Quali sono i principali problemi legati alle password IBM i

In questa serie di articoli che approfondiscono come funziona la sicurezza sulla piattaforma IBM i, non abbiamo solo l’obiettivo di mostrare le potenziali vulnerabilità del sistema, ma soprattutto di fornire agli utenti tutti gli strumenti per approcciarsi alla tecnologia nel modo più sicuro, così da salvaguardare la propria infrastruttura IT e i propri investimenti.

Di seguito, andremo ad analizzare i principali problemi riguardanti le password sulla piattaforma IBM i, messi in luce dallo studio realizzato dal nostro partner HelpSystems nel 2021.

Le password sono un problema critico per IBM i (AS/400), perché rappresentano il metodo più ovvio e più facilmente sfruttabile per compromettere il sistema. Senza adeguate misure di sicurezza che tutelino le password, gli sforzi per proteggere altre aree della piattaforma, rischiano di essere per lo più inefficaci.

• Il problema dei profili inattivi

I profili inattivi sono profili utente che non sono stati usati negli ultimi 30 giorni o più. Questi profili costituiscono un problema di sicurezza poiché si riferiscono ad account che non sono attivamente mantenuti dai loro utenti e questo li rende bersagli privilegiati per gli hacker. Molti di questi profili inattivi appartengono a ex dipendenti o partner, persone che potrebbero covare rancore o che potrebbero avvantaggiarsi dall’utilizzo improprio dei dati del loro ex datore di lavoro, magari nei loro nuovi impieghi presso i concorrenti. La minaccia persiste anche qualora questi ex dipendenti non tentassero mai di accedere ai loro profili. Ad esempio altri utenti all’interno dell’organizzazione potrebbero sapere che il profilo dell’ex direttore IT è ancora presente sul sistema. E se un profilo inattivo venisse usato da un ex dipendente, o da un interno malintenzionato o un hacker esterno, l’utilizzo insolito non sarebbe rilevato e segnalato dal proprietario del profilo, perché non più presente.

È quindi necessario sviluppare un processo per gestire e dismettere i profili inattivi. In primis, definendo per quanto tempo un profilo deve essere inattivo prima di prendere provvedimenti (ad esempio 60 giorni), poi disabilitando i profili inattivi e rimuovendo tutte le autorizzazioni speciali e le assegnazioni dei profili di gruppo. Prima di rimuovere un profilo dal sistema, è buona norma aspettare altri 30 giorni per assicurarsi che sia effettivamente inattivo o che il nome dell’utente non sia più necessario ai fini della tracciabilità e della coerenza dei sistemi. Questo processo, può essere eseguito manualmente o in maniera automatica utilizzando gli strumenti di sicurezza integrati di IBM.

• Perché le password predefinite di IBM i sono così rischiose?

Su IBM i, i profili con una password predefinita, hanno la password uguale al nome utente. Essendo questa un’impostazione predefinita, quando vengono creati nuovi profili utente, si espongono i server IBM i ad un grave rischio.

Molte aziende hanno politiche per nominare i propri account utente o profili in base a un formato standard, come il nome iniziale seguito dal cognome (ad esempio, mrossi). Un hacker potrebbe facilmente indovinare i nomi dei profili come mrossi e provare ad accedere con le password predefinite. È ancora più facile indovinare le credenziali per un dipendente che conosce la prassi interna, soprattutto se è a conoscenza di account che sono stati creati ma non ancora utilizzati.

Gli standard normativi e legislativi, in genere, impongono agli utenti di utilizzare credenziali univoche note solo all’utente, garantendo che qualsiasi azione possa essere ricondotta in maniera equivocabile ad un individuo specifico. Questa prevalenza di password predefinite invece, significa che indovinare una password diventa incredibilmente semplice e questo alla fine si traduce in una potenziale vulnerabilità dell’azienda e una non conformità ai Regolamenti vigenti in materia.

Lo studio annuale sullo stato della sicurezza di IBM i analizza quanti utenti del sistema continuino ad usare password predefinite. I dati più recenti mostrano che quasi il 15% dei profili utente ha password predefinite. Il 44% dei sistemi studiati ha più di 30 profili utente, il 25% ha più di 100 profili utente, con password predefinite. Uno scenario poco confortante.

