Abo
  • Services:
Anzeige
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen.
Github empfiehlt Entwicklern, ihren Code nach ungewollt veröffentlichten Schlüsseln und Passwörtern zu durchsuchen und sie zu löschen. (Bild: Github/Screenshot: Golem.de)

Amazon Web Services: Tausende geheime Schlüssel auf Github

Auf dem Hosting-Dienst Github sind offenbar Tausende geheimer Schlüssel zu Amazons Web Services gefunden worden. Damit erhalten Angreifer Root-Zugänge zu den jeweiligen Konten.

Anzeige

Zahlreiche Entwickler, die ihren Code auf Github veröffentlichten, übersahen dabei offensichtlich, die geheimen Root-Schlüssel zu ihren Amazon Web Services zu löschen. Angreifer könnten sie einfach auslesen und sich so Zugang zu den jeweiligen Konten verschaffen. Amazon empfiehlt, stattdessen Benutzerkonten einzurichten und die Root-Schlüssel umgehend bei Github zu löschen.

Mitarbeiter des Security-Unternehmens Threat Intelligence wollen bis zu 10.000 solcher Schlüssel auf Github gefunden haben. Angreifer, die diese Schlüssel erbeutet haben, können auf den Konten nicht nur Dateien löschen, sondern sie auch für Umleitungen missbrauchen. So können zusätzliche Kosten für die unvorsichtigen Entwickler entstehen.

Code aufräumen, Schlüssel tauschen

Sowohl Github als auch Amazon weisen auf ihren Webseiten auf die Problematik hin. Auf Github gibt es eine Anleitung, wie ungewollt veröffentlichte Dateien sowohl bei Github als auch im lokalen Code-Zweig gelöscht werden können. Ende Januar 2014 hatte Github ein Werkzeug veröffentlicht, mit dem unter Stichwörtern wie "BEGIN RSA PRIVATE KEY" und "PASSWORD" Code durchsucht werden kann. Es verwendet Elasticsearch, was wiederum auf der Volltextsuche Lucene basiert.

Amazon hat ebenfalls eine Anleitung veröffentlicht, wie mit Schlüsseln zu seinen Diensten umgegangen werden sollte. Dort wird empfohlen, gar keinen Root-Schlüssel zu verwenden, da er nur selten benötigt wird. Stattdessen sollten Nutzer sogenannte Temporary Security Credentials (IAM Roles) erstellen, die zeitlich begrenzt genutzt werden können. Wer seinen Root-Schlüssel vorsichtshalber mit einem anderen ersetzen will, findet dort ebenfalls Informationen dazu. Ohnehin sollten Root-Schlüssel regelmäßig ausgetauscht werden, empfiehlt Amazon.


eye home zur Startseite
werwurm 26. Mär 2014

Das braucht man gar nicht auf Scriptkiddies beschränken. Ein nicht unerheblicher Teil...



Anzeige

Stellenmarkt
  1. MediaMarktSaturn IT Solutions, Ingolstadt
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Robert Bosch GmbH, Plochingen
  4. über Baumann Unternehmensberatung AG, Raum Dresden


Anzeige
Hardware-Angebote
  1. 39,99€
  2. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  2. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  3. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  4. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  5. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  6. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  7. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren

  8. Synlight

    Wie der Wasserstoff aus dem Sonnenlicht kommen soll

  9. Pietsmiet

    "Alle Twitch-Kanäle sind kostenpflichtiger Rundfunk"

  10. Apache-Lizenz 2.0

    OpenSSL plant Lizenzwechsel an der Community vorbei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Videostreaming im Zug: Maxdome umwirbt Bahnfahrer bei Tempo 230
Videostreaming im Zug
Maxdome umwirbt Bahnfahrer bei Tempo 230
  1. USA Google will Kabelfernsehen über Youtube streamen
  2. Verband DVD-Verleih in Deutschland geht wegen Netflix zurück
  3. Nintendo Vorerst keine Videostreaming-Apps auf Switch

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  2. Instandsetzung Apple macht iPhone-Reparaturen teurer
  3. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer

Lithium-Akkus: Durchbruch verzweifelt gesucht
Lithium-Akkus
Durchbruch verzweifelt gesucht
  1. Super MCharge Smartphone-Akku in 20 Minuten voll geladen
  2. Brandgefahr HP ruft über 100.000 Notebook-Akkus zurück
  3. Brandgefahr Akku mit eingebautem Feuerlöscher

  1. Re: Betonköpfe

    crazypsycho | 22:39

  2. Re: Denkt er er hätte eine Sonderposition?

    Yeeeeeeeeha | 22:36

  3. Re: Eigentlich doch genial

    crazypsycho | 22:36

  4. Re: Auswandern

    Moe479 | 22:32

  5. Gab es schon mal

    scheuerseife | 22:27


  1. 15:20

  2. 14:13

  3. 12:52

  4. 12:39

  5. 09:03

  6. 17:45

  7. 17:32

  8. 17:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel