San Francisco DA Divulga as senhas da rede da cidade

Em sua tentativa de proteger a cidade de um risco de segurança de computador, a Procuradoria do Distrito de São Francisco pode muito bem ter criado outra.

O escritório da Procuradoria de São Francisco, Kamala Harris, tornou públicos cerca de 150 nomes de usuários e senhas usadas por vários. departamentos para se conectar à rede privada virtual da cidade. As senhas foram apresentadas nesta semana como Anexo A em um documento judicial contra a redução da fiança de US $ 5 milhões no caso de Terry Childs, que é acusado de manter a rede da cidade como refém ao se recusar a abrir mão de senhas administrativas. Childs foi preso em 12 de julho sob acusações de adulteração de computadores e está sendo mantido na cadeia do condado.

Embora eles tenham colocado as senhas no registro público, os promotores públicos parecem pensar que são sensíveis.

As senhas descobertas no computador de Childs, representam uma "ameaça iminente" para a rede de computadores da cidade, de acordo com o processo judicial. Childs poderia usar os nomes e senhas para "personificar qualquer um dos usuários legítimos da cidade usando sua senha para ter acesso ao sistema", a moção contra a redução da fiança declara.

Embora o escritório da promotoria não tenha dito o que as senhas foram usadas, uma fonte familiarizada com a situação disse que elas são para entrar na rede virtual privada da cidade, e que esse tipo de informação é algo que um administrador de rede como Childs deveria ter.

Publicando essas senhas em público cria um risco de segurança, embora as senhas não sejam suficientes para dar acesso criminoso à VPN da cidade. As senhas são chamadas de senhas da "fase um" e devem ser combinadas com uma segunda senha para acessar a rede, disse a fonte.

As senhas são usadas por funcionários municipais que acessam a rede de computadores domésticos ou laptops enquanto acessam a rede. estão fora dos escritórios da cidade. As senhas são para muitos departamentos da cidade, incluindo o departamento de polícia, o gabinete do prefeito e o Departamento de Serviços de Telecomunicações e Informação (EDIC), onde Childs trabalhava. A cidade deveria estar se movimentando de forma muito agressiva para mudar as senhas tão rapidamente Robert Grapes, tecnólogo-chefe de soluções de data center da Cloakware, um fornecedor de software de gerenciamento de senhas.

Erica Derryck, porta-voz do escritório da promotoria, se recusou a comentar o assunto. O gabinete do prefeito, que supervisiona o EDIC, não retornou mensagens em busca de comentários para esta reportagem

Para alterar as senhas, a cidade terá que reconfigurar o software VPN em execução em cada PC que se conecte remotamente, o que ainda não foi feito.

Algumas das senhas se beneficiariam de uma mudança porque são idênticas ao nome de login da VPN ou extremamente fáceis de adivinhar.

O caso de Childs tem sido uma das principais notícias em São Francisco há quase dois anos. semanas.

Durante nove dias após sua prisão em 12 de julho, ele se recusou a entregar senhas administrativas aos cinco dispositivos de rede central da rede FiberWAN da cidade, que transporta cerca de 60% do tráfego de rede do governo da cidade. Childs, um engenheiro-chefe do EDIC que usou o log-in Maggot617, estava envolvido em uma disputa de meses com a gerência, e manteve as senhas mesmo depois de ser preso.

Na segunda-feira, ele as entregou ao prefeito uma reunião secreta entre os dois. O advogado de Childs argumenta que por causa da incompetência do departamento, o prefeito era a única pessoa qualificada para receber as chaves da rede.

Dadas as acusações criminais contra Childs, a cidade já deveria estar redefinindo essas senhas, disse Bruce Schneier, chefe oficial de tecnologia de segurança da BT. "Conserte agora", ele disse. "Vá lá, expire as senhas de todos, e faça todos eles se conectarem novamente. Faça isso agora mesmo. Isso não é difícil".