VoIP and Hacking

Shodan, acronimo che sta per “Sentient Hyper-Optimized Data Access Network”, è un servizio web lanciato lo scorso 23 dicembre. In parole povere si tratta di un search engine per servers, routers, ata, pbx, sistemi embedded, telecamere ip, ecc.: fondamentalmente di qualsiasi device che sia affacciato su Internet e che possa essere oggetto di scansione.

Sono piuttosto evidenti le implicazioni di un servizio del genere, che sin dalla prima apparizione, ha alimentato la annosa contrapposizione tra chi guarda alla pubblica evidenza delle vulnerabilità come ad una prassi deplorevole, e chi invece la ritiene civilmente meritoria.
Personalmente, penso che l’ignoranza in generale non paghi, e che alla fine giovi solamente ai criminali, di qualsiasi tipo essi siano.

È innegabile comunque che il servizio possa anche prestarsi facilmente ad usi impropri.
Se, per esempio divenisse disponibile un exploit “zero day”, diciamo per una certa versione di Apache, Shodan potrebbe essere utilizzato per enumerare il maggior numero di server vulnerabili nel più breve tempo possibile.

Shodan supporta anche un set (limitato) di parametri da utilizzarsi per affinare la ricerca:

• country: tipico codice a 2 lettere, tipo it, fr o de, evidentemente riferito non ad un dominio di primo livello, bensì alla geolocalizzazione degli indirizzi ip

• hostname: host name intero o parziale

• net: IP range espresso usando la notazione CIDR, tipo: 93.X.X.0/24

• port: la scelta si restringe alle sole 21, 22, 23 oppure 80

Inoltre è sempre possibile introdurre nella query una stringa libera.

Fatto sta che in mano ad una persona con una certa esperienza di come i vari server abbiano la (pessima) abitudine di presentarsi, rappresenta uno strumento micidiale, e che inoltre può contare su di una base dati in continua espansione.

L’augurio è che possa costituire anche uno stimolo a rimediare per quelle migliaia di sciagurati che si ostinano a commettere nefandezze come ad esempio quella di affacciare su indirizzi pubblici i loro ata o telefoni voip senza neppure uno straccio di filtro, oppure quella di lasciare attiva l’interfaccia web esterna dei loro vari scatolotti DSL, senza magari aver modificato la password di default.

Solo per un esempio ad effetto invito i curiosi a controllare il risultato di una url/query come:

http://shodan.surtri.com/?q=port%3A80+realm+speedtouch

A me ha restituito 204431 risultati!

Si tratterà pure di indirizzi dinamici e spesso non attivi, o non più corrispondenti a quelli attuali, ma è pur sempre un risultato impressionante, inoltre si può facilmente osservare che i dati restituiti sono molto spesso aggiornati a due o tre giorni prima, cosa che ovviamente presuppone una metodica, ciclica e continua scansione della rete Internet.

Una ultima osservazione: dovrebbe essere evidente che utilizzare i link dei risultati e non limitarsi a dare una occhiata alla schermata offerta dalla interfaccia di turno è un reato, e pure una enorme dabbenaggine. Inoltre è sempre più probabile che ciò che si presenta come una vecchia e acciaccata versione di IIS sia in realtà un honeypot o peggio.

Send post as PDF to