IoT: Nessuna password predefinita

In un mondo sempre più pervaso dai dispositivi IoT, sempre più connesso grazie alle reti mobili, appare di fondamentale importanza porsi il tema della sicurezza.

In questo articolo e nei successivi vedremo i requisiti di sicurezza di base per i dispositivi IoT secondo quanto previsto dalla specifica tecnica ETSI TS 103 645 “Cyber Security for Consumer Internet of Things”.

Quando vengono utilizzate password in qualsiasi stato diverso da quello di fabbrica, tutte le password dei dispositivi IoT di consumo devono essere uniche per dispositivo o definite dall’utente.

Ci sono molti meccanismi utilizzati per eseguire l’autenticazione, e le password non sono l’unico meccanismo per autenticare un utente a un dispositivo. Tuttavia, se vengono utilizzate, si consiglia di seguire le migliori pratiche sulle password secondo la pubblicazione NIST 800-63B. Usare le password per l’autenticazione da macchina a macchina non è generalmente appropriato.

Molti dispositivi IoT di consumo sono venduti con nomi utente e password predefiniti universali come, ad esempio, “admin, admin” o “1234, 1234”. Il riscorso a valori predefiniti universali è stato fonte di molti problemi di sicurezza nell’IoT e, tale pratica, è bene sia interrotta. Tale vulnerabilità può essere evitata con l’uso di password preinstallate che sono uniche per ogni dispositivo e/o richiedendo all’utente di scegliere una password che segua le migliori pratiche come parte dell’inizializzazione, o con qualche altro metodo che non utilizza password.

Ad esempio, durante l’inizializzazione un dispositivo può generare certificati che vengono utilizzati per autenticare l’utente al dispositivo tramite un servizio associato come un’applicazione mobile.

Per aumentare la sicurezza, l’autenticazione a più fattori, come l’uso di una password più la procedura OTP, può essere usata per proteggere meglio il dispositivo o un servizio associato. La sicurezza del dispositivo può essere ulteriormente rafforzata da identità uniche e immutabili.

Quando si usano password uniche preinstallate nei dispositivi IoT, queste devono essere generate con un meccanismo che riduca il rischio di attacchi automatici contro una classe o un tipo di dispositivo.

Le password preinstallate devono essere sufficientemente randomizzate. Le password con contatori incrementali (come “password1”, “password2” e così via) sono facilmente individuabili. Inoltre, l’utilizzo di una password legata in modo evidente a informazioni pubbliche (inviate via etere o all’interno di una rete), come l’indirizzo MAC o l’SSID Wi-Fi®, può consentire facilmente il recupero della password con software automatici.

I meccanismi di autenticazione utilizzati per autenticare gli utenti ai dispositivi IoT devono utilizzare la crittografia secondo le migliori pratiche, devono essere adeguati alla tecnologia, al rischio e all’utilizzo.

Quando un utente può autenticarsi ad un dispositivo IoT, il dispositivo deve fornire all’utente o a un amministratore un meccanismo semplice per cambiare il valore di autenticazione utilizzato.

Il meccanismo di autenticazione utilizzato per autenticare gli utenti, che sia un’impronta digitale, una password o un altro token, deve essere modificabile. Ciò è ovviamente più facile quando questo meccanismo fa parte del normale flusso di utilizzo del dispositivo.

I dispositivi IoT devono avere a disposizione un meccanismo che renda impraticabili gli attacchi a forza bruta ai meccanismi di autenticazione attraverso le interfacce di rete.

I dispositivi IoT devono avere una limitazione in merito al numero di tentativi di autenticazione entro un certo intervallo di tempo e, possibilmente, utilizzare intervalli di tempo crescenti tra i tentativi.

Il dispositivo IoT deve essere in grado di bloccare un account o di ritardare gli ulteriori tentativi di autenticazione dopo un numero limitato di tentativi di autenticazione falliti. È ovviamente importante che gli attacchi Credential Stuffing e Denial of Service siano rilevati dal dispositivo IoT o comunque che questo sia difeso da tali attacchi

Bibliografia:

• https://www.etsi.org/deliver/etsi_ts/103600_103699/103645/02.01.02_60/ts_103645v020102p.pdf