A revelação dos graves vulnerabilidades do sistema da Siemens foi adiada atendendo aos riscos envolvidos, e a pedido do fabricante e do departamento de segurança dos Estados Unidos.
O investigador especializado em segurança da NSS Lab, Dillon Beresford, tenciona revelar a 2 e 3 de Agosto, na conferência Black Hat, os problemas de segurança dos sistemas computacionais SCADA da Siemens. As vulnerabilidades da referida tecnologia, usada em grandes fábricas e empresas de energia, ia ser revelada em Maio. Mas à última hora a comunicação foi cancelada.
O principal motivo terão sido os apelos da Siemens e do departamento de segurança dos Estados Unidos. O fabricante pediu tempo para colmatar as falhas de segurança, especificamente, no controlador programável S7 dos sistemas.
Em concreto, Beresford descobriu seis vulnerabilidades capazes de “permitir a atacantes, tomar controlo completo dos dispositivos”, segundo Rick Moy, CEO da NSS Labs. Este fabricante espera que a Siemens disponibilize software de correcção nas próximas semanas, muito antes da apresentação de Beresford.
De qualquer maneira, para o ataque funcionar o atacante precisa de entrar na mesma rede a que estão ligados os sistemas SCADA – normalmente montados em redes fisicamente separadas do resto das redes informáticas. Aparentemente essa situação acabaria por proteger os sistemas SCADA.
Mas vários especialistas provaram ser possível aceder as essas redes desde a Internet. E no caso do vírus Stuxnet, o malware disseminou-se a partir de drives USB, saltando assim entre redes.