Shodan - L'altro grande fratello che non sapevi di avere
Shodan in Pillolle
| Aspetto | Descrizione |
|---|---|
| Nome completo | Sentient Hyper-Optimized Data Access Network |
| Fondatore | John Matherly (2009) |
| Cosa indicizza | Dispositivi connessi a Internet (server, router, webcam, IoT) |
| Differenza con Google | Google indicizza contenuti web, Shodan indicizza dispositivi e servizi |
| Dati raccolti | Banner di servizi, IP, porta, versione OS/software, ubicazione |
| Modalità d’uso | Ricerche con filtri e operatori booleani |
| Legalità | Legale, poiché raccoglie dati già pubblicamente esposti |
| Utenti principali | Esperti di sicurezza, penetration tester, ricercatori, hacker |
Shodan: Il “Google” dei Dispositivi Connessi
1. Cos’è Shodan e come funziona
Shodan (acronimo di Sentient Hyper-Optimized Data Access Network) è un motore di ricerca fondato da John Matherly nel 2009 . A differenza di Google, che indicizza il contenuto delle pagine web, Shodan indicizza i banner di servizi e le informazioni pubbliche di milioni di dispositivi connessi direttamente a Internet .
Il suo funzionamento è tecnico e sistematico:
- Generazione casuale: Shodan genera casualmente un indirizzo IPv4 e seleziona una porta da una lista predefinita (es. 22/SSH, 80/HTTP, 443/HTTPS, 23/Telnet, 161/SNMP) .
- Invio richieste: Invia una richiesta di connessione a quell’indirizzo IP sulla porta scelta.
- Analisi del banner: Il dispositivo di destinazione, se la porta è aperta, risponde con un “banner”, una stringa di testo che contiene informazioni identificative come il tipo di dispositivo, il sistema operativo, la versione del software, i servizi in esecuzione e a volte informazioni di configurazione .
- Indicizzazione: Shodan analizza, interpreta e indicizza queste informazioni nel suo database.
- Ripetizione: Il processo ricomincia con un nuovo IP e una nuova porta, in un ciclo continuo .
2. Cosa si può trovare su Shodan
La varietà di dispositivi e sistemi scoperti è vastissima e a volte sorprendente:
- Server web (Apache, Nginx, IIS) e relative versioni .
- Dispositivi di rete: Router, switch, firewall (spesso con credenziali di default) .
- Sistemi di controllo industriale (SCADA/ICS) e infrastrutture critiche (impianti di trattamento acqua, reti elettriche) .
- Dispositivi IoT: Webcam di sicurezza, baby monitor, smart TV, frigoriferi, sistemi domotici .
- Database e servizi con porte esposte (MySQL, Redis, Elasticsearch) .
- Sistemi vulnerabili che rispondono su porte per servizi non sicuri come Telnet o VNC .
3. A cosa serve e chi lo utilizza
Shodan è uno strumento a doppio taglio, utilizzato sia per scopi legittimi che malevoli.
Utilizzi Etici e Legittimi
- Penetration Testing e Sicurezza: I tester utilizzano Shodan nella fase di ricognizione per identificare i dispositivi esposti di un’organizzazione, verificare la presenza di versioni software vulnerabili o configurazioni errate prima che lo facciano gli attacker .
- Ricerca Accademica: Ricercatori e accademici lo usano per studiare la diffusione di certi dispositivi, l’adozione di protocolli o l’evoluzione delle minacce IoT .
- Audit della superficie d’attacco: Le aziende possono cercare se dispositivi di loro proprietà sono esposti su Internet involontariamente .
- Analisi di Mercato: Capire quanti server utilizzano un certo software o quanti dispositivi di un certo brand sono online.
Utilizzi Malevoli
- Footprinting e Targeting: Gli hacker cercano
dispositivi specifici (es. “webcam”) in una nazione specifica
(
country:IT) o con una vulnerabilità specifica per lanciare attacchi mirati . - Ricerca credenziali di default: Molti dispositivi hanno password predefinite come “admin/admin” o “cisco/cisco”, e Shodan può trovarli .
- Individuazione infrastrutture critiche: È stato utilizzato per trovare sistemi SCADA e di controllo industriale irresponsabilmente connessi a Internet .
4. Come si usa Shodan: Esempi pratici
L’uso base di Shodan prevede una semplice ricerca per parola chiave (es. “Apache”). Tuttavia, la sua vera potenza si esprime con i filtri di ricerca .
