Router e dispositivi di rete non aggiornati: il cimitero digitale dove fioriscono gli attacchi

Non serve la NSA, basta Shodan

Se pensate che per trovare questi dispositivi servano chissà quali strumenti, siete fuori strada.

Non servono APT (Advanced Persistent Threat), non servono accessi privilegiati, non serve nemmeno un grande talento tecnico. Basta aprire Shodan, digitare due query e il gioco è fatto.

I risultati sono imbarazzanti. Router MikroTik con firmware vecchi di sette anni. Zyxel con interfaccia di login in chiaro. Ubiquiti con porte di gestione pubbliche. TP-Link che espongono il pannello admin senza HTTPS. DrayTek, D-Link, Netgear e Cisco RV che rispondono come se fossimo ancora nel 2010.

In mezzo a tutto questo, anche dispositivi industriali, firewall entry-level, access point installati in scuole, biblioteche, sedi comunali. Tutto visibile. Tutto attaccabile. Tutto schedato.

Il problema non è tecnico, è culturale

Questa montagna di dispositivi abbandonati non è solo il risultato di scelte sbagliate.

È il prodotto di una cultura IT tossica, pigra, approssimativa, dove l’unico parametro di valutazione è “funziona o no?”. Se accende le lucine e fa navigare, va bene. Punto.

Non c’è patch management, non c’è monitoraggio, non c’è log centralizzato. Nessuno controlla, nessuno verifica, nessuno aggiorna. Perché tanto non è compito di nessuno. E il risultato è che intere reti aziendali o pubbliche poggiano su dispositivi dimenticati, insicuri, talvolta mai più toccati dal giorno dell’installazione.

Paradossalmente, i router sono diventati i punti più deboli e più duraturi delle infrastrutture digitali. Resistono più degli switch, più dei server, più delle persone che li hanno installati.

L’illusione dell’invisibilità

Quando parli con chi gestisce queste reti, ti senti rispondere sempre allo stesso modo.

• “Ma chi vuoi che ci attacchi?”
• “Non abbiamo dati sensibili”
• “Non siamo un obiettivo interessante”

Eppure, è proprio quel tipo di target che oggi fa gola. Non tanto per il valore in sé, quanto per la facilità di compromissione. Chi attacca cerca ciò che è debole, mal configurato, non monitorato. E quei dispositivi, te lo garantisco, sono il sogno di qualsiasi attaccante: persistenti, trascurati, connessi a tutto il resto della rete.

I criminali informatici lo sanno. Entrano da lì, si muovono in silenzio, mappano la rete interna, scaricano credenziali, stabiliscono ponti per attacchi futuri.

Oppure li usano come base per colpire altri obiettivi, facendoti diventare parte di una catena di attacco senza nemmeno saperlo.

Nessuno se ne accorge, finché è troppo tardi

Il dramma è che questi attacchi non lasciano segni visibili. Non fanno rumore, non bloccano la rete, non mostrano schermate nere. Semplicemente, qualcosa si insinua e resta lì. Aspetta il momento giusto.

E quando succede il disastro – perché succede, sempre – la frase che si sente dire è: “Non capiamo come sia entrato”.

È entrato dalla porta di servizio. Quella che hai lasciato aperta dieci anni fa.

Il budget non c’entra nulla

C’è chi prova a giustificare tutto con la mancanza di fondi. È una scusa comoda. “Siamo un piccolo Comune, non possiamo permetterci un SOC”.

Ma qui non stiamo parlando di tecnologie d’élite.

Stiamo parlando di tenere aggiornato un router. Di non esporre un’interfaccia web all’esterno. Di cambiare la password di default.

È come dire che non hai i soldi per chiudere la porta a chiave. Non è questione di budget. È questione di responsabilità.

Serve una scossa. E anche uno schiaffo

Forse è arrivato il momento di fare nomi. Non per dare in pasto le aziende ai leoni, ma per creare un po’ di sano imbarazzo. Perché a volte solo quello funziona. Quando ti accorgi che il tuo IP è finito in una lista pubblica di dispositivi esposti, forse qualcosa ti si accende nella testa.

Non è il massimo dell’etica, forse. Ma siamo arrivati al punto che il rischio di non fare nulla è peggiore di quello di disturbare qualcuno.

Perché quando non dai fastidio a nessuno, nessuno si muove.

La sveglia è suonata: adesso sta a noi

Quello che serve è un cambio di passo. Non possiamo più convivere con questi zombie digitali. Serve una bonifica nazionale, serve cultura, serve formazione, serve obbligo di baseline di sicurezza anche per chi gestisce reti da quattro soldi.

Io sono pronto a contribuire.

Posso avviare un monitoraggio OSINT su scala nazionale, mappare per categoria, zona, vendor, portare numeri veri. Posso raccogliere dati da Shodan, aggregarli, renderli leggibili. E magari cominciare da lì a costruire la prima vera mappatura dell’abbandono digitale.

Perché non si può costruire sicurezza sul nulla. E oggi, sotto a tanti progetti ambiziosi, c’è solo una montagna di dispositivi dimenticati.

Dormire non è più un’opzione

Se pensi che il tuo router sia troppo piccolo per essere un obiettivo, sei già un obiettivo.

Se pensi che tanto non succederà nulla, stai già succedendo.

E se pensi che basti aspettare, ti sbagli: gli attaccanti non aspettano mai.

La sveglia è suonata. Sta a noi decidere se alzarci o restare nel letto a farci bucare.