Default password: qual è il vero pericolo?

Quando si tratta di inventare nuove password, spesso la fantasia scarseggia.
È noto a tutti (in teoria) che una password debole può regalare ad un hacker l’accesso a dati personali.

Definiamo prima che cos’è una default password

I software appena usciti di ma anche i dispositivi ed appliance incorporati includono come tra le configurazioni iniziali la presenza di password semplici e pubblicamente documentate per l’accesso: le password di default.
Grazie a queste password pubblicamente conosciute, l’utente ha la possibilità di accedere una prima volta all’interfaccia completa del sistema operativo per la gestione degli utenti e per la definizione delle password. Di conseguenza, in seguito al primo accesso, l’utente potrà immediatamente sostituire la default password con una nuova, segreta e unica password forte.

Le password predefinite sono destinate alle operazioni iniziali di test, installazione e configurazione motivo per il quale molti fornitori consigliano di modificare la password predefinita prima di distribuire il sistema in un ambiente di produzione.

Fate attenzione.

La pratica più comune legata alla presenza delle password di default è un’altra: reputare che le password di default siano sufficienti a garantire un buon livello di sicurezza informatica al dispositivo e quindi all’aziend stessa.
Purtroppo si tratta di una convinzione completamente errata. Proprio perché le password di default sono universalmente conosciute e quindi pubbliche, diventa semplicissimo per un attaccante del web sfruttarle a loro vantaggio. Banalmente, le default password possono essere trovate nella documentazione del prodotto e negli elenchi compilati disponibili su Internet.

Con la sicurezza non si scherza: c’è in gioco più di quello che si possa immaginare.
Il tentativo di accedere ad un sistema che utilizza password di default, predefinite e comuni è una tecnica di attacco ampiamente utilizzata dai cracker.

Ancora non siete convinti?
Leggete questo articolo e avrete tutti gli strumenti per valutare se sia il caso di cambiare opinione.

1. Che cos’è la default password?

2. A cosa servono le password di default

3. Problemi di sicurezza delle password di fabbrica

4. Perché vengono utilizzate le default password

5. I rischi delle password predefinite

6. I trend delle password di default

7. 3 motivi per cui usare password di default non è una buona idea

8. Soluzioni alle password di default

9. Vulnerability Assessment e default password

10. Considerazioni finali sulle password predefinite

Per collegarsi al Wi-Fi del nuovo modem o attivare l’ultimo acquisto in termini di elettrodomestici intelligenti viene fornita dalla casa madre una password di accesso. Questa password momentanea, detta di default, tipicamente è riportata sul manuale di istruzioni o sul dispositivo tramite un adesivo: non ha alcun valore in termini di segretezza, chiunque sia interessato può risalire alla password di default collegata.

Queste password fungono un po’ da segnaposto.
Sono pensate esclusivamente per garantire la sicurezza del primo accesso quando il dispositivo è ancora off-line.
Le password di default non sono certo adatte ad essere utilizzate nel corso di mesi o addirittura anni per proteggere il dispositivo o il sito web da accessi esterni e indesiderati.

Il fatto che, a volte, queste credenziali consistano in banalità come admin oppure 00000 dovrebbe suggerirlo.
Non è prudente mantenerle più a lungo dello stretto necessario.

Ecco la lista delle password di default più utilizzate:

1. 123456789
2. qwerty
3. password
4. 1234567
5. 12345678
6. 12345
7. Iloveyou
8. 111111
9. 123123
10. abc123
11. qwerty123
12. 1q2w3e4r
13. admin
14. qwertyui

Dover inventare password robuste è un’attività sempre più frequente che molti utenti trovano noiosa e ridondante.
Spesso le password di default vengono predisposte per il primo accesso a:

• Router, punti di accesso, switch, firewall e altre apparecchiature di rete
• Banche dati
• Applicazioni web
• Sistemi di sistemi di controllo industriale (ICS).
• Altri sistemi e dispositivi embedded
• Interfacce terminali remoti come Telnet e SSH
• Interfacce web amministrative (es.: CRM)

Ma non è finita qui.
Le password di default nella realtà dei fatti le ritroviamo in molti altri ambienti: accesso all’email, durante l’autenticazione ad un sito web, ecc.

