DA w San Francisco ujawnia hasła sieciowe w mieście

Chcąc chronić miasto przed zagrożeniem bezpieczeństwa komputerowego, biuro prokuratora okręgowego w San Francisco mogło równie dobrze stworzyć inną.

Biuro prokuratora okręgowego w San Francisco Kamala Harris podało do publicznej wiadomości blisko 150 nazw użytkowników i haseł używanych przez różne departamenty, aby połączyć się z wirtualną siecią prywatną miasta. Hasła zostały złożone w tym tygodniu jako Załącznik A w dokumencie sądowym, argumentującym przeciwko zmniejszeniu o 5 milionów USD za kaucją w przypadku Terry'ego Childsa, który jest oskarżony o przetrzymywanie zakładowego operatora sieci, odmawiając zrezygnowania z administracyjnych haseł sieciowych. Childs został aresztowany 12 lipca pod zarzutem sabotażu komputera i jest przetrzymywany w więzieniu hrabstwa.

Mimo że umieszczali hasła w publicznym rejestrze, prokuratorzy miejscy wydają się uważać, że są wrażliwi.

Hasła, odkryte na komputerze Childsa stanowią "bezpośrednie zagrożenie" dla miejskiej sieci komputerowej, zgodnie z orzeczeniem sądu. Childs może używać nazw i haseł do "podszywania się pod którekolwiek z legalnych użytkowników w Mieście, używając swojego hasła, aby uzyskać dostęp do systemu", wniosek przeciwko stanom redukcji kaucją.

Chociaż biuro prokuratora okręgowego nie powiedziało, co Hasła zostały użyte, źródło znane z tej sytuacji mówi, że są one przeznaczone do logowania do wirtualnej sieci prywatnej miasta i że tego rodzaju informacje są oczekiwane przez administratora sieci, takiego jak Childs.

Publikowanie tych haseł w miejscach publicznych tworzy zagrożenie bezpieczeństwa, chociaż hasła nie są wystarczające, aby zapewnić przestępny dostęp do sieci VPN miasta. Hasła są tak zwanymi hasłami "faza pierwsza" i muszą być połączone z drugim hasłem, aby uzyskać dostęp do sieci, źródło podaje.

Hasła są używane przez pracowników miast uzyskujących dostęp do sieci z komputerów domowych lub laptopów, podczas gdy oni są poza urzędami miasta. Hasła są przeznaczone dla wielu departamentów miejskich, w tym departamentu policji, biura burmistrza i Departamentu Telekomunikacji i Usług Informacyjnych (DTIS), w którym pracował Childs.

Miasto powinno "poruszać się bardzo agresywnie", aby szybko zmienić hasło - powiedział Robert Grapes, główny technolog rozwiązań centrum danych dla Cloakware, dostawcy oprogramowania do zarządzania hasłami.

Erica Derryck, rzeczniczka biura prokuratora okręgowego, odmówiła komentarza w tej sprawie. Biuro burmistrza, które nadzoruje DTIS, nie zwróciło wiadomości z prośbą o komentarz do tej historii

Aby zmienić hasła, miasto będzie musiało zmienić konfigurację oprogramowania VPN uruchomionego na każdym komputerze, który łączy się zdalnie, czego jeszcze nie zrobił, źródło powiedział.

Niektóre z haseł skorzystałyby na zmianie, ponieważ są identyczne z nazwą logowania VPN lub bardzo łatwe do odgadnięcia.

Sprawa Childs'a była najważniejszą wiadomością w San Francisco dla prawie dwóch już teraz.

Przez dziewięć dni po aresztowaniu w dniu 12 lipca odmówił przekazania haseł administracyjnych do pięciu centralnych urządzeń sieciowych w miejskiej sieci FiberWAN, która przenosi około 60% ruchu sieciowego miasta. Childs, dyrektor inżynieryjny DTIS, który korzystał z logowania Maggot617, był zaangażowany w spory z kierownictwem i trzymał się haseł nawet po tym, jak został skazany.

W poniedziałek przekazał je burmistrzowi po tajne spotkanie więzienne między tymi dwoma. Adwokat Childsa twierdzi, że z powodu niekompetencji departamentu burmistrz był jedyną osobą upoważnioną do przekazania kluczy do sieci.

Biorąc pod uwagę zarzuty karne przeciwko Childs, miasto powinno już resetować te hasła, powiedział Bruce Schneier, szef specjalista ds. bezpieczeństwa w firmie BT. "Napraw to teraz", powiedział. "Idź tam, wygasnij hasła wszystkich i spraw, by wszystkie one się znowu logowały." "Zrób to teraz, to nie jest trudne."