San Francisco DA divulga contraseñas de red de la ciudad

En su intento por proteger la ciudad de un riesgo de seguridad informática, la Fiscalía de San Francisco pudo haber creado otra.

La oficina del Fiscal de Distrito de San Francisco Kamala Harris ha hecho públicos cerca de 150 nombres de usuario y contraseñas utilizados por varios departamentos para conectarse a la red privada virtual de la ciudad. Las contraseñas fueron presentadas esta semana como Anexo A en un documento judicial que argumenta contra una reducción de la fianza de 5 millones de dólares en el caso de Terry Childs, acusado de retener la red de la ciudad como rehén al negarse a renunciar a las contraseñas de redes administrativas. Childs fue arrestado el 12 de julio bajo cargos de manipulación informática y está detenido en la cárcel del condado.

Aunque colocaron las contraseñas en el registro público, los fiscales municipales sí parecen pensar que son sensibles.

Las contraseñas, descubiertas en la computadora de Childs, representan una "amenaza inminente" para la red de computadoras de la ciudad, según la presentación del tribunal. Childs podría usar los nombres y las contraseñas para "suplantar a cualquiera de los usuarios legítimos de la ciudad utilizando su contraseña para obtener acceso al sistema", dice la moción contra la fianza.

Aunque la fiscalía no dijo qué se usaron contraseñas, una fuente familiarizada con la situación dijo que estaban para iniciar sesión en la red privada virtual de la ciudad, y que este tipo de información es algo que se esperaría que tuviera un administrador de red como Childs.

Publicando estas contraseñas en público crea un riesgo de seguridad, aunque las contraseñas no son suficientes para dar acceso criminal a la VPN de la ciudad. Las contraseñas son las llamadas contraseñas de "fase uno" y deben combinarse con una segunda contraseña para acceder a la red, dijo la fuente.

Las contraseñas son utilizadas por los trabajadores de la ciudad que acceden a la red desde computadoras hogareñas o portátiles mientras están fuera de las oficinas de la ciudad. Las contraseñas son para muchos departamentos de la ciudad, incluidos el departamento de policía, la oficina del alcalde y el Departamento de Telecomunicaciones e Información (DTIS), donde trabajaba Childs.

La ciudad debería "moverse muy agresivamente" para cambiar las contraseñas con la mayor rapidez como sea posible, dijo Robert Grapes, jefe de tecnología de soluciones de centros de datos para Cloakware, un proveedor de software de administración de contraseñas.

Erica Derryck, portavoz de la oficina del fiscal general, se negó a comentar sobre el asunto. La oficina del alcalde, que supervisa DTIS, no devolvió los mensajes que buscaban comentarios para esta historia.

Para cambiar las contraseñas, la ciudad deberá reconfigurar el software VPN que se ejecuta en todas las PC que se conectan remotamente, lo que aún no ha hecho, el fuente dijo.

Algunas de las contraseñas se beneficiarían de un cambio porque son idénticas al nombre de inicio de sesión VPN o extremadamente fáciles de adivinar.

El caso de Childs ha sido una de las principales noticias en San Francisco durante casi dos semanas.

Durante nueve días después de su arresto el 12 de julio, se negó a entregar las contraseñas administrativas a los cinco dispositivos centrales de red en la red FiberWAN de la ciudad, que transporta el 60 por ciento del tráfico de redes del gobierno de la ciudad. Childs, un ingeniero jefe de DTIS que utilizó el inicio de sesión de Maggot617, había estado involucrado en una disputa de un mes con la administración, y mantuvo las contraseñas incluso después de que fue encarcelado.

El lunes, se los entregó al alcalde después una reunión secreta en la cárcel entre los dos. El abogado de Childs argumenta que debido a la incompetencia departamental, el alcalde era la única persona calificada para entregar las llaves de la red.

Dada la acusación criminal contra Childs, la ciudad ya debería restablecer estas contraseñas, dijo Bruce Schneier, jefe oficial de tecnología de seguridad en BT. "Arreglarlo ahora", dijo. "Entra ahí, expira las contraseñas de todos y haz que todos vuelvan a iniciar sesión. Hazlo ahora mismo. Esto no es difícil".