Image default
Security

Pesquisadores publicam lista com senhas padrão de produtos SCADA

Fonte imagem: http://www.computerworld.com.pt
Fonte imagem: http://www.computerworld.com.pt

O time de pesquisadores do SCADA Strangelove publicou uma lista de senhas padrão utilizadas em sistemas de controle industrial (Industrial Control System – ICS) de vários fabricantes.

O banco de dados público feito por especialistas atualmente inclui as credenciais de acesso para mais de 100 produtos, e ela provavelmente crescerá com a ajuda da comunidade. O banco de dados inclui o nome de produtoss ICS/SCADA, o tipo de dispositivo, o nome do fabricante, nomes de usuários e senhas padrão, a porta do protocolo pela qual o dispositivo pode ser acessado, e a fonte da informação.

A lista, apelidada de “SCADAPASS”, contém as credenciais default para roteadores industriais, controladores lógicos programáveis (CLP), gateways sem fio, servidores e módulos de rede de fabricantes como ABB, B&B Electronics, Digi, Emerson, EWON, Hirschmann, Moxa, Netcomm Wireless, a Rockwell Automation, Samsung, Schneider Electric, Siemens e Yokogawa.

Os pesquisadores da SCADA Strangelove disseram ao site SecurityWeek que eles também compilaram uma loga lista de senhas codificadas, mas não irão divulgá-las, pois isto contrariaria as diretrizes de divulgçaão responsável.

As senhas foram obtidas a partir de documentações e listas de senhas abertas fornecidas pelo fabricante. Ao contrário das senhas codificadas, que só podem ser eliminadas ou alteradas através de um patch do fabricante, as senhas que são definidas por padrão geralmente podem ser alteradas pelo usuário.

O pesquisador Sergey Gordeychik do SCADA Strangelove, acredita que a maioria dos fabricantes não veêm as senhas padrão como uma vulnerabilidade. Diz ainda que senhas fracas ou a falta delas, são aceitáveis para sistemas fisicamente protegidos que só podem ser acessados localmente, mas podem representar um sério risco para os sistemas que possam de alguma forma ser acessados remotamente.

De acordo com Gordeychik, o objetivo deste projeto é mudar a mentalidade dos fabricantes de ICS e fazer com que percebam que não podem deixar a segurança nas mãos dos operadores de sistemas de controle, que geralmente não estão cientes de todos os recursos existentes em seus dispositivos, além de aplicar o princípio de “se funciona, não mexa”. O especialista acredita que os fabricantes devem implantar controles de segurança apropriados, tais como estabelecer políticas de senhas fortes e forçar os usuários a alterarem as senhas após o primeiro logon.

Os membros do SCADA Strangelove divulgaram recentemente suas conclusões sobre a segurança dos sistemas de transporte ferroviário. Os especialistas, que têm trabalhado com as empresas de transporte ferroviário nos últimos 3 meses, identificaram vulnerabilidades em vários componentes de sistemas ferroviários modernos.

Os pontos fracos identificados podem ser aproveitados para causar não somente danos econômicos, mas também físicos.

Fonte: SecurityWeek

Posts similares

Symantec encontra 49 novos módulos do malware “Regin”

O Analista

Twittor: um backdoor que utiliza o Twitter como central de C&C

O Analista

Malware é disseminado como correção para o bug Meltdown e Spectre

O Analista