Abo
  • IT-Karriere:

Amazon Web Services: Tausende geheime Schlüssel auf Github

Auf dem Hosting-Dienst Github sind offenbar Tausende geheimer Schlüssel zu Amazons Web Services gefunden worden. Damit erhalten Angreifer Root-Zugänge zu den jeweiligen Konten.

Artikel veröffentlicht am ,
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen.
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen. (Bild: Github/Screenshot: Golem.de)

Zahlreiche Entwickler, die ihren Code auf Github veröffentlichten, übersahen dabei offensichtlich, die geheimen Root-Schlüssel zu ihren Amazon Web Services zu löschen. Angreifer könnten sie einfach auslesen und sich so Zugang zu den jeweiligen Konten verschaffen. Amazon empfiehlt, stattdessen Benutzerkonten einzurichten und die Root-Schlüssel umgehend bei Github zu löschen.

Stellenmarkt
  1. GBA Professional e. Kfr., Ahrensfelde-Lindenberg
  2. BWI GmbH, bundesweit

Mitarbeiter des Security-Unternehmens Threat Intelligence wollen bis zu 10.000 solcher Schlüssel auf Github gefunden haben. Angreifer, die diese Schlüssel erbeutet haben, können auf den Konten nicht nur Dateien löschen, sondern sie auch für Umleitungen missbrauchen. So können zusätzliche Kosten für die unvorsichtigen Entwickler entstehen.

Code aufräumen, Schlüssel tauschen

Sowohl Github als auch Amazon weisen auf ihren Webseiten auf die Problematik hin. Auf Github gibt es eine Anleitung, wie ungewollt veröffentlichte Dateien sowohl bei Github als auch im lokalen Code-Zweig gelöscht werden können. Ende Januar 2014 hatte Github ein Werkzeug veröffentlicht, mit dem unter Stichwörtern wie "BEGIN RSA PRIVATE KEY" und "PASSWORD" Code durchsucht werden kann. Es verwendet Elasticsearch, was wiederum auf der Volltextsuche Lucene basiert.

Amazon hat ebenfalls eine Anleitung veröffentlicht, wie mit Schlüsseln zu seinen Diensten umgegangen werden sollte. Dort wird empfohlen, gar keinen Root-Schlüssel zu verwenden, da er nur selten benötigt wird. Stattdessen sollten Nutzer sogenannte Temporary Security Credentials (IAM Roles) erstellen, die zeitlich begrenzt genutzt werden können. Wer seinen Root-Schlüssel vorsichtshalber mit einem anderen ersetzen will, findet dort ebenfalls Informationen dazu. Ohnehin sollten Root-Schlüssel regelmäßig ausgetauscht werden, empfiehlt Amazon.



Anzeige
Top-Angebote
  1. (u. a. Age of Wonders: Planetfall für 39,99€, Imperator: Rome für 23,99€, Stellaris für 9...
  2. (aktuell u. a. Acer One 10 Tablet-PC für 279,00€, Asus Zenforce Handy für 279,00€, Deepcool...
  3. 799,00€ (Bestpreis!)
  4. 1.199,00€

werwurm 26. Mär 2014

Das braucht man gar nicht auf Scriptkiddies beschränken. Ein nicht unerheblicher Teil...


Folgen Sie uns
       


Oneplus 7T - Fazit

Das Oneplus 7T ist der Nachfolger des Oneplus 7 - und hat einige interessante Hardware-Upgrades bekommen. Im Test von Golem.de schneidet das Smartphone entsprechend gut ab.

Oneplus 7T - Fazit Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

    •  /