Rekognition findet Zugangsdaten für AWS

Um den Prozess komplett zu automatisieren, schreibt Krauss ein Skript, das ein AWS-Konto, einen AWS-Client und die Software Youtube-DL voraussetzt. Wird es mit einem Youtube-Link gestartet, lädt es in einem ersten Schritt das Video herunter und konvertiert es. Anschließend wird es in ein AWS-Bucket hochgeladen und die Video-Auswertung mit Rekognition wird gestartet.

"Das geht nicht so schnell, wie man es bei einer Cloud erwarten würde", sagt Krauss. Die Auswertung eines 20 Minuten langen Videos dauere sechs bis acht Minuten und koste zwei US-Dollar - neue AWS-Konten enthalten jedoch im ersten Jahr 1.000 Freiminuten pro Monat. Das Ergebnis der Auswertung ist eine rund 100 MByte große Textdatei pro Video, die neben dem erkannten Text auch den Zeitpunkt und die geometrische Fundstelle enthält. Krauss interessiert sich jedoch nur für den erkannten Text und löscht alles andere.

Danach nutzt er den Umstand aus, dass die von AWS erstellten Nutzernamen 20 Zeichen lang und komplett groß geschrieben sind. Ähnliches gilt für die generierten Passwörter, die aus 40 zufälligen Zeichen bestehen. Nach diesen beiden Mustern durchsucht sein Skript den erkannten Text. "Dabei gibt es kaum False-Positives, die Muster sind recht eindeutig", erklärt Krauss. Damit erkennt er das meiste, was zuvor auch die Menschen erkannt hatten, aber nicht alles.

Rekognition missversteht Zeichen

Rekognition verwechselt nicht nur 0 und O, sondern beispielsweise auch + und t. "Teilweise standen + und t sogar direkt nebeneinander, jedes Grundschulkind hätte den Unterschied sofort erkannt - aber Rekognition nicht", kritisiert Krauss die Technik. Entsprechend musste das Tool, das die verschiedenen menschlichen Fehlinterpretationen enthält, deutlich erweitert werden. Die verschiedenen Nutzernamen und Passwortkombinationen müssen anschließend nur noch bei AWS durchprobiert werden. Auch das übernimmt das Tool. Das Skript wollen die Sicherheitsforscher demnächst veröffentlichen.

Im Test konnten sich die Sicherheitsforscher, wie gesagt, mit sechs Prozent der entdeckten Zugangsdaten erfolgreich anmelden. Das ist erstaunlich viel, bedenkt man, dass hinter den Tutorials Fachleute stecken, die definitiv wissen, wie ein richtiger Umgang mit Zugangsdaten aussieht und was mit ihnen alles angestellt werden könnte.

"Das sind menschliche Fehler, die aus Leichtsinnigkeit entstehen, aber nicht aus mangelndem Wissen", sagt Krauss. "Niemand würde sein Passwort sichtbar vor Zuschauern eintippen." Krauss vermutet, dass die langen und zufälligen Benutzernamen und Passwörter ein Gefühl von falscher Sicherheit vermitteln. Solche Zugangsdaten ließen sich zwar niemals durch Ausprobieren (Brute Force) knacken, aber das müssten sie ja auch nicht, wenn sie im Video gezeigt würden, konstatiert Krauss.

Doch welcher Schaden lässt sich nun mit den Daten anrichten?