Simon Long, ux-ontwerper bij de Raspberry Pi Foundation, heeft bekendgemaakt dat in een nieuwe versie van het besturingssysteem Raspbian ssh standaard staat uitgeschakeld. Daarmee moeten de apparaten minder kwetsbaar worden voor aanvallen.
Volgens Long is ssh handig om een Raspberry Pi op afstand te beheren, bijvoorbeeld als gebruikers het apparaat headless gebruiken zonder muis, scherm of toetsenbord. Maar het standaard inschakelen kan een beveiligingsrisico vormen, omdat de standaardinloggegevens zijn vastgelegd op de gebruikersnaam 'pi' en het wachtwoord 'raspberry'. Een van de veranderingen is dat de gebruiker nu bij het inschakelen van ssh een waarschuwing te zien krijgt als hij geen wijzigingen in de logins aanbrengt.
Het risico is dat een kwaadwillende gebruiker zich van buitenaf toegang kan verschaffen tot het apparaat door gebruik te maken van de standaardlogin. Dit was bijvoorbeeld te zien bij de Mirai-malware, die op deze manier iot-apparaten met zwakke beveiliging, waaronder ip-camera's en digitale videorecorders, infecteerde en toevoegde aan het botnet. Het bleek dat dit botnet in staat is om zware aanvallen uit te voeren.
Long zegt dat er geen reden tot paniek is, omdat niet is gebleken dat er aanvallen plaatsvinden op apparaten met Raspbian. De update dient alleen als een aanvullende beveiligingsmaatregel. Gebruikers die alsnog gebruik willen maken van ssh kunnen dit handmatig inschakelen. Long roept bovendien bestaande gebruikers op om ssh uit te schakelen als zij dit niet gebruiken.