Po Worm, Siemens mówi, że nie zmienia haseł

Chociaż nowo odkryty robak może umożliwić przestępcom włamanie się do systemów automatyki przemysłowej firmy Siemens przy użyciu domyślnego hasła, Siemens mówi klientom, aby zostawili swoje hasła w spokoju.

To dlatego, że zmiana hasła może zakłócić działanie system Siemensa, potencjalnie rzucający na dużą skalę systemy przemysłowe, którymi zarządza w rozsypce. "Wkrótce opublikujemy wskazówki dla klientów, ale nie będą to porady dotyczące zmiany ustawień domyślnych, ponieważ może to wpłynąć na funkcjonowanie zakładu" - powiedział Michael Krampe, rzecznik firmy Siemens Industry w poniedziałkowej wiadomości e-mail.

Firma planuje uruchomić strona internetowa pod koniec poniedziałku, która dostarczy więcej szczegółów na temat pierwszego złośliwego kodu, który będzie kierował na produkty SCADA (kontrola nadzorcza i gromadzenie danych), powiedział. Zainstalowane przez robaka systemy Siemens WinCC są wykorzystywane do zarządzania maszynami przemysłowymi działającymi na całym świecie w celu wytwarzania produktów, mieszania żywności, uruchamiania elektrowni i produkcji chemikaliów.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Siemens próbuje rozwiązać ten problem, ponieważ robak Stuxnet - pierwszy zgłoszony pod koniec zeszłego tygodnia - zaczyna rozprzestrzeniać się na całym świecie. Firma Symantec rejestruje obecnie około 9 000 prób infekcji na dobę, według Gerry'ego Egana, dyrektora w dziale Symantec Security Response.

Robak rozprzestrzenia się za pośrednictwem pamięci USB, dysków CD lub komputerów z udostępnianymi plikami sieciowymi, korzystając z nowej i aktualnie niezałatwionej luki w systemie operacyjnym Windows firmy Microsoft. Ale jeśli nie znajdzie oprogramowania Siemens WinCC na komputerze, kopiuje się tam, gdzie tylko może i milczy.

Ponieważ systemy SCADA są częścią infrastruktury krytycznej, eksperci od bezpieczeństwa obawiali się, że pewnego dnia mogą zostać poddani druzgocącemu atakowi, ale w tym przypadku punktem robaka jest kradzież informacji.

Jeśli Stuxnet wykryje system SCADA firmy Siemens, natychmiast używa domyślnego hasła, aby rozpocząć wyszukiwanie plików projektu, które następnie próbuje skopiować do zewnętrznego - powiedział Egan.

"Ten, kto napisał kod, znał produkty Siemensa" - powiedział Eric Byres, dyrektor ds. technologii w firmie doradczej zajmującej się bezpieczeństwem w firmie SCADA, Byres Security. "To nie jest amator".

Poprzez kradzież tajemnic SCADA zakładu, fałszerze mogą nauczyć się sztuczek produkcyjnych potrzebnych do zbudowania produktów firmy, powiedział.

Firma Byres została zalana rozmowami od zmartwionych klientów Siemensa próbujących aby dowiedzieć się, jak wyprzedzić robaka.

US-CERT wystawił dla robaka poradnik (ICS-ALERT-10-196-01), ale informacje nie są publicznie dostępne. Według Byresa zmiana hasła WinCC uniemożliwiłaby krytyczne elementy systemu interakcji z systemem WinCC, który zarządza nimi. "Domyślam się, że zasadniczo wyłączyć cały system, jeśli wyłączysz całe hasło."

To pozostawia klientów firmy Siemens w trudnym miejscu.

Mogą jednak wprowadzić zmiany, aby ich komputery nie wyświetlały już Pliki.lnk używane przez robaka do rozprzestrzeniania się z systemu do systemu. Mogą również wyłączyć usługę Windows WebClient, która umożliwia rozprzestrzenianie się robaka w sieci lokalnej. W piątek firma Microsoft opublikowała poradnik bezpieczeństwa wyjaśniający, jak to zrobić.

"Siemens rozpoczął opracowywanie rozwiązania, które może identyfikować i systematycznie usuwać szkodliwe oprogramowanie", powiedział Krampe z firmy Siemens. Nie powiedział, kiedy oprogramowanie będzie dostępne.

System Siemens został zaprojektowany "zakładając, że nikt nigdy nie znajdzie się w tych hasłach," powiedział Byres. "Jest to przypuszczenie, że nikt nigdy nie będzie się starał przeciwko tobie".

Domyślna nazwa użytkownika i hasła używane przez twórców robaków są publicznie znane, odkąd zostały opublikowane w Internecie w 2008 roku. Byres powiedział.

Robert McMillan obejmuje ochronę komputera i wiadomości dotyczące przełomowych technologii dla Serwis informacyjny IDG. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]