Rekognition findet Zugangsdaten für AWS

Um den Prozess komplett zu automatisieren, schreibt Krauss ein Skript, das ein AWS-Konto, einen AWS-Client und die Software Youtube-DL voraussetzt. Wird es mit einem Youtube-Link gestartet, lädt es in einem ersten Schritt das Video herunter und konvertiert es. Anschließend wird es in ein AWS-Bucket hochgeladen und die Video-Auswertung mit Rekognition wird gestartet.

Stellenmarkt
  1. IT-Projektmanager:in in Leitungsfunktion (m/w/d)
    SWT-AöR, Trier
  2. Einkäufer für Hard- und Software (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
Detailsuche

"Das geht nicht so schnell, wie man es bei einer Cloud erwarten würde", sagt Krauss. Die Auswertung eines 20 Minuten langen Videos dauere sechs bis acht Minuten und koste zwei US-Dollar - neue AWS-Konten enthalten jedoch im ersten Jahr 1.000 Freiminuten pro Monat. Das Ergebnis der Auswertung ist eine rund 100 MByte große Textdatei pro Video, die neben dem erkannten Text auch den Zeitpunkt und die geometrische Fundstelle enthält. Krauss interessiert sich jedoch nur für den erkannten Text und löscht alles andere.

Danach nutzt er den Umstand aus, dass die von AWS erstellten Nutzernamen 20 Zeichen lang und komplett groß geschrieben sind. Ähnliches gilt für die generierten Passwörter, die aus 40 zufälligen Zeichen bestehen. Nach diesen beiden Mustern durchsucht sein Skript den erkannten Text. "Dabei gibt es kaum False-Positives, die Muster sind recht eindeutig", erklärt Krauss. Damit erkennt er das meiste, was zuvor auch die Menschen erkannt hatten, aber nicht alles.

Rekognition missversteht Zeichen

Rekognition verwechselt nicht nur 0 und O, sondern beispielsweise auch + und t. "Teilweise standen + und t sogar direkt nebeneinander, jedes Grundschulkind hätte den Unterschied sofort erkannt - aber Rekognition nicht", kritisiert Krauss die Technik. Entsprechend musste das Tool, das die verschiedenen menschlichen Fehlinterpretationen enthält, deutlich erweitert werden. Die verschiedenen Nutzernamen und Passwortkombinationen müssen anschließend nur noch bei AWS durchprobiert werden. Auch das übernimmt das Tool. Das Skript wollen die Sicherheitsforscher demnächst veröffentlichen.

Golem Karrierewelt
  1. Einführung in das Zero Trust Security Framework (virtueller Ein-Tages-Workshop)
    18.01.2023, virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    07./08.02.2023, Virtuell
Weitere IT-Trainings

Im Test konnten sich die Sicherheitsforscher, wie gesagt, mit sechs Prozent der entdeckten Zugangsdaten erfolgreich anmelden. Das ist erstaunlich viel, bedenkt man, dass hinter den Tutorials Fachleute stecken, die definitiv wissen, wie ein richtiger Umgang mit Zugangsdaten aussieht und was mit ihnen alles angestellt werden könnte.

"Das sind menschliche Fehler, die aus Leichtsinnigkeit entstehen, aber nicht aus mangelndem Wissen", sagt Krauss. "Niemand würde sein Passwort sichtbar vor Zuschauern eintippen." Krauss vermutet, dass die langen und zufälligen Benutzernamen und Passwörter ein Gefühl von falscher Sicherheit vermitteln. Solche Zugangsdaten ließen sich zwar niemals durch Ausprobieren (Brute Force) knacken, aber das müssten sie ja auch nicht, wenn sie im Video gezeigt würden, konstatiert Krauss.

Doch welcher Schaden lässt sich nun mit den Daten anrichten?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leaktAngriffe mit Zugangsdaten aus Youtube-Tutorials? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Eheran 26. Jul 2020

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...



Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
    I am Jesus Christ angespielt
    Der Jesus-Simulator lässt uns vom Glauben abfallen

    Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
    Von Peter Steinlechner

  2. Cyberkriminalität: Jeder vierte Jugendliche ist ein Internettroll
    Cyberkriminalität
    Jeder vierte Jugendliche ist ein Internettroll

    Einer Umfrage zufolge ist bedenkliches bis illegales Verhalten von Jugendlichen im Internet zur Normalität geworden. In Deutschland ist der Anteil sehr hoch.

  3. Landgericht Bonn: Telekom verklagt Meta auf Zahlungen für IP-Datentransport
    Landgericht Bonn
    Telekom verklagt Meta auf Zahlungen für IP-Datentransport

    Die Telekom hat bereits Zahlungen von Meta für IP-Datentransport erhalten. Diese flossen über die Meta-Tochter Edge Network Services aus Irland, wurden aber eingestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /