I motori di ricerca IoT (Internet of Things) sono strumenti che permettono di identificare e analizzare dispositivi IoT esposti sulla rete Internet, i cosiddetti ICD (Internet Connected Devices) rivelando potenziali vulnerabilità e configurazioni errate che potrebbero essere sfruttate da attori malintenzionati. Utilizzando questi motori di ricerca, è possibile ottenere una visione della superficie di attacco di un’organizzazione o di un’infrastruttura, individuando dispositivi non autorizzati o mal configurati, porte aperte e servizi esposti.

Inoltre, a partire da una serie di informazioni preliminari su un dispositivo, tali motori possono tracciare una panoramica sia della distribuzione sul territorio sia di eventuali vulnerabilità riscontrate. Questa flessibilità d’uso è molto utile nel vulnerability assessment, una delle fasi preliminari della gestione del rischio informatico, che cerca minacce potenziali al sistema, come vettori di attacco e vulnerabilità che gli aggressori potrebbero sfruttare. I motori di ricerca IoT implementano architetture proprietarie eterogenee che si differenziano per metodologie di acquisizione dei dati, caratteristiche estratte e algoritmi per l’identificazione univoca degli ICD in termini di configurazioni, prodotti e servizi (digital footprint).

Il presente documento descrive una metodologia per realizzare un metamotore IoT prototipale in grado di fondere insieme i metadati a maggiore contenuto informativo e peculiari da vari motori IoT per costruire digital footprint più complete senza però avere un’interazione diretta con la risorse analizzate (passive reconnaissance) attraverso la mediazione offerta dai motori IoT.

La metodologia definita è composta di due pipeline per la data collection e data processing, ed utilizza un approccio ontologico per fondere i risultati di sei motori di ricerca IoT di tipo commerciale (Shodan, Censys, Netlas, ZoomEye, BinaryEdge, Fofa), con i quali sono stati raggiunti accordi d’uso, insieme a fonti dati esterne come database di vulnerabilità e CVE (Common Vulnerabilities and Exposures) dall’azienda Vulners e di CWE (Common Weakness Enumeration) dal Mitre. Le ontologie rappresentano dei framework per descrivere e strutturare la conoscenza di un dominio. Queste rappresentazioni non solo delineano le entità e le relazioni all’interno di un dominio, ma costituiscono anche la base per la costruzione di basi di conoscenza (Knowledge Base o KB).

L’ontologia progettata ha quindi l’obiettivo di integrare i risultati dei motori IoT in modo da poter rispondere a domande puntuali sulle vulnerabilità associate ad un singolo ICD o domande generali sulla distribuzione di dispositivi o vulnerabilità sul territorio italiano. Per l’implementazione dell’ontologia è stato utilizzato il software Protégé dell’università di Stanford e si è utilizzato il linguaggio Python per le funzionalità di interrogazione, memorizzazione e fusione delle informazioni. L’ontologia e la Knowledge Base (KB) generate sono poi state valutate in termini quantitativi e qualitativi.

Nel contesto della letteratura esaminata e nei limiti delle conoscenze attuali disponibili alla data di stesura del presente documento, questo lavoro rappresenta un contributo innovativo. Esso si distingue per il numero di motori di ricerca IoT utilizzati e per la cardinalità dei metadati generati, aspetti che non sono stati ancora adeguatamente esplorati dalla comunità scientifica.

In questo studio, alla luce del crescente impiego dell’intelligenza artificiale generativa riportato in letteratura [Kommineni et al. 2024; Funk et al. 2023] a supporto della progettazione e implementazione di ontologie, è stato condotto un esperimento. In tale esperimento, sotto supervisione umana (human in the loop), sono state delegate a vari Large Language Models (LLMs) due sotto-attività: (1) il mapping degli schemi tassonomici dei sei motori di ricerca (ontology alignment) e (2) la validazione quantitativa della KB generata (LLM as domain experts) [Shih et al. 2024].

La metodologia e il tool sono stati applicati a un caso d’uso specifico relativo ai sistemi di produzione e monitoraggio dell’energia fotovoltaica. ENISA segnala una forte crescita dei rischi associati a queste vulnerabilità, con un impatto significativo in scenari di compromissione delle reti energetiche. I risultati del caso d’uso forniscono panoramiche ed insights di vario tipo associate sia a singoli host sia alla distribuzione di componenti esposte e potenzialmente vulnerabili sul territorio italiano.