• IT-Karriere:
  • Services:

Angriffe mit Zugangsdaten aus Youtube-Tutorials?

Krauss vermutet, dass die meisten Tutorials in Testumgebungen erstellt werden. An sensible Daten dürften Angreifende also üblicherweise nicht gelangen. "Fast jeder Dienst hat die Berechtigung, kostenbewährte Services zu nutzen", erklärt Krauss. Hier sieht er die wahrscheinlichste Gefahr: Kriminelle könnten AWS-Services auf Kosten der Cloud-Fachleute auf Youtube nutzen. Denn beim Erstellen eines AWS-Kontos muss bereits eine Kreditkarte hinterlegt werden.

Stellenmarkt
  1. über vietenplus, Südwestfalen
  2. Porsche Digital GmbH, Berlin

Je nach Art des Nutzerkontos und der Berechtigungen könnten die übernommenen AWS-Dienste auch als Ausgangspunkt für Angriffe verwendet werden. Beispielsweise wären DDoS-Angriffe oder Bot-Netzwerke denkbar, allerdings dürfte Amazon diese Nutzungsweisen, sollten sie im größeren Stil geschehen, erkennen und unterbinden. Kriminelle könnten aber auch schlicht Kryptowährungen schürfen, Schadsoftware oder Command-and-Control-Informationen für Bot-Netzwerke ablegen. Auch das Verschleiern von Angriffen über den Cloud-Dienst (Sprungserver) wäre also denkbar.

Im schlimmsten Fall könnten Angreifende an die Zugangsdaten eines Root-Accounts gelangen, mit dem grundsätzlich alles möglich ist - selbst das Aussperren des Konten-Eigentümers durch eine Passwortänderung. Mit diesem Zugang könnten zudem problemlos weitere Konten und kostenpflichtige Dienste angelegt und gebucht werden, betont Krauss. Beispielsweise könnten Eindringlinge kostenpflichtig Youtube-Tutorials mit Rekognition auswerten, um an weitere Zugangsdaten zu gelangen - auf Kosten des Youtube-Kanals. Dass ein Root-Konto gefunden würde, sei aber eher unrealistisch, meint Krauss.

Ein leicht lösbares Problem

Dabei lässt es sich sehr einfach besser machen: Die angelegten Konten müssten schlicht direkt nach der Präsentation gelöscht werden. "Es macht keinen Sinn, Testumgebungen herumliegen zu lassen - im Gegenteil, es ist sogar gefährlich", warnt Krauss. Noch besser wäre es, die Zugangsdaten erst gar nicht auf dem Bildschirm zu zeigen. Im Fall eines Tutorials oder Vortrages, der nicht live gestreamt wird, sollte das Passwort verpixelt werden.

Die Zwei-Faktor-Authentifizierung, die beim Thema Passwortsicherheit schnell genannt wird, ist hier ausnahmsweise keine Lösung. Denn mit den Zugangsdaten sollen sich meist nicht Menschen, sondern Maschinen bei den Diensten anmelden - einen Menschen TOTP-Codes eintippen oder den Button eines Fido-Sticks drücken zu lassen, wäre hier kontraproduktiv.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Rekognition findet Zugangsdaten für AWS
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. (-82%) 11,00€
  2. 44,49€

Eheran 26. Jul 2020 / Themenstart

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020 / Themenstart

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020 / Themenstart

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020 / Themenstart

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...

tatiplut 24. Jul 2020 / Themenstart

Naja aber dann hat man ja das gleiche Problem. Anstatt in einer Textdatei Nutzername und...

Kommentieren


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
    •  /