• IT-Karriere:
  • Services:

Rekognition findet Zugangsdaten für AWS

Um den Prozess komplett zu automatisieren, schreibt Krauss ein Skript, das ein AWS-Konto, einen AWS-Client und die Software Youtube-DL voraussetzt. Wird es mit einem Youtube-Link gestartet, lädt es in einem ersten Schritt das Video herunter und konvertiert es. Anschließend wird es in ein AWS-Bucket hochgeladen und die Video-Auswertung mit Rekognition wird gestartet.

Stellenmarkt
  1. DAVASO GmbH, Leipzig-Mölkau
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Bonn

"Das geht nicht so schnell, wie man es bei einer Cloud erwarten würde", sagt Krauss. Die Auswertung eines 20 Minuten langen Videos dauere sechs bis acht Minuten und koste zwei US-Dollar - neue AWS-Konten enthalten jedoch im ersten Jahr 1.000 Freiminuten pro Monat. Das Ergebnis der Auswertung ist eine rund 100 MByte große Textdatei pro Video, die neben dem erkannten Text auch den Zeitpunkt und die geometrische Fundstelle enthält. Krauss interessiert sich jedoch nur für den erkannten Text und löscht alles andere.

Danach nutzt er den Umstand aus, dass die von AWS erstellten Nutzernamen 20 Zeichen lang und komplett groß geschrieben sind. Ähnliches gilt für die generierten Passwörter, die aus 40 zufälligen Zeichen bestehen. Nach diesen beiden Mustern durchsucht sein Skript den erkannten Text. "Dabei gibt es kaum False-Positives, die Muster sind recht eindeutig", erklärt Krauss. Damit erkennt er das meiste, was zuvor auch die Menschen erkannt hatten, aber nicht alles.

Rekognition missversteht Zeichen

Rekognition verwechselt nicht nur 0 und O, sondern beispielsweise auch + und t. "Teilweise standen + und t sogar direkt nebeneinander, jedes Grundschulkind hätte den Unterschied sofort erkannt - aber Rekognition nicht", kritisiert Krauss die Technik. Entsprechend musste das Tool, das die verschiedenen menschlichen Fehlinterpretationen enthält, deutlich erweitert werden. Die verschiedenen Nutzernamen und Passwortkombinationen müssen anschließend nur noch bei AWS durchprobiert werden. Auch das übernimmt das Tool. Das Skript wollen die Sicherheitsforscher demnächst veröffentlichen.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    3.-7. Mai 2021, online
  2. OpenShift Installation & Administration
    14.-16. Juni 2021, online
Weitere IT-Trainings

Im Test konnten sich die Sicherheitsforscher, wie gesagt, mit sechs Prozent der entdeckten Zugangsdaten erfolgreich anmelden. Das ist erstaunlich viel, bedenkt man, dass hinter den Tutorials Fachleute stecken, die definitiv wissen, wie ein richtiger Umgang mit Zugangsdaten aussieht und was mit ihnen alles angestellt werden könnte.

"Das sind menschliche Fehler, die aus Leichtsinnigkeit entstehen, aber nicht aus mangelndem Wissen", sagt Krauss. "Niemand würde sein Passwort sichtbar vor Zuschauern eintippen." Krauss vermutet, dass die langen und zufälligen Benutzernamen und Passwörter ein Gefühl von falscher Sicherheit vermitteln. Solche Zugangsdaten ließen sich zwar niemals durch Ausprobieren (Brute Force) knacken, aber das müssten sie ja auch nicht, wenn sie im Video gezeigt würden, konstatiert Krauss.

Doch welcher Schaden lässt sich nun mit den Daten anrichten?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leaktAngriffe mit Zugangsdaten aus Youtube-Tutorials? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. 5,99€
  2. 8,99€
  3. 34,49€

Eheran 26. Jul 2020

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...

tatiplut 24. Jul 2020

Naja aber dann hat man ja das gleiche Problem. Anstatt in einer Textdatei Nutzername und...


Folgen Sie uns
       


Samsung Galaxy S21 und S21 Plus vorgestellt

Die beiden Grundmodelle von Samsungs Galaxy-S21-Serie kommen ohne abgerundete Displays und mit bekannten Kameras.

Samsung Galaxy S21 und S21 Plus vorgestellt Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /