La Fundación Raspberry Pi, la organización detrás de la popular plataforma informática del mismo nombre, está implementando una pequeña pero impactante actualización de la política de seguridad, eliminando los nombres de usuario predeterminados para cortar una vía potencial para que los actores maliciosos realicen ataques cibernéticos de fuerza bruta.
Un ataque de fuerza bruta, en pocas palabras, es un método de prueba y error de ataque cibernético mediante el cual un actor malicioso prueba todas las combinaciones posibles de nombre de usuario y contraseña para acceder a un sistema, generalmente utilizando algún tipo de herramienta automatizada, hasta que da con el. el correcto.
Esta técnica sigue siendo notablemente efectiva porque muchas personas todavía eligen contraseñas débiles que se pueden descifrar en segundos, y si están usando un nombre de usuario predeterminado conocido, lo es aún más.
Hasta ahora, todas las instalaciones del sistema operativo (OS) Raspberry Pi tenían un nombre de usuario predeterminado inicial de “pi”, pero según el ingeniero de software principal senior de la fundación, Simon Long, esta característica aparentemente inocua presenta una oportunidad fácil para un malicioso. actor a explotar.
“Esto no es una gran debilidad: solo saber un nombre de usuario válido realmente no ayuda mucho si alguien quiere piratear su sistema; ellos también necesitarían saber su contraseña, y usted tendría que haber habilitado alguna forma de acceso remoto en primer lugar”, explicó Long en una publicación de blog.
“Sin embargo, podría hacer que un ataque de fuerza bruta sea un poco más fácil y, en respuesta a esto, algunos países ahora están introduciendo leyes para prohibir que cualquier dispositivo conectado a Internet tenga credenciales de inicio de sesión predeterminadas”.
Para abordar la laguna, dijo Long, se eliminará el usuario “pi” predeterminado y, en cambio, los usuarios tendrán que crear un usuario la primera vez que inicien una imagen del sistema operativo Raspberry Pi recién flasheada.
Long reconoció que el cambio podría causar algunos problemas con la documentación o los programas que asumen la existencia del usuario “pi”, pero dado que esto está en línea con la forma en que funcionan la mayoría de los sistemas operativos actuales, la Fundación Raspberry Pi consideró que era “un cambio sensato para hacer en este punto”.
El cambio también obligará a los propietarios de Raspberry Pi a usar el asistente de configuración al iniciar una nueva imagen. Anteriormente, el uso del asistente era opcional porque hasta que se creaba una cuenta, un usuario no podía iniciar sesión en el escritorio, lo que no era un problema si existía el usuario “pi” predeterminado. Ahora no existe, esa opción tampoco puede existir.
El asistente de configuración ahora se ejecutará en un entorno dedicado en el primer arranque, pero por lo demás prácticamente no ha cambiado. Permitirá a los usuarios establecer el nombre de usuario y la contraseña como “pi” y “frambuesa” si así lo desean, aunque esto es muy desaconsejable.
Al mismo tiempo que realiza este cambio, la fundación realiza ajustes adicionales en la forma en que los dispositivos Bluetooth se emparejan con Raspberry Pi y, por primera vez, permite ejecutar el escritorio sobre Wayland, el reemplazo propuesto para el sistema X Window que sustenta la mayoría de los escritorios Unix, de forma experimental. Más detalles de estos cambios e información de configuración adicional están disponibles aquí.
“Con más de 200 000 máquinas en Internet que ejecutan el sistema operativo Raspberry Pi estándar, era un objetivo atractivo para los actores malintencionados. Terminar con el nombre de usuario predeterminado ‘pi’ es una buena medida de Raspberry Pi, ya que establece estándares mínimos de higiene cibernética en todos sus dispositivos y cierra esta vulnerabilidad que pone en riesgo los sistemas de los usuarios”.
Oliver Pinson-Roxburgh, a prueba de balas
Oliver Pinson-Roxburgh, CEO de Bulletproof, describió el pequeño cambio como un paso crucial en la dirección correcta. Citó una investigación reciente realizada por su empresa que sugería que las credenciales predeterminadas para el sistema operativo Raspberry Pi estaban, de hecho, entre las 10 credenciales predeterminadas más utilizadas por los atacantes.
“Con más de 200 000 máquinas en Internet que ejecutan el sistema operativo Raspberry Pi estándar, era un objetivo atractivo para los actores malintencionados. Terminar con el nombre de usuario predeterminado ‘pi’ es una buena medida de Raspberry Pi, ya que establece estándares mínimos de higiene cibernética en todos sus dispositivos y cierra esta vulnerabilidad que regularmente ponía en riesgo los sistemas de los usuarios”, dijo.
“Desafortunadamente, el alcance del problema de las credenciales predeterminadas es mucho más amplio que Raspberry Pi. El término “credenciales predeterminadas” se ha vuelto casi obsoleto con tantos usuarios que se apegan a ellas, creando un terreno fértil para que los malos exploten.
“Con los piratas informáticos recurriendo cada vez más a métodos de ataque automatizados, [our] los datos mostraron que el 70 % de la actividad web total es tráfico de bots: pueden usar rápidamente estas credenciales estándar como una ‘clave maestra’ para encadenar varios hacks”, agregó.
En el Reino Unido, el proyecto de ley de infraestructura de telecomunicaciones y seguridad de productos propuesto, que actualmente se encuentra en la etapa de informe antes de su tercera lectura en la Cámara de los Comunes, en última instancia evitará que los fabricantes y minoristas de productos de tecnología conectada programen credenciales predeterminadas en dispositivos, entre otros. otras cosas.
La ley se aplicará a cualquier dispositivo que pueda acceder a Internet, como teléfonos inteligentes y televisores inteligentes, consolas de juegos, cámaras de seguridad y alarmas conectadas, juguetes inteligentes y equipos de monitoreo de bebés, centros de hogares inteligentes y asistentes activados por voz (como Alexa) y conectados. accesorios.
También estarán dentro del alcance los productos que, si bien pueden conectarse a otros dispositivos, no acceden directamente a Internet por sí mismos, como bombillas y termostatos inteligentes o pulseras de actividad física portátiles.
El incumplimiento de la nueva ley dará lugar a multas de hasta 10 millones de libras esterlinas, o el 4 % de la facturación global, y hasta 20 000 libras esterlinas por día en caso de infracciones continuas.
