Dimenticate 12345 o P@ssW0rd! Con l’aiuto di un honeypot progettato per trovare nuove minacce per i dispositivi intelligenti, Avira ha scoperto una password ancora più insicura: niente.
“Le credenziali vuote sono quelle usate più spesso. Ciò significa che il criminale non inserisce nessun nome utente e nessuna password”, afferma Hamidreza Ebtehaj, analista della sicurezza di Avira. “Una password vuota è persino più comune della password admin.”
Per dati di accesso si intende qui una combinazione di nome utente e password. Gli hacker hanno inserito questi dati in un dispositivo intelligente per infettarlo. In realtà il dispositivo era una trappola per gli hacker: un honeypot di Avira. Il 25,6% di tutti gli attacchi ha avuto luogo con campi di immissione vuoti. Si tratta di una cifra nettamente superiore al numero di attacchi con altre combinazioni popolari di nomi utente e password. Le credenziali vuote sono state utilizzate ancora più spesso delle credenziali di default di molti dispositivi IoT, come “admin | QWestM0dem” e “admin | airlive” (24,0%) e di una serie di credenziali di default generiche (23,4%) con classici senza tempo come “admin | admin”, “support | support” e “root | root”.
Il 25% di tutti gli attacchi era costituito da attacchi specifici di malware IoT, in cui gli hacker si sono concentrati su una vulnerabilità nota e hanno cercato di sfruttarla con credenziali come “___”. Le due combinazioni di accesso più comunemente utilizzate sono state “root | xc3511” e “default | S2fGqNFs”, due webcam collegate a Internet e disponibili sul mercato con nomi diversi. Dal momento che registriamo costantemente nuovi attacchi, questi numeri possono ovviamente cambiare, soprattutto per quanto riguarda i malware dell’Internet delle cose. Ma in generale la distribuzione si presenta come descritta sopra ormai da un po’ di tempo.
Che cos’è un honeypot?
Gli honeypot sono dispositivi, computer o reti utilizzati come esche per gli hacker. Gli honeypot sono una componente strategica essenziale nella lotta contro gli attacchi informatici. Permettono ai ricercatori di attirare gli hacker e di tenerli in trappola per un momento, quanto basta per scoprire le loro ultime tecniche e i loro obiettivi preferiti. “Consentiamo ai criminali l’accesso al nostro honeypot con qualsiasi combinazione di nome utente e password, anche con una password vuota”, spiega Ebtehaj.
Come comunica il vostro dispositivo intelligente?
Questo honeypot imita le funzioni e il comportamento dei dispositivi online come router e dispositivi IoT intelligenti, con lo scopo di attirare gli hacker. Si rende visibile su Internet come dispositivo apparentemente vulnerabile e impiega tre dei protocolli più comunemente utilizzati per dispositivi intelligenti: Telnet, Secure Shell e Android Debug Bridge. I dati sono stati raccolti il 5 settembre da 14.125 attacchi.
Nella seconda fase entra in gioco l’honeypot
Ogni attacco a un dispositivo intelligente è composto da due fasi per lo più automatiche. Nella prima, l’hacker sceglie un bersaglio in segreto. A tale scopo, l’hacker può utilizzare uno scanner di IP/porte, valutare informazioni da altri criminali informatici/botnet o cercare alla cieca su Internet con il motore di ricerca Shodan. Alcuni hacker dispongono persino di un database che elenca tutti i dispositivi vulnerabili.
Nella seconda fase, il pirata informatico tenta di infettare il dispositivo preso di mira. Ed è proprio qui che l’honeypot svolge un ruolo importante. L’honeypot non solo memorizza i dati di accesso utilizzati per l’attacco, ma raccoglie anche dati su vettori di infezione, script dannosi e malware.
Questa volta non dipende solo dagli utenti
I dispositivi intelligenti vengono spesso criticati per le loro vulnerabilità incorporate e i loro utenti per non aver cambiato le loro password predefinite. Secondo Ebtehaj, tuttavia, il problema non è solo la pigrizia dei proprietari di dispositivi. “L’utente medio non sa nulla di questi protocolli e non sospetta nemmeno che il proprio dispositivo possa essere vulnerabile agli attacchi degli hacker. Non possiamo aspettarci che questi utenti accedano a un terminale e modifichino le impostazioni dei protocolli di cui non hanno mai sentito parlare.” Qui i principali responsabili sono i produttori e gli sviluppatori dei dispositivi.
Perché i dispositivi intelligenti sono così stupidi dal punto di vista della sicurezza
Il problema di molti dispositivi intelligenti è che durante il loro sviluppo non è stata prestata sufficiente attenzione alla sicurezza. In passato le vulnerabilità e le violazioni di questi dispositivi connessi hanno avuto molte conseguenze di vario genere: nel caso più innocuo, agli utenti è stato chiesto di abbonarsi a PewDiePie. La faccenda si è fatta più seria quando la botnet Mirai ha paralizzato parti di Internet sulla scia del più grande attacco DDoS del mondo (Distributed Denial of Service: attacco dei droni botnet ai server). Gli accordi industriali sugli standard per i dispositivi intelligenti sono appena usciti dalla fase di pianificazione, quindi milioni di dispositivi non sicuri sono ancora online.
L’insicurezza rimane
Quando utilizzate un dispositivo intelligente, avete a disposizione tre opzioni di sicurezza principali:
- Informatevi online circa le potenziali vulnerabilità di sicurezza note nel vostro dispositivo.
- Verificate la disponibilità di aggiornamenti firmware per il vostro dispositivo, per correggere vulnerabilità o problemi noti nel dispositivo.
- Eseguite una scansione della vostra rete per rilevare eventuali porte aperte, che potrebbero attirare hacker indesiderati.
