Abo
  • Services:

Amazon Web Services: Tausende geheime Schlüssel auf Github

Auf dem Hosting-Dienst Github sind offenbar Tausende geheimer Schlüssel zu Amazons Web Services gefunden worden. Damit erhalten Angreifer Root-Zugänge zu den jeweiligen Konten.

Artikel veröffentlicht am ,
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen.
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen. (Bild: Github/Screenshot: Golem.de)

Zahlreiche Entwickler, die ihren Code auf Github veröffentlichten, übersahen dabei offensichtlich, die geheimen Root-Schlüssel zu ihren Amazon Web Services zu löschen. Angreifer könnten sie einfach auslesen und sich so Zugang zu den jeweiligen Konten verschaffen. Amazon empfiehlt, stattdessen Benutzerkonten einzurichten und die Root-Schlüssel umgehend bei Github zu löschen.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Mitarbeiter des Security-Unternehmens Threat Intelligence wollen bis zu 10.000 solcher Schlüssel auf Github gefunden haben. Angreifer, die diese Schlüssel erbeutet haben, können auf den Konten nicht nur Dateien löschen, sondern sie auch für Umleitungen missbrauchen. So können zusätzliche Kosten für die unvorsichtigen Entwickler entstehen.

Code aufräumen, Schlüssel tauschen

Sowohl Github als auch Amazon weisen auf ihren Webseiten auf die Problematik hin. Auf Github gibt es eine Anleitung, wie ungewollt veröffentlichte Dateien sowohl bei Github als auch im lokalen Code-Zweig gelöscht werden können. Ende Januar 2014 hatte Github ein Werkzeug veröffentlicht, mit dem unter Stichwörtern wie "BEGIN RSA PRIVATE KEY" und "PASSWORD" Code durchsucht werden kann. Es verwendet Elasticsearch, was wiederum auf der Volltextsuche Lucene basiert.

Amazon hat ebenfalls eine Anleitung veröffentlicht, wie mit Schlüsseln zu seinen Diensten umgegangen werden sollte. Dort wird empfohlen, gar keinen Root-Schlüssel zu verwenden, da er nur selten benötigt wird. Stattdessen sollten Nutzer sogenannte Temporary Security Credentials (IAM Roles) erstellen, die zeitlich begrenzt genutzt werden können. Wer seinen Root-Schlüssel vorsichtshalber mit einem anderen ersetzen will, findet dort ebenfalls Informationen dazu. Ohnehin sollten Root-Schlüssel regelmäßig ausgetauscht werden, empfiehlt Amazon.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-46%) 24,99€
  3. (-80%) 5,99€
  4. 32,99€ (erscheint am 25.01.)

werwurm 26. Mär 2014

Das braucht man gar nicht auf Scriptkiddies beschränken. Ein nicht unerheblicher Teil...


Folgen Sie uns
       


Magic Leap One Creator Edition ausprobiert

Mit der One Creator Edition hat Magic Leap endlich seine seit Jahren angekündigte AR-Brille veröffentlicht. In Teilbereichen ist sie besser als Microsofts Hololens, in anderen aber schlechter.

Magic Leap One Creator Edition ausprobiert Video aufrufen
Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

    •  /