San Francisco DA beskriver stadens nätverkslösenord

I sitt bud på att skydda staden mot en dator säkerhetsrisk kan San Francisco District Attorney Office mycket väl ha skapat en annan.

San Francisco District Attorney Office Kamala Harris har offentliggjort nära 150 användarnamn och lösenord som används av olika avdelningar för att ansluta till stadens virtuella privata nätverk. Lösenorden inlämnades i veckan som utställning A i ett rättsligt dokument som hävdade mot en minskning på 5 miljoner borgar i USA när det gäller Terry Childs, som är anklagad för att hålla stadens nätverksgisslan genom att vägra att ge upp administrativa nätverkslösenord. Childs arresterades den 12 juli på grund av dator manipulering och hålls kvar i länets fängelse.

Även om de lade lösenorden i offentligt register verkar stadens åklagare tro att de är känsliga.

Lösenorden upptäckte på Childs 'dator utgör ett "överhängande hot" mot stadens datanätverk, enligt domstolsansökan. Childs kan använda namnen och lösenorden för att "efterlikna någon av de legitima användarna i staden genom att använda sitt lösenord för att få tillgång till systemet", rörelsen mot borgarreduktionsstaterna.

Även om DA: s kontor inte sa vad lösenord användes för, en källa som är bekant med situationen sa att de ska logga in i stadens virtuella privata nätverk och att denna typ av information är något som en nätverksadministratör som Childs skulle förväntas ha.

Posta dessa lösenord offentligt skapar en säkerhetsrisk, även om lösenord inte räcker för att ge brottslig tillgång till stadens VPN. Lösenorden är så kallade "fas ett" lösenord och måste kombineras med ett andra lösenord för att komma åt nätverket, säger källan.

Lösenorden används av stadsarbetare som får åtkomst till nätverket från hemdatorer eller via bärbara datorer medan de är utanför stadskontor. Lösenorden är för många stadsavdelningar, däribland polisavdelningen, borgmästarens kontor och avdelningen för telekommunikation och informationstjänster (DTIS), där Childs arbetade.

Staden ska vara "mycket aggressiv" för att ändra lösenord så fort Robert Grapes, chefs tekniker för datacenterlösningar för Cloakware, en leverantör av lösenordshanteringsprogramvara, säger Robert Grapes.

Erica Derryck, en talesman för DA: s kontor, nekade att kommentera frågan. Borgmästarens kontor, som övervakar DTIS, returnerade inte meddelanden som sökte kommentarer till den här berättelsen

För att ändra lösenord måste staden omkonfigurera VPN-programvaran som körs på varje dator som är ansluten på distans, vilket den inte har gjort ännu Källa sade.

Några av lösenorden skulle gynnas av en förändring eftersom de är identiska med VPN-inloggningsnamnet eller extremt lätt att gissa.

Childs fall har varit en topp nyhetshistoria i San Francisco i nästan två veckor nu.

I nio dagar efter hans gripande den 12 juli vägrade han att överlämna administrativa lösenord till de fem centrala nätverksenheterna på stadens FiberWAN-nätverk, som bär cirka 60 procent av stadsregeringens nätverkstrafik. Childs, en ingenjörsansvarig med DTIS som använde inloggningen Maggot617, hade varit engagerad i en månadslös tvist med förvaltningen och höll sig på lösenorden även efter att han fängslats.

På måndag gav han dem till borgmästaren efter ett hemligt jailhouse möte mellan de två. Childs advokat hävdar att på grund av avdelningens inkompetens var borgmästaren den enda personen kvalificerad att överlämnas nycklarna till nätverket.

Med tanke på de straffrättsliga anklagelserna mot Childs borde staden redan återställa dessa lösenord, säger Bruce Schneier, chef säkerhetstekniker på BT. "Fix det nu," sa han. "Gå in där, löpa alla lösenord och få dem att logga in igen. Gör det just nu. Det här är inte svårt."