San Francisco DA gibt City Network Passwords bekannt

In ihrem Angebot, die Stadt vor einem Computer-Sicherheitsrisiko zu schützen, hat das Büro des Bezirksstaatsanwalts von San Francisco sehr wahrscheinlich ein anderes geschaffen.

Das Büro des Bezirksstaatsanwalts von San Francisco, Kamala Harris, hat fast 150 Benutzernamen und Passwörter veröffentlicht Abteilungen zur Verbindung mit dem virtuellen privaten Netzwerk der Stadt. Die Passwörter wurden diese Woche als Beweisstück A in einem Gerichtsdokument eingereicht, das gegen eine Kürzung der Kaution in Höhe von 5 Millionen US-Dollar im Falle von Terry Childs klagt, der beschuldigt wird, das Netzwerk der Stadt als Geiseln gehalten zu haben. Childs wurde am 12. Juli wegen angeblicher Computermanipulation festgenommen und befindet sich im Bezirksgefängnis.

Obwohl die Passwörter in die öffentliche Akte aufgenommen wurden, scheinen die Staatsanwälte der Stadt sie für sensibel zu halten.

Die Passwörter wurden entdeckt auf dem Computer von Childs eine "unmittelbare Bedrohung" für das Computernetz der Stadt darstellen, so die Gerichtsakte. Childs könnte die Namen und Passwörter verwenden, um "irgendwelche legitimen Benutzer in der Stadt zu verkörpern, indem sie ihr Passwort verwenden, um Zugang zum System zu erhalten", heißt es in dem Antrag gegen die Bail Reduction.

Obwohl die Staatsanwaltschaft nicht gesagt hat Passwörter wurden dafür verwendet, eine mit der Situation vertraute Quelle sagte, dass sie sich für das Einloggen in das virtuelle private Netzwerk der Stadt anmelden und dass diese Art von Information von einem Netzwerkadministrator wie Childs erwartet wird.

Veröffentlichen dieser Passwörter in der Öffentlichkeit schafft ein Sicherheitsrisiko, obwohl die Passwörter nicht ausreichen, um einen kriminellen Zugang zum VPN der Stadt zu ermöglichen. Die Passwörter sind so genannte "Phase Eins" -Passwörter und müssen mit einem zweiten Passwort für den Zugriff auf das Netzwerk kombiniert werden, so die Quelle.

Die Passwörter werden von Stadtarbeitern verwendet, die von Heimcomputern oder über Laptops auf das Netzwerk zugreifen sind außerhalb von Stadtbüros. Die Passwörter sind für viele Stadtabteilungen, einschließlich der Polizeibehörde, des Bürgermeisteramtes und der Abteilung für Telekommunikations- und Informationsdienste (DTIS), wo Childs arbeitete.

Die Stadt sollte sich "sehr aggressiv bewegen", um die Passwörter so schnell zu ändern Wie es sich gehört, sagte Robert Grapes, Cheftechnologe von Rechenzentrumslösungen für Cloakware, einen Anbieter von Passwort-Management-Software.

Erica Derryck, eine Sprecherin der Staatsanwaltschaft, lehnte es ab, sich zu diesem Thema zu äußern. Das Büro des Bürgermeisters, das DTIS beaufsichtigt, gab keine Nachrichten zurück, die einen Kommentar für diese Geschichte suchten.

Um die Passwörter zu ändern, muss die Stadt die VPN-Software neu konfigurieren, die auf jedem PC läuft, den sie noch nicht angeschlossen hat source sagte.

Einige der Passwörter würden von einer Änderung profitieren, da sie mit dem VPN-Login-Namen identisch oder sehr einfach zu erraten sind.

Childs 'Fall war in San Francisco fast zwei Jahre lang eine Top-Nachricht Wochen.

Neun Tage nach seiner Verhaftung am 12. Juli weigerte er sich, administrative Passwörter an die fünf zentralen Netzwerkgeräte im FiberWAN-Netzwerk der Stadt zu übergeben, die etwa 60 Prozent des Netzwerkverkehrs der Stadtregierung tragen. Childs, ein Ingenieur-Chef bei DTIS, der den Log-in Maggot617 benutzte, hatte sich monatelang mit dem Management auseinandergesetzt und hielt die Passwörter auch nach seiner Inhaftierung fest.

Am Montag gab er sie dem Bürgermeister nach ein geheimes Gefängnistreffen zwischen den beiden. Der Anwalt von Childs argumentiert, dass der Bürgermeister aufgrund von Unzulänglichkeiten der Abteilung die einzige Person war, die die Schlüssel für das Netzwerk bekommen konnte.

Angesichts der Anklage gegen Childs sollte die Stadt diese Passwörter bereits zurücksetzen, sagte Bruce Schneier, Chief Sicherheitstechniker bei BT. "Fix es jetzt", sagte er. "Gehen Sie dort hinein, verfallen Sie alle Passwörter und lassen Sie sie alle wieder einloggen. Tun Sie es jetzt. Das ist nicht schwer."