Per contrastare i problemi di sicurezza delle password predefinite, i proprietari dei dispositivi dovrebbero modificare il valore e tramutarlo in una password complessa quando configurano per la prima volta l’infrastruttura. I fornitori talvolta riescono ad imporre la modifica al primo utilizzo della password predefinita.

Sappiate che la presenza di password di default espone l’infrastruttura informatica al pericolo di attacchi.

In particolare, le combinazioni di username e password di fabbrica rappresenta una strategia vincente per l’implementazione delle botnet in ambiente IoT (Internet of Things) ad esempio. Questo perché in molti casi, i dispositivi IoT dispongono di password di default per l’accesso al loro sistema operativo interno e raramente vengono sostituite con credenziali più sicure.

Gli hacker gestori di botnet dispongono, ovviamente, degli elenchi di tutte le password di default IoT. Qualora l’hacker riesca a identificare il dispositivo e questo presenti entrambi le credenziali di fabbrica, violarlo diviene un gioco da ragazzi. Accade poi che più le botnet sono grandi, maggiore sarà la loro potenza di fuoco per sferrare nuovi attacchi DDoS.

La seccatura momentanea del dover inserire dei codici di accesso fa si che le vostre foto, i vostri documenti e atti ufficiali siano al sicuro. Lasciare una password predefinita (e banale) sarebbe come lasciare aperta la porta di casa con le istruzioni per sbloccare la cassaforte bene in vista…

Nel 2017 un gruppo di ricercatori ha condotto uno studio sul vasto argomento delle password di default.

Si sono occupati, tra le altre cose, di per capire quali siano le motivazioni che giustifichino l’uso di password predefinite non sicure.
Tra le testimonianze raccolte, alcune aziende risultavano riluttanti al modificare le password predefinite in quanto questo avrebbe reso più complicato l’accesso da remoto e meno sicure le prestazioni del personale durante interventi di emergenza.

Gli argomenti a favore per i produttori risultavano essere una maggiore facilità nell’istallazione del prodotto che sarebbe risultato così più user-friendly.
Tuttavia, le fonti sembravano cercare una giustificazione all’uso di questo sistema ma si contraddicevano successivamente indicando le credenziali di default come una sorgente di vulnerabilità.
Questo ha portato i ricercatori a concludere che:

“ Non vi è alcun argomento sostanziale e convincente che giustifichi l’utilizzo di password predefinite. La convenienza è spesso citata ma non fornisce alcuna forma di sicurezza. Pertanto, non ne giustifica l’uso.”

Il dato più sconvolgente è questo: nonostante il problema sia noto da anni non sono molti a prestarci la dovuta attenzione. Per rendersene conto bastano pochi dati:

IoT inspector, un’azienda che si occupa ogni anno di condurre una ricerca sulle vulnerabilità dei modelli di router più venduti sia per privati che per le società ha rilevato che, tra le vulnerabilità più comuni compare l’uso di password predefinite estremamente semplici come ad esempio “admin”.

Questo aspetto risulta così rilevante che l’azienda decide di concludere il suo articolo citando Jan Wendenburg (CEO di IoT Inspector ) che avverte

“La modifica delle password al primo utilizzo e l’abilitazione della funzione di aggiornamento automatico delle password devono essere una pratica standard su tutti i dispositivi IoT, indipendentemente dal fatto che il dispositivo venga utilizzato in casa o in una rete aziendale.
Il pericolo maggiore, oltre alle vulnerabilità introdotte dai produttori, è l’utilizzo di un dispositivo IoT secondo il motto “plug, play and forget“”

Addirittura, alcuni governi si stanno mobilitando per approvare leggi specifiche al riguardo.

La prima legge che regolamenta le password predefinite è stata approvata in California nel 2018 ed è entrata in vigore nel 2020.

La normativa richiede che le credenziali per il primo accesso siano uniche per ciascun dispositivo e che una volta in funzione si attivi una funzionalità che richieda di configurare una nuova password.
Anche in gran Bretagna ci si sta muovendo in questa direzione.

Il parlamento britannico infatti, sta studiando un nuovo disegno di legge che richiede l’obbligo di password univoche per i dispositivi dotati di connessione internet. Non solo, l’idea è che, dopo il primo accesso, sia impossibile reimpostare credenziali uguali a quelle predefinite.

