Setelah Worm, Siemens Says Tidak Mengubah Kata Sandi

Meskipun cacing yang baru ditemukan dapat memungkinkan penjahat untuk membobol sistem otomasi industri Siemens menggunakan kata sandi default, Siemens memberitahu pelanggan untuk meninggalkan kata sandi mereka sendiri.

Itu karena mengubah kata sandi dapat mengganggu sistem Siemens, berpotensi melemparkan sistem industri berskala besar yang dikelolanya menjadi berantakan. "Kami akan segera memublikasikan panduan pelanggan, tetapi tidak akan menyertakan saran untuk mengubah pengaturan default karena dapat berdampak pada operasi pabrik," kata juru bicara Siemens Industry Michael Krampe dalam pesan e-mail Senin.

Perusahaan berencana untuk meluncurkan sebuah situs web Senin malam yang akan memberikan rincian lebih lanjut tentang kode berbahaya pertama untuk menargetkan produk SCADA (kontrol pengawasan dan akuisisi data) perusahaan, katanya. Sistem Siemens WinCC yang ditargetkan oleh cacing digunakan untuk mengelola mesin industri yang beroperasi di seluruh dunia untuk membuat produk, mencampur makanan, menjalankan pembangkit listrik, dan memproduksi bahan kimia.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Siemens berebut untuk menanggapi masalah seperti cacing Stuxnet - pertama kali dilaporkan akhir pekan lalu - mulai menyebar ke seluruh dunia. Symantec sekarang mencatat sekitar 9.000 percobaan infeksi per hari, menurut Gerry Egan, seorang direktur Symantec Security Response.

Worm menyebar melalui stik USB, CD atau jaringan file-sharing komputer, mengambil keuntungan dari cacat baru dan saat ini belum dicoba dalam sistem operasi Windows Microsoft. Tapi kecuali jika ia menemukan perangkat lunak Siemens WinCC di komputer, ia hanya menyalinnya sendiri di mana saja dan pergi diam.

Karena sistem SCADA merupakan bagian dari infrastruktur penting, pakar keamanan khawatir bahwa suatu hari nanti mereka akan menjadi sasaran serangan yang menghancurkan., tetapi dalam kasus ini titik worm tampaknya adalah pencurian informasi.

Jika Stuxnet menemukan sistem SCADA Siemens, ia akan segera menggunakan kata sandi default untuk mulai mencari file proyek, yang kemudian ia coba salin ke eksternal situs web, kata Egan.

"Siapa pun yang menulis kode itu benar-benar tahu produk Siemens," kata Eric Byres, chief technology officer dengan firma konsultan keamanan SCADA, Byres Security. "Ini bukan amatir."

Dengan mencuri rahasia SCADA sebuah pabrik, para pemalsu bisa mempelajari trik pembuatan yang diperlukan untuk membangun produk perusahaan, katanya.

Perusahaan Byres telah dibanjiri panggilan dari pelanggan Siemens yang khawatir mencoba untuk mencari tahu cara tetap di depan worm.

US-CERT telah mengeluarkan penasehat (ICS-ALERT-10-196-01) untuk worm, tetapi informasinya tidak tersedia untuk umum. Menurut Byres, bagaimanapun, mengubah kata sandi WinCC akan mencegah komponen penting dari sistem berinteraksi dengan sistem WinCC yang mengaturnya. "Tebakan saya adalah Anda pada dasarnya akan menonaktifkan seluruh sistem Anda jika Anda menonaktifkan seluruh kata sandi."

Hal itu membuat pelanggan Siemens di tempat yang sulit.

Mereka dapat, bagaimanapun, membuat perubahan sehingga komputer mereka tidak akan lagi menampilkan.lnk file yang digunakan oleh worm untuk menyebar dari sistem ke sistem. Dan mereka juga dapat menonaktifkan layanan Windows WebClient yang memungkinkan worm menyebar di jaringan area lokal. Jumat malam, Microsoft mengeluarkan penasehat keamanan yang menjelaskan cara melakukan ini.

"Siemens telah mulai mengembangkan solusi, yang dapat mengidentifikasi dan secara sistematis menghapus malware," kata Siemens 'Krampe. Dia tidak mengatakan kapan perangkat lunak akan tersedia.

Sistem Siemens dirancang "dengan asumsi bahwa tidak ada orang yang akan masuk ke kata sandi itu," kata Byres. "Ini adalah asumsi bahwa tidak ada yang akan berusaha dengan keras terhadap Anda."

Nama pengguna dan kata sandi default yang digunakan oleh penulis cacing telah dikenal secara luas sejak diposkan ke Web pada tahun 2008, kata Byres.

Robert McMillan mencakup keamanan komputer dan teknologi berita umum untuk Layanan Berita IDG. Ikuti Robert di Twitter di @bobmcmillan. Alamat e-mail Robert adalah [email protected]