6 abr. 2016

Password Shaming: lista de contraseñas por defecto de sistemas SCADAs

SCADA de Strangelove, un grupo de investigadores que estudian sistemas SCADA (Supervisory Control and Data Acquisition) publicó en Github una hoja de cálculo que contiene las contraseñas administrativas por defecto de software que se ejecuta instalaciones industriales y líneas de fabricación.
Según los investigadores, empresas como Schneider Electric, Emerson, Siemens y muchos otros proveedores no consideran que las contraseñas por defecto sean una vulnerabilidad y necesitan alentar a sus clientes a cambiar estas contraseñas después de la instalación.

Lo llaman "password shaming" y el archivo contiene contraseñas de 106 productos SCADA e invitan a descargarlo, editarlo y agregar más. El objetivo es que las contraseñas estén disponibles para profesionales de la seguridad y para cualquiera que necesite evaluar la seguridad de las instalaciones SCADA.
"Creemos que los operadores y auditores de seguridad pueden utilizar esta lista en herramientas como Nessus o Hydra para escanear la seguridad de sus instalaciones ICS" dijo Sergey Gordeychik, un miembro del equipo de StrangeLove de SCADA.

"El objetivo es cambiar la mentalidad de proveedores en la industria SCADA que todavía dependen del usuario para garantizar el cambio de las contraseña en sistemas de control industrial. Estos sistemas administran la infraestructura crítica de la economía moderna, pero a menudo no aplican controles de seguridad adecuados".

Los controles de seguridad apropiados podrían incluir requisitos para que los usuarios cambien la contraseña por defecto después del primer uso y utilizar una contraseña compleja: la combinación de letras, números y símbolos especiales.

En cambio, la mayoría de las empresas hace que el software SCADA funcione y luego aplican el principio "si funciona, no se toca".

Los investigadores reunieron la información sobre las contraseñas desde fuentes abiertas, como la documentación propia del proveedor. Mientras que la mayoría de los productos incluyen características para cambiar las contraseñas administrativas por defecto, la realidad práctica es que muchas de las contraseñas no se actualizan, por temor a interrupciones.

Las contraseñas liberadas no están "hardcodeadas" en el software, aunque Gordeychik dijo que muchas contraseñas han sido descubiertas de esta manera. En agosto pasado, el CERT de Carnegie Mellon informó que había encontrado una contraseña codificada en el firmware de sus routers y esto podría proporcionar acceso remotos a posibles atacantes.

El Departamento de Seguridad Nacional (DHS) ha publicado una guía de configuración y administración de acceso remoto a los sistemas de control industrial [PDF] que invoca a utilizar "strong autenticación" para garantizar la seguridad en estos sistemas.

Fuente: Security Ledger

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!