Per capire come mai lasciare la password preimpostata su un dispositivo connesso ad Internet non sia una buona idea analizziamo i tre casi più frequenti:

• La società utilizza credenziali di default uguali per tutti i dispositivi

Questo estende la “popolazione” di possibili hacker a tutti gli utenti che conoscono allo stesso tempo la password e il fatto che non è univoca. Ossia, chiunque abbia acquistato un prodotto analogo. I potenziali criminali possono accedere senza destare sospetti a tutti quei dispositivi che non siano stati protetti con credenziali nuove. Un esempio che rappresenta il fenomeno è rappresentato da Shodan Search, il motore di ricerca identifica decine di milioni di dispositivi IoT aperti e accessibili da Internet.

• La società che rilascia il dispositivo utilizza password diverse ma non sicure

In questo caso, un malintenzionato può ottenere lo stesso risultato di cui sopra con un attacco a dizionario. Anche qui, gli basterà poco per prendere possesso di tutti i dispositivi che conservano le credenziali di fabbrica.

• La società che rilascia password diverse e che sembrano rispettare gli standard di sicurezza

Persino in quest’ultimo caso non si può stare tranquilli. Spesso un produttore utilizza una regola di facile comprensione per generare le password. Per cui nota una password il criminale può ricavare da solo le altre e il risultato è lo stesso.

A questo punto appare evidente:

Non possiamo fidarci delle credenziali di default neppure se queste ci sembrano in qualche modo affidabili.

Se le credenziali rimangono invariate offrono ai pirati informatici un’occasione in più per mettere in atto truffe ai danni dei proprietari.

I rischi aumentano se si tratta di dispositivi ai quali si può accedere da remoto o ai quali hanno accesso molti utenti diversi, come avviene nelle aziende.
Ottenuto l’accesso è possibile usufruire dei diritti di amministratore per modificare la configurazione del dispositivo. Questo è particolarmente pericoloso per i macchinari industriali, i sistemi embedded e dispositivi nell’ambito di smart home, ossia tutte quelle situazioni in cui esiste un risvolto fisico nelle azioni telematiche.

Sembra inverosimile ma ad oggi la strategia più efficiente per propagare delle botnet in ambiente IoT è senza ombra di dubbio l’uso delle credenziali di accesso preimpostate.

Tanti più dispositivi sono protetti da credenziali predefinite, tanto più sarà facile per il pirata informatico estendere la rete di oggetti sotto il suo controllo.

Bisogna specificare che le password predefinite non sono l’unica porta di accesso ai dispositivi IoT che un pirata informatico possa trovare. Ciò non toglie però, che questa “piccola” mancanza degli utenti, possa rendergli il “lavoro” molto più semplice.

È sufficiente cambiare le password di default appena possibile, sostituendole con password robuste e, dove possibile, limitare il numero di tentativi prima di bloccare l’accesso.

Il migliore strumento per identificare la presenza di eventuali password di default attive all’interno di un sistema informatico è certamente il Vulnerability Assessment.

Contattaci per richiedere un Vulnerability Assessment.

Il Vulnerability Assessment o Test di vulnerabilità è un check-up di sicurezza di tutta la rete informatica e dei dispositivi connessi. Il test di sicurezza identifica con cura la presenza di vulnerabilità nel network, dovunque esse si trovino e fornisce indicazioni accurate su come intervenire.
Grazie a questo servizio, il tecnico informatico dell’azienda saprà esattamente dove e in che modo intervenire per ripristinare la sicurezza dell’intera infrastruttura IT.

Per quanto possano sembrare comode o affidabili, le password di default costituiscono un appiglio per molti attacchi informatici.

Gli esempi di truffe perpetrate sfruttando questa debolezza si sprecano: dagli ospedali, alle aziende ai privati.

I danni a cui si rischia di andare incontro valgono la fatica di inventare una password efficiente per i propri dispositivi e gestirla in modo appropriato. Potete eventualmente farvi aiutare in questo da un password manager.

È ora di modificare tutte le credenziali di accesso predefinite dei vostri dispositivi IoT.