San Francisco DA otkrio lozinke za gradsku mrežu

U svom pokušaju da zaštiti grad od jednog računalnog sigurnosnog rizika, okružni tužitelj u San Franciscu može dobro stvoriti još jednu.

Okružni odvjetnik u San Franciscu Kamala Harris objavio je blizu 150 korisničkih imena i lozinki koje koriste razni odjela za povezivanje s gradskom virtualnom privatnom mrežom. Lozinke su podnesene ovaj tjedan kao Primjer A u sudskom dokumentu u kojem se tvrdi da se u slučaju Terry Childsa, koji je optužen za zadržavanje gradske mreže kao taoca, odbio odustajati od administrativnih mrežnih lozinki. Childs je uhićen 12. srpnja zbog optužbi za manipuliranje računalom i održava se u županijskom zatvoru.

Iako su lozinke stavljale u javni zapis, gradski tužitelji izgleda da misle da su osjetljivi.

Lozinke otkrivene na Childsovu računalu, predstavljaju "neposrednu prijetnju" gradskoj računalnoj mreži, prema sudskom podnošenju. Childs mogao koristiti imena i lozinke za "lažno predstavljanje bilo kojeg od legitimnih korisnika u gradu koristeći svoju lozinku za pristup sustavu", prijedlog protiv stanja smanjenja jamstva.

Iako ured DA nije rekao što je lozinke su korištene, izvor koji je upoznat s situacijom rekao je da se prijavljuju u virtualnu privatnu mrežu grada, te da je takav tip informacija nešto što bi se očekivao mrežni administrator poput Childsa.

Knjiženje tih lozinki u javnosti stvara sigurnosni rizik, iako lozinke nisu dovoljne za kriminalni pristup VPN-u grada. Lozinke su tzv. "Faza 1" lozinke, a moraju se kombinirati s drugom lozinkom za pristup mreži, rekao je izvor.

Lozinke koriste gradski radnici koji pristupaju mreži s kućnih računala ili prijenosnih računala dok oni izvan gradskih ureda. Lozinke su za mnoge gradske službe, uključujući policiju, gradonačelnika i Odjel za telekomunikacije i informacijske usluge (DTIS), gdje je Childs radio.

Grad bi trebao biti "vrlo agresivan" da brzo promijeni lozinke kao što može, rekao je Robert Grapes, glavni tehnološki centar rješenja za podatkovne centre za Cloakware, dobavljača softvera za upravljanje lozinkama.

Erica Derryck, glasnogovornica ureda okružnog tužitelja, odbilo je komentirati. Ured za gradonačelnika, koji nadzire DTIS, nije vratio poruke koje traže komentar za ovu priču

Da biste promijenili lozinke, grad će morati ponovo konfigurirati VPN softver koji se izvodi na svakom računalu koje se daljinski spaja, što još nije učinio rekao je izvor.

Neke od lozinki bi mogle imati koristi od promjene jer su identične VPN loginu ili izuzetno lako pogoditi.

Childsov slučaj bio je vrhunska vijest u San Franciscu gotovo dva tjedana.

Devet dana nakon uhićenja 12. srpnja odbio je predati administrativne lozinke pet centralnih mrežnih uređaja na gradskoj FiberWAN mreži koja nosi oko 60 posto prometa mrežnih mjesta gradske uprave. Childs, glavni inženjer s DTIS-om koji je koristio prijavu Maggot617, bio je angažiran u dugotrajnom sporu s upravom i zadržao se na lozinke čak i nakon što je bio u zatvoru.

U ponedjeljak ih je predao gradonačelniku nakon tajni sastanak zatvora između njih. Childsov odvjetnik tvrdi da je zbog neusklađenosti s odjelima gradonačelnik bio jedina osoba koja je bila kvalificirana da se šalje ključeve mreže.

S obzirom na kaznenu prijavu protiv Childs, grad bi već trebao resetirati ove lozinke, rekao je Bruce Schneier, šef djelatnik sigurnosne tehnologije u BT-u. "Popravite je sada", rekao je. "Idite unutra, isteknite svačije lozinke i ponovno ih prijavite. Učini to odmah, to nije teško."