Car-tech

Después de Worm, Siemens dice que no se cambian las contraseñas

Aunque un gusano recientemente descubierto podría permitir a los delincuentes entrar en los sistemas de automatización industrial de Siemens usando una contraseña predeterminada, Siemens les está diciendo a los clientes que dejen sus contraseñas solos.

Eso es porque cambiar la contraseña podría interrumpir el sistema de Siemens, potencialmente arrojando sistemas industriales a gran escala que se desorganiza. "Pronto publicaremos la orientación del cliente, pero no incluirá consejos para cambiar la configuración predeterminada, ya que eso podría afectar las operaciones de la planta", dijo el portavoz de Siemens Industry, Michael Krampe, en un mensaje de correo electrónico el lunes.

La compañía planea lanzar un sitio web el lunes por la noche que proporcionará más detalles sobre el primer código malicioso para apuntar a los productos SCADA (control de supervisión y adquisición de datos) de la compañía, dijo. Los sistemas Siemens WinCC dirigidos por el gusano se utilizan para gestionar máquinas industriales en funcionamiento en todo el mundo para construir productos, mezclar alimentos, ejecutar plantas de energía y fabricar productos químicos.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Siemens está luchando por responder al problema, ya que el gusano Stuxnet, reportado por primera vez la semana pasada, comienza a extenderse por todo el mundo. Symantec ahora registra aproximadamente 9,000 intentos de infecciones por día, según Gerry Egan, director de Symantec Security Response.

El gusano se propaga a través de memorias USB, CD o computadoras compartidas en red, aprovechando una falla nueva y actualmente sin reparar en el sistema operativo Windows de Microsoft. Pero a menos que encuentre el software Siemens WinCC en la computadora, simplemente se copia a sí mismo siempre que sea posible y se queda en silencio.

Como los sistemas SCADA son parte de la infraestructura crítica, los expertos en seguridad están preocupados de que algún día puedan sufrir un ataque devastador. , pero en este caso el punto del gusano parece ser el robo de información.

Si Stuxnet descubre un sistema SCADA de Siemens, inmediatamente usa la contraseña predeterminada para comenzar a buscar los archivos del proyecto, que luego intenta copiar a un sistema externo el sitio web, dijo Egan.

"Quien escribió el código realmente conocía los productos de Siemens", dijo Eric Byres, director de tecnología de la firma de consultoría de seguridad SCADA Byres Security. "Esto no es un aficionado".

Al robar los secretos SCADA de una planta, los falsificadores podían aprender los trucos de fabricación necesarios para construir los productos de una compañía, dijo.

La compañía Byres se vio inundada con llamadas de clientes preocupados de Siemens que intentaban para averiguar cómo mantenerse por delante del gusano.

US-CERT ha publicado un aviso (ICS-ALERT-10-196-01) para el gusano, pero la información no está disponible públicamente. De acuerdo con Byres, sin embargo, cambiar la contraseña de WinCC evitaría que los componentes críticos del sistema interactúen con el sistema WinCC que los administra. "Creo que básicamente se desactivaría todo el sistema si se deshabilita la contraseña completa."

Eso deja a los clientes de Siemens en una situación difícil.

Sin embargo, pueden hacer cambios para que sus computadoras ya no muestren el .lnk archivos utilizados por el gusano para propagarse de un sistema a otro. Y también pueden desactivar el servicio de Windows WebClient que permite que el gusano se propague en una red de área local. La noche del viernes, Microsoft lanzó un aviso de seguridad explicando cómo hacer esto.

"Siemens comenzó a desarrollar una solución que puede identificar y eliminar sistemáticamente el malware", dijo Krampe de Siemens. No dijo cuándo estaría disponible el software.

El sistema de Siemens fue diseñado "suponiendo que nadie entraría en esas contraseñas", dijo Byres. "Es una suposición de que nadie intentará mucho en su contra".

El nombre de usuario predeterminado y las contraseñas utilizadas por los escritores del gusano se conocen públicamente desde que se publicaron en la Web en 2008, dijo Byres.

Robert McMillan cubre noticias de última hora de tecnología de seguridad informática y general para El servicio de noticias IDG . Sigue a Robert en Twitter en @bobmcmillan. La dirección de correo electrónico de Robert es [email protected]