Dopo Worm, Siemens dice Non cambiare le password

Anche se un worm recentemente scoperto potrebbe consentire ai criminali di penetrare nei sistemi di automazione industriale di Siemens utilizzando una password predefinita, Siemens sta dicendo ai clienti di lasciare le proprie password da sole.

Questo perché la modifica della password potrebbe disturbare il sistema Siemens, potenzialmente lanciare sistemi industriali su larga scala che riesce a scomporre. "Pubblicheremo brevemente le indicazioni per i clienti, ma non includerà consigli per modificare le impostazioni predefinite in quanto ciò potrebbe influire sulle operazioni degli impianti", ha dichiarato il portavoce di Siemens Industry Michael Krampe in un messaggio di posta elettronica lunedì.

La società prevede di lanciare un sito Web in ritardo che fornirà maggiori dettagli sul primo codice malevolo per indirizzare i prodotti SCADA (controllo di supervisione e acquisizione dati) dell'azienda, ha affermato. I sistemi WinCC di Siemens utilizzati dal worm vengono utilizzati per gestire macchine industriali in funzione in tutto il mondo per costruire prodotti, miscelare cibo, gestire centrali elettriche e fabbricare prodotti chimici.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Siemens si sta dando da fare per rispondere al problema mentre il worm Stuxnet - segnalato per la prima volta la scorsa settimana - inizia a diffondersi in tutto il mondo. Symantec sta registrando circa 9000 tentativi di infezione al giorno, secondo Gerry Egan, un direttore di Symantec Security Response.

Il worm si diffonde tramite chiavette USB, CD o computer di condivisione file in rete, sfruttando un nuovo difetto attualmente privo di patch nel sistema operativo Windows di Microsoft. Ma a meno che non trovi il software Siemens WinCC sul computer, semplicemente si copia da sé dove può e diventa silenzioso.

Poiché i sistemi SCADA fanno parte dell'infrastruttura critica, gli esperti di sicurezza temono che un giorno possano essere soggetti a un attacco devastante, ma in questo caso il punto del worm sembra essere il furto di informazioni.

Se Stuxnet rileva un sistema SCADA Siemens, utilizza immediatamente la password predefinita per iniziare a cercare i file di progetto, che tenta quindi di copiare su un esterno sito web, ha affermato Egan.

"Chiunque abbia scritto il codice conosceva davvero i prodotti Siemens", ha dichiarato Eric Byres, responsabile della tecnologia presso la società di consulenza per la sicurezza SCADA Byres Security. "Questo non è un dilettante".

Rubando i segreti SCADA di una pianta, i contraffattori potevano imparare i trucchi di produzione necessari per costruire i prodotti di un'azienda, ha detto.

La società di Byres è stata invasa da chiamate da parte dei preoccupati clienti di Siemens per capire come rimanere in testa al worm.

US-CERT ha pubblicato un avviso (ICS-ALERT-10-196-01) per il worm, ma le informazioni non sono disponibili al pubblico. Secondo Byres, tuttavia, la modifica della password WinCC impedirebbe ai componenti critici del sistema di interagire con il sistema WinCC che li gestisce. "La mia ipotesi è che in pratica si disabiliterebbe l'intero sistema se si disabilita l'intera password."

Ciò lascia i clienti Siemens in una posizione difficile.

Possono, tuttavia, apportare modifiche in modo che i loro computer non visualizzino più il File.lnk utilizzati dal worm per diffondersi da un sistema all'altro. Inoltre, possono disabilitare il servizio Windows WebClient che consente al worm di diffondersi su una rete locale. Verso la fine di venerdì, Microsoft ha rilasciato un avviso di sicurezza che spiega come fare.

"Siemens ha iniziato a sviluppare una soluzione che può identificare e rimuovere sistematicamente il malware", ha affermato Krampe. Non ha detto quando il software sarebbe disponibile.

Il sistema Siemens è stato progettato "partendo dal presupposto che nessuno potrebbe mai entrare in quelle password", ha detto Byres. "È un'ipotesi che nessuno si impegnerà mai molto contro di te."

Il nome utente e le password predefiniti usati dagli scrittori del worm sono stati pubblicamente noti da quando sono stati pubblicati sul Web nel 2008, ha detto Byres.

Robert McMillan copre le ultime novità in materia di sicurezza informatica e tecnologia generale per Il servizio di notizie IDG. Segui Robert su Twitter all'indirizzo @bobmcmillan. L'indirizzo e-mail di Robert è [email protected]