Efter Worm säger Siemens inte byta lösenord

Även om en nyupptäckt mask skulle kunna tillåta brottslingar att bryta sig in i Siemens industriella automationssystem med ett standardlösenord, säger Siemens att kunderna lämnar sina lösenord ensamma.

Det beror på att byte av lösenord kan störa Siemens-systemet, som potentiellt kasta storskaliga industrisystem som det hanterar i disarray. "Vi kommer snart att publicera kundvägledning, men det kommer inte att innehålla råd om att ändra standardinställningar eftersom det kan påverka anläggningsverksamheten", säger Siemens Industry talesman Michael Krampe i ett e-postmeddelande måndag.

Företaget planerar att starta en webbplats sen måndag som kommer att ge mer information om den första någonsin skadliga koden för att rikta sig till företagets SCADA-produkter (övervakningskontroll och dataöverföring), sa han. Siemens WinCC-system som drivs av masken används för att hantera industriprodukter i drift över hela världen för att bygga produkter, blanda mat, drivkraftverk och tillverka kemikalier.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Siemens krypterar för att svara på problemet eftersom Stuxnet-masken - som först rapporterades i slutet av förra veckan - börjar sprida sig runt om i världen. Symantec loggar nu om 9000 försökte infektioner per dag, enligt Gerry Egan, en regissör med Symantec Security Response.

Ormen sprider sig via USB-pinnar, CD-skivor eller nätverksbaserade fildelningsdatorer, med fördel av en ny och för närvarande oöverträffad fel i Microsofts Windows-operativsystem. Men om det inte finns Siemens WinCC-programvaran på datorn kopierar den sig själv varhelst det kan och tycks.

Eftersom SCADA-system är en del av den kritiska infrastrukturen har säkerhetsexperter oroat sig för att de en gång kan bli föremål för ett förödande angrepp, men i detta fall tycks maskens punkt vara informationsstöld.

Om Stuxnet upptäcker ett Siemens SCADA-system använder det omedelbart standardlösenordet för att börja leta efter projektfiler som det sedan försöker kopiera till en extern hemsida, sade Egan. "Den som skrev koden kände verkligen Siemens-produkter", säger Eric Byres, chefstekniker med SCADAs säkerhetsrådgivning Byres Security. "Det här är inte en amatör."

Genom att stjäla en växt SCADA-hemligheter kan förfalskare lära sig de tillverkningstrådar som behövs för att bygga ett företags produkter, säger han.

Byres företag har översvämmats med samtal från oroliga Siemens kunder som försöker för att räkna ut hur man stannar före ormen.

US-CERT har lagt ut en rådgivande (ICS-ALERT-10-196-01) för ormen, men informationen är inte tillgänglig för allmänheten. Enligt Byres skulle dock förändring av WinCC-lösenordet förhindra att kritiska komponenter i systemet interagerar med WinCC-systemet som hanterar dem. "Min gissning är att du i grund och botten skulle inaktivera hela ditt system om du inaktiverar hela lösenordet."

Det lämnar Siemens kunder på en hård plats.

De kan dock göra ändringar så att deras datorer inte längre kommer att visa.lnk-filer som används av ormen för att sprida från system till system. Och de kan också inaktivera Windows WebClient-tjänsten som tillåter att ormen sprids på ett lokalt nätverk. I slutet av fredagen släppte Microsoft en säkerhetsrådgivning som förklarar hur man gör det.

"Siemens har börjat utveckla en lösning som kan identifiera och systematiskt ta bort skadlig kod, säger Siemens Krampe. Han sa inte när mjukvaran skulle vara tillgänglig.

Siemens-systemet var utformat "förutsatt att ingen någonsin skulle komma in i dessa lösenord", sa Byres. "Det är ett antagande att ingen någonsin kommer att försöka mycket mot dig."

Standard användarnamnet och lösenord som används av maskens författare har varit offentligt kända sedan de publicerades på webben 2008, säger Byres.

Robert McMillan täcker datasäkerhet och generell teknikbrytande nyheter för

IDG News Service. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]