Rekognition findet Zugangsdaten für AWS

Um den Prozess komplett zu automatisieren, schreibt Krauss ein Skript, das ein AWS-Konto, einen AWS-Client und die Software Youtube-DL voraussetzt. Wird es mit einem Youtube-Link gestartet, lädt es in einem ersten Schritt das Video herunter und konvertiert es. Anschließend wird es in ein AWS-Bucket hochgeladen und die Video-Auswertung mit Rekognition wird gestartet.

Stellenmarkt
  1. Softwareentwickler (m/w/d) C++ Kommunikations-Framework
    Bertrandt Ingenieurbüro GmbH, München
  2. Programmierer / Softwareentwickler (m/w/d)
    Heinz von Heiden GmbH Massivhäuser, Isernhagen bei Hannover
Detailsuche

"Das geht nicht so schnell, wie man es bei einer Cloud erwarten würde", sagt Krauss. Die Auswertung eines 20 Minuten langen Videos dauere sechs bis acht Minuten und koste zwei US-Dollar - neue AWS-Konten enthalten jedoch im ersten Jahr 1.000 Freiminuten pro Monat. Das Ergebnis der Auswertung ist eine rund 100 MByte große Textdatei pro Video, die neben dem erkannten Text auch den Zeitpunkt und die geometrische Fundstelle enthält. Krauss interessiert sich jedoch nur für den erkannten Text und löscht alles andere.

Danach nutzt er den Umstand aus, dass die von AWS erstellten Nutzernamen 20 Zeichen lang und komplett groß geschrieben sind. Ähnliches gilt für die generierten Passwörter, die aus 40 zufälligen Zeichen bestehen. Nach diesen beiden Mustern durchsucht sein Skript den erkannten Text. "Dabei gibt es kaum False-Positives, die Muster sind recht eindeutig", erklärt Krauss. Damit erkennt er das meiste, was zuvor auch die Menschen erkannt hatten, aber nicht alles.

Rekognition missversteht Zeichen

Rekognition verwechselt nicht nur 0 und O, sondern beispielsweise auch + und t. "Teilweise standen + und t sogar direkt nebeneinander, jedes Grundschulkind hätte den Unterschied sofort erkannt - aber Rekognition nicht", kritisiert Krauss die Technik. Entsprechend musste das Tool, das die verschiedenen menschlichen Fehlinterpretationen enthält, deutlich erweitert werden. Die verschiedenen Nutzernamen und Passwortkombinationen müssen anschließend nur noch bei AWS durchprobiert werden. Auch das übernimmt das Tool. Das Skript wollen die Sicherheitsforscher demnächst veröffentlichen.

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Im Test konnten sich die Sicherheitsforscher, wie gesagt, mit sechs Prozent der entdeckten Zugangsdaten erfolgreich anmelden. Das ist erstaunlich viel, bedenkt man, dass hinter den Tutorials Fachleute stecken, die definitiv wissen, wie ein richtiger Umgang mit Zugangsdaten aussieht und was mit ihnen alles angestellt werden könnte.

"Das sind menschliche Fehler, die aus Leichtsinnigkeit entstehen, aber nicht aus mangelndem Wissen", sagt Krauss. "Niemand würde sein Passwort sichtbar vor Zuschauern eintippen." Krauss vermutet, dass die langen und zufälligen Benutzernamen und Passwörter ein Gefühl von falscher Sicherheit vermitteln. Solche Zugangsdaten ließen sich zwar niemals durch Ausprobieren (Brute Force) knacken, aber das müssten sie ja auch nicht, wenn sie im Video gezeigt würden, konstatiert Krauss.

Doch welcher Schaden lässt sich nun mit den Daten anrichten?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leaktAngriffe mit Zugangsdaten aus Youtube-Tutorials? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Eheran 26. Jul 2020

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...

tatiplut 24. Jul 2020

Naja aber dann hat man ja das gleiche Problem. Anstatt in einer Textdatei Nutzername und...



Aktuell auf der Startseite von Golem.de
Geforce Now (RTX 3080) im Test
1440p120 mit Raytracing aus der Cloud

Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
Ein Test von Marc Sauter

Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
Artikel
  1. Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
    Encrochat-Hack
    "Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

    Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
    Ein Interview von Moritz Tremmel

  2. Feldversuch E-Mobility-Chaussee: So schnell bringen E-Autos das Stromnetz ans Limit
    Feldversuch E-Mobility-Chaussee
    So schnell bringen E-Autos das Stromnetz ans Limit

    Das Laden von Elektroautos stellt Netzbetreiber auf dem Land vor besondere Herausforderungen. Ein Pilotprojekt hat verschiedene Lösungen getestet.
    Ein Bericht von Friedhelm Greis

  3. Gigafactory Grünheide: Tesla rekrutiert hauptsächlich regionale Arbeitskräfte
    Gigafactory Grünheide
    Tesla rekrutiert hauptsächlich regionale Arbeitskräfte

    Entgegen den Befürchtungen der Gegner profitieren vor allem Berlin und Brandenburg von Teslas neuer Fabrik in Brandenburg.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" 32:9 Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Cambridge Audio Melomonia Touch 89,95€ • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /