Etter Worm sier Siemens ikke endre passord

Selv om en nylig oppdaget orm kan tillate kriminelle å bryte seg inn i Siemens 'industrielle automasjonssystemer ved hjelp av et standardpassord, sier Siemens at kundene bare skal forlate passordene sine.

Det er fordi at endring av passordet kunne forstyrre Siemens-systemet, som potensielt kaster store industrielle systemer som det klarer seg i disarray. "Vi vil snart publisere kundeveiledning, men det vil ikke inkludere råd om å endre standardinnstillinger som kan påvirke anleggsoperasjoner," sa Siemens Industry talsmann Michael Krampe i en e-postmelding mandag.

Selskapet planlegger å lansere en nettside sent mandag som vil gi mer informasjon om den første allikevel skadelige koden for å målrette selskapets SCADA (overvåkings og datainnsamling) produkter, sa han. Siemens WinCC-systemene som er målrettet mot ormen, brukes til å administrere industrimaskiner i drift over hele verden for å bygge produkter, blande mat, kjøre kraftverk og produsere kjemikalier.

[Ytterligere lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Siemens krypterer å reagere på problemet da Stuxnet-ormen - først rapportert sent i forrige uke - begynner å spre seg over hele verden. Symantec logger nå om 9000 forsøksinfeksjoner per dag, ifølge Gerry Egan, en regissør med Symantec Security Response.

Ormen sprer seg via USB-pinner, CDer eller nettverksbaserte fildelingskomponenter, og utnytter en ny og for øyeblikket ikke oppdatert feil i Microsofts Windows-operativsystem. Men med mindre den finner Siemens WinCC-programvaren på datamaskinen, kopierer den seg selv hvor som helst og går stille.

Fordi SCADA-systemer er en del av den kritiske infrastrukturen, har sikkerhetseksperter bekymret for at de en gang kan bli utsatt for et ødeleggende angrep, men i dette tilfellet ser ormpunktet ut til å være informasjonstyveri.

Hvis Stuxnet oppdager et Siemens SCADA-system, bruker det umiddelbart standardpassordet til å begynne å lete etter prosjektfiler, som den deretter forsøker å kopiere til en ekstern nettside, sa Egan. "Den som skrev koden, kjente virkelig Siemens-produkter," sa Eric Byres, sjefsteknologofficer med SCADAs sikkerhetskonsulent Byres Security. "Dette er ikke en amatør."

Ved å stjele en plantes SCADA-hemmeligheter kunne forfalskede lærer produksjonsteknikkene som trengs for å bygge et selskaps produkter, sa han.

Byres 'selskap har blitt oversvømmet med samtaler fra bekymrede Siemens kunder som prøver for å finne ut hvordan du skal forbli ormen.

US-CERT har utstedt en rådgivende (ICS-ALERT-10-196-01) for ormen, men informasjonen er ikke offentlig tilgjengelig. Ifølge Byres vil imidlertid å endre WinCC-passordet forhindre kritiske komponenter i systemet fra å interagere med WinCC-systemet som administrerer dem. "Mitt gjetning er at du i utgangspunktet vil deaktivere hele systemet hvis du deaktiverer hele passordet."

Dette gir Siemens kunder et hardt sted.

De kan imidlertid gjøre endringer slik at datamaskinene ikke lenger viser.lnk-filer som brukes av ormen, sprer seg fra system til system. Og de kan også deaktivere Windows WebClient-tjenesten som gjør at ormen kan spre seg på et lokalt nettverk. Sen fredag ​​utgav Microsoft en sikkerhetsrådgivning som forklarer hvordan dette gjøres.

"Siemens har begynt å utvikle en løsning som kan identifisere og systematisk fjerne malware," sa Siemens Krampe. Han sa ikke når programvaren ville være tilgjengelig.

Siemens-systemet ble designet "forutsatt at ingen ville noen gang komme inn i disse passordene," sa Byres. "Det er en antagelse at ingen vil noensinne prøve veldig hardt mot deg."

Standardbrukernavnet og passordene som brukes av ormenes forfattere har vært kjent siden de ble lagt ut på nettet i 2008, sier Byres.

Robert McMillan dekker datasikkerhet og generell teknologi som bryter nyheter for

IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-postadresse er [email protected]