Car-tech

Na Worm zegt Siemens dat het wachtwoorden niet hoeft te wijzigen

Dat komt omdat het wijzigen van het wachtwoord zou kunnen verstoren het Siemens-systeem, waarbij mogelijk grootschalige industriële systemen worden gegooid die in wanorde terechtkomen. "We zullen binnenkort klantenreferenties publiceren, maar het zal geen advies bevatten om de standaardinstellingen te wijzigen, omdat dit de bedrijfsactiviteiten zou kunnen beïnvloeden", aldus Michael Krampe, woordvoerder van Siemens in een e-mailbericht op maandag.

Het bedrijf is van plan om te starten een website laat op maandag die meer informatie zal geven over de allereerste kwaadaardige code die gericht is op de SCADA-producten (toezichtcontrole en data-acquisitie) van het bedrijf, zei hij. De WinCC-systemen van Siemens die door de worm worden gebruikt, worden gebruikt voor het beheren van industriële machines die wereldwijd in bedrijf zijn om producten te maken, voedsel te mengen, energiecentrales te produceren en chemicaliën te maken.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Siemens klautert om op het probleem te reageren, omdat de Stuxnet-worm - die voor het eerst eind vorige week werd gemeld - zich over de wereld verspreidde. Symantec registreert nu ongeveer 9.000 geprobeerde infecties per dag, volgens Gerry Egan, een directeur met Symantec Security Response.

De worm verspreidt zich via USB-sticks, CD's of netwerkcomputers voor het delen van bestanden, gebruikmakend van een nieuwe en momenteel niet-gepatchte fout in het Windows-besturingssysteem van Microsoft. Maar tenzij het de WinCC-software van Siemens op de computer vindt, wordt het eenvoudigweg gekopieerd waar het kan en wordt het stil.

Omdat SCADA-systemen deel uitmaken van de kritieke infrastructuur, hebben beveiligingsdeskundigen zich zorgen gemaakt dat ze op een dag een verwoestende aanval kunnen ondergaan , maar in dit geval lijkt de worm informatie diefstal te zijn.

Als Stuxnet een Siemens SCADA-systeem ontdekt, gebruikt het onmiddellijk het standaard wachtwoord om te zoeken naar projectbestanden, die het vervolgens probeert te kopiëren naar een externe website, Egan zei.

"Degene die de code heeft geschreven, kende echt Siemens-producten", zegt Eric Byres, chief technology officer bij SCADA-beveiligingsadviesbureau Byres Security. "Dit is geen amateur." Door de SCADA-geheimen van een fabriek te stelen, konden vervalsers de fabricagetrucs leren die nodig waren om de producten van een bedrijf te bouwen, zei hij.

Byres 'bedrijf is overspoeld met oproepen van bezorgde Siemens-klanten die proberen om erachter te komen hoe de worm voor te blijven.

US-CERT heeft een advies uitgebracht (ICS-ALERT-10-196-01) voor de worm, maar de informatie is niet publiekelijk beschikbaar. Volgens Byres zou het wijzigen van het WinCC-wachtwoord echter voorkomen dat kritieke componenten van het systeem in wisselwerking staan ​​met het WinCC-systeem dat ze beheert. "Mijn gok is dat je in principe je hele systeem uitschakelt als je het hele wachtwoord uitschakelt."

Dat maakt dat klanten van Siemens zich op een moeilijke plaats bevinden.

Ze kunnen echter wijzigingen aanbrengen zodat hun computers niet langer de .lnk-bestanden die door de worm worden gebruikt om zich van systeem naar systeem te verspreiden. En ze kunnen ook de Windows WebClient-service uitschakelen waarmee de worm zich op een lokaal netwerk kan verspreiden. Eind vrijdag heeft Microsoft een beveiligingsadvies uitgebracht waarin wordt uitgelegd hoe dit moet worden gedaan.

"Siemens is begonnen met het ontwikkelen van een oplossing waarmee de malware kan worden geïdentificeerd en systematisch kan worden verwijderd", aldus Krampe van Siemens. Hij zei niet wanneer de software beschikbaar zou zijn.

Het Siemens-systeem was ontworpen "ervan uitgaande dat niemand ooit in die wachtwoorden zou komen", zei Byres. "Het is een veronderstelling dat niemand ooit heel hard zal proberen om je te overtuigen."

De standaardgebruikersnamen en -wachtwoorden die door de schrijvers van de worm worden gebruikt, zijn publiekelijk bekend sinds ze in 2008 op het internet werden geplaatst, zei Byres.

Robert McMillan omvat computerbeveiliging en algemeen technologisch breaking news voor

De IDG-nieuwsservice

. Volg Robert op Twitter op @bobmcmillan. Het e-mailadres van Robert is [email protected]