo di una centrale idroelettrica, poco importa. In mancanza di chiavi d’accesso ad una delle porte testate da Shodan (o in presenza di chiavi d’accesso di default, del tipo “admin/admin”), il dispositivo è identificato come vulnerabile. A questo punto il passo che porta all’accesso da remoto al dispositivo connesso, prendendone controllo, è piuttosto breve. Il potenziale è enorme, e – soprattutto nel caso di dispositivi che gestiscono il funzionamento di sistemi sensibili – decisamente spaventoso.

shodan-maps

L’ultima novità di Shodan è una sezione interamente dedicata alle webcam. E’ possibile curiosare tra una lunga lista di webcam vulnerabili, accedervi e vedere quello che trasmettono in real-time. La vulnerabilità è in questo caso dovuta alla mancanza di chiavi d’accesso collegate al protocollo RTSP (Real Time Streaming Protocol), che utilizza la porta 554 per stabilire e gestire le sessioni di streaming.

Un interessante articolo di Ars Technica dedica ampio spazio a questa notizia, prendendovi spunto per fare un’analisi di quello che è lo stato della sicurezza dei dispositivi IoT. Il risultato è – letteralmente – “patetico”. Le misure di sicurezza integrate nei dispositivi connessi sono gravemente insufficenti, e troppo spesso accompagnate da una grave mancanza di interesse dei consumatori riguardo a privacy e sicurezza. Partendo dal mercato delle webcam, la tendenza dei produttori è quella di prendere atto della poca sensibilità dei consumatori verso questi temi e sfruttarla, contenendo i costi derivanti dalla dotazione di misure di sicurezza adeguate ai propri dispositivi. Il risultato è una proliferazione di oggetti connessi a basso costo ma vulnerabili, e si tratta purtroppo di una tendenza diffusa in modo trasversale in gran parte degli ecosistemi IoT.

Dollarphotoclub_44538761

A questo punto appare chiaro come, alla luce del boom di dispositivi connessi previsto entro il 2020, un’inversione di tendenza sia assolutamente necessaria. Perchè l’Internet of Things diventi realmente un trend dalle proporzioni gigantesche e si diffonda in modo capillare come è previsto che faccia, occorre che tutta una serie di garanzie vengano fornite ai consumatori, la sicurezza in primo luogo. Che taluni diano poco peso alla vulnerabilità della propria webcam è possibile e preventivabile, ma come cambierebbero i contorni del discorso se il dispositivo vulnerabile fosse la serratura connessa della propria porta di casa?

E’ ragionevole pensare che – per evitare che l’intero sistema IoT crolli su sè stesso per la facilità con la quale è attaccabile dall’esterno – saranno gli stessi produttori a garantire per i propri dispositivi un livello minimo di sicurezza, accettabile sebbene non perfetto. Ciò costituirebbe, se non altro, un compromesso tra l’innalzamento dei costi di produzione e l’appeal che guadagnerebbe il dispositivo connesso. In parole povere, si eviterebbe che da principio l’accezione “IoT” acquisti il significato di “soldi buttati”.

Tuttavia, confidare esclusivamente nel calcolo di interesse puramente economico dei produttori non sembra un’ottima idea. Due secoli di storia dovrebbero averci insegnato che affidarsi solamente ad un principio di autoregolazione del mercato – per quanto il nostro non sia assolutamente libero, non ce ne voglia Adam Smith – non porta sempre gli effetti desiderati. E’ forse il caso che qualche organo di garanzia dotato del potere necessario intervenga nella regolamentazione di quelle che possono essere definite le best practices, o quantomeno le specifiche minime per la sicurezza dell’Internet of Things. La US Federal Trade Commission, per esempio, ha fatto un primo passo in tal direzione con un report nel gennaio 2015, rapidamente seguito da una guida che affronta i temi di privacy e sicurezza, rivolta alle compagnie che operano nel settore.

Che questa possa essere una soluzione concreta al problema della sicurezza dell’Internet of Things resta da vedere, così come per l’idea di creare un sistema di rating che valuti la sicurezza dei dispositivi IoT (sul modello dell’Euro NCAP, vigente in Europa per le automobili). Quel che purtroppo sembra sempre più vero – se vogliamo fidarci delle parole di Scott Erven, security researcher – è che: “La nostra dipendenza dalla tecnologia stà crescendo più velocemente della nostra capacità di garantire la sicurezza tecnologica”.

Amante del buon cinema, delle bibite zuccherate e dei libri di Turtledove. Nonostante sia laureato in Psicologia non è in grado di leggere nella mente delle persone, nè desidera farlo.
Il suo sogno nel cassetto è imparare ad essere produttivo anche senza un vasetto di nutella nei paraggi.

Articoli correlati