Siemens sagt nach dem Wurm Passwörter nicht ändern

Obwohl ein neu entdeckter Wurm Kriminellen die Möglichkeit geben würde, mit einem Standardpasswort in die industriellen Automatisierungssysteme von Siemens einzudringen, weist Siemens die Kunden an, ihre Passwörter allein zu lassen.

Das Ändern des Passworts könnte stören das Siemens-System, das möglicherweise groß angelegte industrielle Systeme in Unordnung bringt. "Wir werden in Kürze eine Kundenberatung veröffentlichen, aber es wird keine Empfehlung enthalten, die Standardeinstellungen zu ändern, da dies Auswirkungen auf den Anlagenbetrieb haben könnte", sagte Michael Krampe, der Sprecher der Siemens-Branche, in einer E-Mail am Montag.

Das Unternehmen plant die Einführung Eine Website, die am späten Montag mehr Details über den ersten bösartigen Code für die SCADA-Produkte (Supervisory Control and Data Acquisition) des Unternehmens enthält, sagte er. Die Siemens-WinCC-Systeme, auf die der Wurm abzielt, werden für den weltweiten Betrieb von Industriemaschinen eingesetzt, um Produkte zu bauen, Lebensmittel zu mischen, Kraftwerke zu betreiben und Chemikalien herzustellen.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Siemens versucht, auf das Problem zu reagieren, als der Stuxnet-Wurm - der erst letzte Woche gemeldet wurde - sich auf der ganzen Welt verbreitet. Symantec meldet sich nun etwa 9000 versuchte Infektionen pro Tag, nach Gerry Egan, ein Direktor von Symantec Security Response.

Der Wurm verbreitet sich über USB-Sticks, CDs oder im Netzwerk File-Sharing-Computer, den Vorteil einer neuen und noch nicht gepatchte Schwachstelle unter in Microsoft Windows-Betriebssystem. Aber solange es die Siemens-WinCC-Software nicht auf dem Computer findet, kopiert es sich wo es nur geht und schweigt.

Da SCADA-Systeme Teil der kritischen Infrastruktur sind, befürchten Sicherheitsexperten, dass sie eines Tages einem verheerenden Angriff ausgesetzt sein könnten, aber in diesem Fall scheint der Punkt des Wurms ein Informationsdiebstahl zu sein.

Wenn Stuxnet ein Siemens SCADA-System findet, verwendet es sofort das Standardkennwort, um nach Projektdateien zu suchen, die es dann auf einen externen zu kopieren versucht "

" "Wer den Code geschrieben hat, kennt wirklich Siemens-Produkte", sagte Eric Byres, Chief Technology Officer der SCADA-Sicherheitsberatungsfirma Byres Security. „Das ist kein Amateur.“

Mit einer Anlage SCADA Geheimnisse zu stehlen, Fälscher könnte die Herstellungs Tricks benötigt bauen die Produkte eines Unternehmens lernen, sagte er.

Byres' Unternehmen mit Anrufen von besorgten Kunden von Siemens überschwemmt hat versucht, um herauszufinden, wie man vor dem Wurm bleibt.

Das US-CERT hat einen Advisory (ICS-ALERT-10-196-01) für den Wurm herausgegeben, aber die Information ist nicht öffentlich verfügbar. Laut Byres würde jedoch die Änderung des WinCC-Passworts verhindern, dass kritische Komponenten des Systems mit dem sie verwaltenden WinCC-System interagieren. "Ich schätze, Sie würden Ihr gesamtes System grundsätzlich deaktivieren, wenn Sie das gesamte Passwort deaktivieren würden."

Damit sind die Kunden von Siemens in einer schwierigen Situation.

Sie können jedoch Änderungen vornehmen, so dass ihre Computer nicht mehr angezeigt werden.lnk-Dateien, die vom Wurm verwendet werden, um sich von System zu System zu verbreiten. Außerdem können sie den Windows WebClient-Dienst deaktivieren, der die Verbreitung des Wurms in einem lokalen Netzwerk ermöglicht. Am späten Freitag veröffentlichte Microsoft eine Sicherheitsempfehlung, in der er erklärte, wie das geht.

"Siemens hat damit begonnen, eine Lösung zu entwickeln, die die Malware identifizieren und systematisch entfernen kann", sagte Krampe von Siemens. Er sagte nicht, wann die Software verfügbar sein würde.

Das Siemens-System wurde entwickelt "unter der Annahme, dass niemand jemals in diese Passwörter eindringen würde", sagte Byres. "Es ist eine Annahme, dass niemand jemals sehr hart gegen Sie versuchen wird."

Der Standardbenutzername und die von den Schreibern des Wurms verwendeten Passwörter sind öffentlich bekannt, seit sie 2008 ins Web gestellt wurden, sagte Byres.

Robert McMillan umfasst Computersicherheit und allgemeine Technologie für Der IDG-Nachrichtendienst. Folge Robert auf Twitter unter @bobmcmillan. Roberts E-Mail-Adresse lautet [email protected]