Abo
  • Services:
Anzeige
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen.
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen. (Bild: Github/Screenshot: Golem.de)

Amazon Web Services: Tausende geheime Schlüssel auf Github

Auf dem Hosting-Dienst Github sind offenbar Tausende geheimer Schlüssel zu Amazons Web Services gefunden worden. Damit erhalten Angreifer Root-Zugänge zu den jeweiligen Konten.

Anzeige

Zahlreiche Entwickler, die ihren Code auf Github veröffentlichten, übersahen dabei offensichtlich, die geheimen Root-Schlüssel zu ihren Amazon Web Services zu löschen. Angreifer könnten sie einfach auslesen und sich so Zugang zu den jeweiligen Konten verschaffen. Amazon empfiehlt, stattdessen Benutzerkonten einzurichten und die Root-Schlüssel umgehend bei Github zu löschen.

Mitarbeiter des Security-Unternehmens Threat Intelligence wollen bis zu 10.000 solcher Schlüssel auf Github gefunden haben. Angreifer, die diese Schlüssel erbeutet haben, können auf den Konten nicht nur Dateien löschen, sondern sie auch für Umleitungen missbrauchen. So können zusätzliche Kosten für die unvorsichtigen Entwickler entstehen.

Code aufräumen, Schlüssel tauschen

Sowohl Github als auch Amazon weisen auf ihren Webseiten auf die Problematik hin. Auf Github gibt es eine Anleitung, wie ungewollt veröffentlichte Dateien sowohl bei Github als auch im lokalen Code-Zweig gelöscht werden können. Ende Januar 2014 hatte Github ein Werkzeug veröffentlicht, mit dem unter Stichwörtern wie "BEGIN RSA PRIVATE KEY" und "PASSWORD" Code durchsucht werden kann. Es verwendet Elasticsearch, was wiederum auf der Volltextsuche Lucene basiert.

Amazon hat ebenfalls eine Anleitung veröffentlicht, wie mit Schlüsseln zu seinen Diensten umgegangen werden sollte. Dort wird empfohlen, gar keinen Root-Schlüssel zu verwenden, da er nur selten benötigt wird. Stattdessen sollten Nutzer sogenannte Temporary Security Credentials (IAM Roles) erstellen, die zeitlich begrenzt genutzt werden können. Wer seinen Root-Schlüssel vorsichtshalber mit einem anderen ersetzen will, findet dort ebenfalls Informationen dazu. Ohnehin sollten Root-Schlüssel regelmäßig ausgetauscht werden, empfiehlt Amazon.


eye home zur Startseite
werwurm 26. Mär 2014

Das braucht man gar nicht auf Scriptkiddies beschränken. Ein nicht unerheblicher Teil...



Anzeige

Stellenmarkt
  1. ifb KG, Seehausen am Staffelsee
  2. Zühlke Engineering GmbH, Hannover
  3. Daimler AG, Germersheim
  4. USU AG, Bonn


Anzeige
Spiele-Angebote
  1. 69,99€ (Release 31.03.)
  2. 4,99€
  3. 69,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  2. DirectX 12

    Microsoft legt Shader-Compiler offen

  3. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  4. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  5. Innogy

    Telekom will auch FTTH anmieten

  6. Tissue Engineering

    3D-Drucker produziert Haut

  7. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage

  8. Sicherheitsupdate

    Apple patcht Root-Exploits für fast alle Plattformen

  9. Aktionsbündnis Gigabit

    Nordrhein-Westfalen soll flächendeckend Glasfaser erhalten

  10. Mozilla

    Firefox 51 warnt vor unsicheren Webinhalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. Potus Donald Trump übernimmt präsidiales Twitter-Konto
  2. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  3. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Smartphone-Hersteller Hugo Barra verlässt Xiaomi
  2. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

  1. Re: Geile Nummer

    omgrofllol | 17:57

  2. Re: Rollenspiele sind out

    ArcherV | 17:57

  3. Re: UHD-Auflösung für Streaming interessant

    The_Grinder | 17:56

  4. Re: Das einzige was diese Mouthbreather verstehen...

    ArcherV | 17:54

  5. Voice-over-LTE - wie soll das gehen?

    McWiesel | 17:51


  1. 18:16

  2. 17:44

  3. 17:29

  4. 16:57

  5. 16:53

  6. 16:47

  7. 16:14

  8. 15:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel