Soluciones de seguridad de IoT, parte 1: sin contraseñas predeterminadas universales

La seguridad cibernética ya no es una característica agradable para las grandes empresas. Es esencial, especialmente para productos integrados y de IoT. ETSI acaba de publicar una nueva regulación para el diseño seguro de IoT y productos relacionados, y CEPD no podría estar más de acuerdo con la pertinencia de esta versión.

(Fuente de la imagen: CEPD)

Con la prevalencia y la popularidad de los productos de IoT que llegan al mercado, nunca ha sido un mejor momento para informarse sobre algunos de los problemas comunes de seguridad de IoT. Este artículo forma parte de una serie que se centrará en IoT y la seguridad integrada. Se debatirán los problemas comunes y se proporcionarán posibles vías de solución. Al final, esperamos que todos seamos un poco más conscientes de la seguridad al usar y diseñar dispositivos de IoT.

Contraseñas predeterminadas

La mayoría de los dispositivos de IoT utilizan una contraseña predeterminada universal, p. ej., “admin”, “1234”, “usuario”, etc. Para empeorar las cosas, muchos usuarios nunca actualizarán sus contraseñas predeterminadas. Esto le da acceso completo a cualquiera que esté familiarizado con estas contraseñas. La población potencial de “piratas informáticos” es cualquier persona que también haya comprado el producto o leído sobre el producto. No hace falta decir que este es un grupo bastante grande de piratas informáticos potenciales que ahora conocen la contraseña de su dispositivo.

Posibles soluciones

Es tentador como desarrollador simplemente codificar una contraseña en la base de código del producto. Sin embargo, los riesgos superan con creces los beneficios. Afortunadamente, existen opciones de diseño que se pueden elegir para asegurar mejor el dispositivo de IoT.

Generación de números aleatorios

Tras el encendido inicial, el dispositivo de IoT podría generar un número aleatorio como contraseña. Luego, esto podría compartirse a través de un medio seguro con el usuario final. Debido a que esta contraseña es aleatoria, existe una baja probabilidad de que otro dispositivo comparta la misma contraseña.

La generación de números aleatorios está disponible a través de hardware y software. Los dispositivos, como el MikroElektronika MIKROE-4090 generarán una verdadera secuencia de números aleatorios. Además, muchos procesadores y microcontroladores modernos ofrecen periféricos generadores de números aleatorios verdaderos o pseudoaleatorios. Por último, C y C++ ofrecen capacidades pseudoaleatorias mediante el uso de bibliotecas precompiladas (https://www.geeksforgeeks.org/generating-random-number-range-c/).

El punto es que hay muchas formas en estos días de generar un número aleatorio. Agregar esta función a su dispositivo de IoT evita el dilema de la contraseña predeterminada universal y demuestra que su producto está realmente un paso por encima del resto.

Requerir un cambio de contraseña

Si los números aleatorios son demasiado complicados, haga que el usuario cambie la contraseña como primer paso. Antes de que el dispositivo de IoT haga el trabajo para el que fue diseñado, pida al usuario que ingrese su propia contraseña personalizada. Esta es una pequeña carga para el usuario y los 30 a 60 segundos necesarios para completar este paso pagarán dividendos para proteger la seguridad del usuario y la reputación de su producto.

Limite el número de intentos incorrectos

Las reglas, como permitir solo cinco contraseñas incorrectas en un período de 3 minutos, pueden hacer que su producto de IoT sea más resistente a los ataques automatizados. Tenga en cuenta que la mayor parte de la “piratería” se lleva a cabo por máquinas que rápidamente intentan adivinar una contraseña. Si su IoT retrasa la entrada de la contraseña, entonces no será tan fácil y los esfuerzos de piratería se verán frustrados, y probablemente abandonen su dispositivo. Ahora bien, esto no es suficiente por sí solo, pero, cuando se combina con una de las recomendaciones anteriores, puede ser poderoso.

Estas cuestiones y recomendaciones provienen del trabajo realizado por ETSI. Se puede hacer referencia a su publicación ETSI EN 303 645 v2.1.1 (2020-06) para todos estos puntos.

Más artículos/blogs sobre seguridad de IoT están por venir, así que esté atento