Le password predefinite sono un noto punto debole per la sicurezza dei sistemi informatici e, di recente, sono state sfruttate da un gruppo di hacker legati all’Iran per condurre una serie di attacchi a strutture idriche. Questo è il motivo per cui la Cybersecurity and Infrastructure Security Agency (CISA) ha lanciato un accorato appello ai fornitori di software: eliminare completamente le password predefinite.
Secondo la CISA, i produttori di software dovrebbero assumersi la responsabilità della sicurezza dei propri clienti, anziché passare il peso della sicurezza sugli utenti finali. L’agenzia afferma che l’uso di credenziali predefinite è una delle principali debolezze che gli attaccanti sfruttano per infiltrarsi nei sistemi, compresa l’infrastruttura critica degli Stati Uniti.
Un esempio recente che ha spronato l’agenzia a rilasciare questo avviso riguarda un’ondata di attacchi hacker che ha preso di mira il produttore di tecnologia israeliano Unitronics, con ripercussioni su molteplici strutture idriche negli USA. Questi attacchi hanno avuto successo in parte perché Unitronics ha lasciato le password predefinite come “1111”. Questa informazione era ampiamente disponibile e conosciuta nei forum degli hacker, ha rivelato la CISA.
Gli attacchi recenti dimostrano il rischio significativo e potenzialmente dannoso legato all’uso di password predefinite statiche. La CISA vuole che i produttori di software vedano la sicurezza informatica non come un onere da scaricare sui clienti, ma come una questione intrinseca alla sicurezza dei prodotti che vendono.
L’appello della CISA è parte di un’iniziativa più ampia che mira a promuovere lo sviluppo di software sicuri fin dalla progettazione, in connubio con l’NSA e l’Office of the Director of National Intelligence. Le sfide della cybersecurity impongono di prestare particolare attenzione a come i software open source sono integrati e utilizzati, in quanto possono presentare problemi di sicurezza.
L’adozione e la gestione del software open source devono essere regolate da pratiche consigliate, tra cui la scelta del software, la valutazione del rischio, il controllo delle esportazioni, la manutenzione, la risposta alle vulnerabilità e i bill dei materiali software (SBOM). Le organizzazioni che non aderiscono a tali pratiche sono più suscettibili di diventare vulnerabili a exploit noti nei pacchetti open source e incontrano maggiori difficoltà nel reagire a un incidente.