• Utilizzare il valore di sistema QPWDRULES per vietare le password predefinite

   

Il primo consiglio che vogliamo dare è di definire e implementare politiche interne robuste per la gestione delle password. E stabilire e applicare criteri password che rendano difficile la compromissione dell’account di un utente. A partire dalla V7.2, IBM i supporta il divieto di password predefinite tramite il valore di sistema QPWDRULES, anche se è necessario prendere in considerazione le applicazioni o il software del fornitore che crea profili durante l’installazione.

• Lunghezza delle password

Password corte sono più facili da memorizzare, ma sono anche più facili da scoprire. Sebbene le password corte possano essere rese più sicure impiegando caratteri casuali, è molto più facile indovinare una password di quattro caratteri rispetto a una password più lunga. Oggi il NIST raccomanda di utilizzare password di 8 caratteri, rispetto alla precedente indicazione di 6 caratteri. Da quanto rilevato dallo studio di HelpSystems, circa il 38% dei sistemi soddisfa o ha un’impostazione migliore rispetto allo standard di 8 o più caratteri definito dalle best practices. Il 50% dei server analizzati invece, non soddisfa il requisito di password lunghe 7 caratteri, richiesto dallo standard PCI. Sorprendentemente, il 15% dei sistemi permette agli utenti di scegliere una password lunga meno di 6 caratteri e 4 server permettono l’uso di password di un solo carattere!

In merito questo terzo problema, la soluzione sta nel creare una politica per le password che obblighi gli utenti di scegliere password di 8 o più caratteri. IBM i consente agli amministratori di definire una politica per le password in modo granulare. Le impostazioni sulle password includono la lunghezza, le restrizioni sui caratteri, l’impiego di numeri, la scadenza e quanto tempo debba passare prima che una password possa essere riutilizzata. Queste impostazioni contribuiscono a rendere le password più difficili da scoprire e rendono il sistema più sicuro, considerato che password semplici e facili da indovinare come “123456” o “password” sono ancora diffuse in maniera preoccupante.

Inoltre, è bene considerare di passare dalle password alle passphrase che sono normalmente lunghe dai 20 ai 30 caratteri e rendono impraticabili gli attacchi. IBM i può, infatti, supportare password lunghe addirittura fino a 128 caratteri. Anche la multi-factor authentication può essere utile per proteggere i vostri sistemi da accessi non autorizzati. Mentre un’altra possibilità è eliminare completamente le password, implementando il single sign-on (SSO), basato su una tecnologia integrata nel sistema operativo IBM i.

• Tentativi di accesso non riusciti

Le password vengono dimenticate, digitate male o semplicemente confuse con altre password. Spesso il personale dell’helpdesk incaricato di resettare le password ha a che fare con gli stessi utenti più e più volte. Come è possibile tracciare gli utenti con molteplici tentativi di accesso non riusciti? Cosa può succedere se i profili con privilegi vengono presi di mira? Numeri elevati possono indicare un tentativo di intrusione, mentre 3, 5 o addirittura 10 tentativi sono probabilmente da imputare ad un utente sbadato. Il 49% dei sistemi analizzati ha un profilo che conta più di 100 tentativi di accesso negati. Il 20% ha più di 1.000 tentativi di accesso negati su un singolo profilo. Uno dei sistemi studiati ha più di 3 milioni di tentativi su un singolo profilo!

La Figura 6 mostra quale azione viene intrapresa quando il numero massimo consentito di tentativi di accesso viene superato. Nel 95% (38% Disabilita Entrambi, 57% Disabilità il profilo) dei casi il profilo viene disabilitato e generalmente questo provvedimento è sempre raccomandabile.

Per proteggere il sistema, è bene assicurarsi che l’impostazione di default sia quella di disabilitare i profili che superano il massimo numero consentito di accessi non riusciti.

Come ribadito più volte, la sicurezza è un percorso fatto di diversi step e gestire al meglio le password è uno di questi. Scopri in quali aree il tuo IBM i è carente in pochi minuti con il tool gratuito Security Scan.

Per maggiori approfondimenti richiedi subito lo studio completo sullo stato della sicurezza IBM i 2021 a info@wssitalia.it.

Scopri i migliori servizi IBM i in outsourcing su www.wssitalia.it.