San Francisco DA avslører byens nettverkspassord

I sitt bud om å beskytte byen mot en datasikkerhetsrisiko, kan San Francisco District Attorney's Office veldig godt ha opprettet en annen.

Kontoret til San Francisco District Attorney Kamala Harris har offentliggjort nær 150 brukernavn og passord brukt av ulike avdelinger for å koble til byens virtuelle private nettverk. Passordene ble arkivert denne uken som utstilling A i et rettsdokument som argumenterte for en reduksjon på US $ 5 millioner kaution i tilfelle av Terry Childs, som er anklaget for å holde byens nettverksgidder ved å nekte å gi opp administrative nettverkspassord. Childs ble arrestert 12. juli på grunn av datamaskinens manipulering og blir holdt i fylkets fengsel. Selv om de setter passordene i offentligheten, synes byens anklagere å tro at de er sensitive.

Passordene oppdaget på Childs 'datamaskin, utgjør en "overhengende trussel" til byens datanettverk, ifølge domstolens arkivering. Childs kan bruke navnene og passordene til å "etterligne noen av de legitime brukerne i byen ved å bruke passordet for å få tilgang til systemet", bevegelsen mot borgereksponeringsstaten.

Selv om DAs kontor ikke sa hva passord ble brukt til, en kilde kjent med situasjonen sa at de er for å logge inn i byens virtuelle private nettverk, og at denne typen informasjon er noe som en nettverksadministrator som Childs forventes å ha.

Postering av disse passordene i offentligheten skaper en sikkerhetsrisiko, selv om passordene ikke er nok til å gi kriminell tilgang til byens VPN. Passordene er såkalte "fase ett" passord, og må kombineres med et annet passord for å få tilgang til nettverket, sa kilden.

Passordene brukes av byarbeidere som får tilgang til nettverket fra hjemmedatamaskiner eller via bærbare datamaskiner mens de er utenfor bykontorer. Passordene er for mange byavdelinger, inkludert politi-avdelingen, ordførerens kontor og Institutt for telekommunikasjon og informasjonstjenester (DTIS), hvor Childs arbeidet.

Byen skal "bevege seg veldig aggressivt" for å endre passordene så fort Som det kan, sa Robert Grapes, sjefsteknolog for datasentralløsninger for Cloakware, en leverandør av programvare for passordbehandling.

Erica Derryck, en talskvinne for DAs kontor, nektet å kommentere saken. Borgmesterkontoret, som overvåker DTIS, returnerte ikke meldinger som søker kommentar til denne historien.

For å endre passordene, må byen omkonfigurere VPN-programvaren som kjører på hver PC som kobles til eksternt, som den ennå ikke har gjort, den kilde sa.

Noen av passordene ville ha nytte av en endring fordi de er identiske med VPN-påloggingsnavnet eller ekstremt lett å gjette.

Childs-saken har vært en toppnyhet i San Francisco i nesten to uker nå.

I ni dager etter at han ble arrestert den 12. juli nektet han å overføre administrative passord til de fem sentrale nettverksenhetene på byens FiberWAN-nettverk, som bærer rundt 60 prosent av bystyrets nettverkstrafikk. Childs, en ingeniørleder med DTIS som brukte innloggingen Maggot617, hadde vært engasjert i en månedslang tvist med ledelsen, og holdt på passordene selv etter at han ble fengslet.

På mandag ga han dem over til ordføreren etterpå et hemmelig fengselshusmøte mellom de to. Childs 'advokat hevder at på grunn av avdelingens inkompetanse var borgmesteren den eneste personen kvalifisert til å bli overlevert nøklene til nettverket.

Gitt straffesaken mot Childs, bør byen allerede tilbakestille disse passordene, sa Bruce Schneier, sjef sikkerhetsteknolog offiser ved BT. "Fix det nå," sa han. "Gå inn der, utløp alle passordene, og få dem til å logge inn igjen. Gjør det akkurat nå. Dette er ikke vanskelig."