Ecco alcuni filtri comuni e esempi di utilizzo:
city:: Cerca dispositivi in una città specifica. Es:webcam city:"Roma"country:: Cerca dispositivi in una nazione (codice a due lettere). Es:nginx country:ITport:: Cerca dispositivi con una porta specifica aperta. Es:port:22hostname:: Cerca per nome di dominio o hostname. Es:hostname:"google.com"os:: Cerca per sistema operativo. Es:os:"Windows 10"net:: Cerca in uno specifico indirizzo IP o range CIDR. Es:net:192.168.1.0/24before:/after:: Filtra i risultati per data. Es:apache after:01/01/2024
È possibile combinare più filtri per affinare la ricerca:
Apache country:FR after:01/01/2024→ Server Apache in Francia aggiornati dopo il 2024.port:3389 os:"Windows 10"→ PC Windows 10 con Remote Desktop (RDP) esposto."default password" country:US→ Dispositivi che menzionano “default password” negli USA .
5. Shodan è legale?
Sì, Shodan è assolutamente legale . Non fa nulla di illegale: non sfrutta vulnerabilità, non cracca password, non viola sistemi. Si limita a raccogliere e organizzare informazioni che i dispositivi stessi inviano pubblicamente a chiunque tenti di connettersi a una loro porta aperta. Il problema non è Shodan, ma il fatto che questi dispositivi siano configurati in modo insicuro e esposti su Internet senza necessità.
6. Come proteggersi da Shodan
La privacy e la sicurezza dai “sorvoli” di Shodan dipendono da una buona igiene informatica:
- Chiudere le porte non necessarie: Esporre solo i servizi strettamente indispensabili. Utilizzare firewall per bloccare l’accesso alle porte non utilizzate.
- Cambiare le credenziali di default: Mai lasciare username e password predefiniti su qualsiasi dispositivo di rete o IoT .
- Aggiornare regolarmente il software: Mantenere i dispositivi aggiornati per mitigare le vulnerabilità note.
- Utilizzare una VPN: Per l’accesso remoto a servizi interni, utilizzare una VPN invece di esporre le porte direttamente a Internet .
- Monitorare la propria superficie d’attacco:
Periodicamente, cerca la tua rete (
net:), il tuo IP o il nome della tua azienda su Shodan per verificare che non ci siano esposizioni indesiderate.
7. Altre funzionalità e servizi di Shodan
Oltre al motore di ricerca principale, Shodan offre altri tool:
- Shodan Exploits: Un database che aggrega exploit da fonti pubbliche (Exploit-DB, Metasploit, CVE) e permette di cercare vulnerabilità .
- Shodan Images: Cattura screenshot di servizi con interfaccia grafica, come VNC, RDP o webcam .
- Shodan Maps: Visualizza i risultati della ricerca su una mappa geografica (funzionalità a pagamento) .
- Alert e API: Gli account a pagamento possono impostare alert per essere avvisati quando un nuovo dispositivo che matcha certi criteri appare online, e utilizzare l’API per integrare Shodan nei propri tool .
Conclusione
Shodan è molto più di un semplice “Google per hacker”. È uno specchio della superficie d’attacco di Internet, uno strumento potentissimo che mette in luce l’enorme quantità di dispositivi connessi in modo spesso insicuro. La sua esistenza è un promemoria cruciale per professionisti della sicurezza, aziende e utenti privati sull’importanza vitale di una configurazione sicura e di un approccio consapevole alla connessione di qualsiasi cosa a Internet. Che tu lo usi per proteggere i tuoi sistemi o per comprendere le minacce del panorama digitale, Shodan è una risorsa inestimabile e, per certi versi, inquietante.
Puoi seguire anche il mio canale YouTube https://www.youtube.com/channel/UCoOgys_fRjBrHmx2psNALow/ con tanti video interessanti
I consigli che offriamo sono di natura generale. Non sono consigli legali o professionali. Quello che può funzionare per una persona potrebbe non essere adatto a un’altra, e dipende da molte variabili.
Per supportare e far crescere il canale in modo semplice, rapido e gratuito, potete fare acquisti su amazon usando il mio link di affiliazione.
Questo implica che io prenda una commissione ogni volta che qualcuno faccia un qualsiasi acquisto utilizzando il mio link di affiliazione https://amzn.to/4cgJ3Ls
Commenti
Posta un commento