Angriffe mit Zugangsdaten aus Youtube-Tutorials?

Krauss vermutet, dass die meisten Tutorials in Testumgebungen erstellt werden. An sensible Daten dürften Angreifende also üblicherweise nicht gelangen. "Fast jeder Dienst hat die Berechtigung, kostenbewährte Services zu nutzen", erklärt Krauss. Hier sieht er die wahrscheinlichste Gefahr: Kriminelle könnten AWS-Services auf Kosten der Cloud-Fachleute auf Youtube nutzen. Denn beim Erstellen eines AWS-Kontos muss bereits eine Kreditkarte hinterlegt werden.

Stellenmarkt
  1. Head of Customer Segment Management (m/w/d)
    Fressnapf Holding SE, Krefeld
  2. Softwareentwickler (w/m/d) Java
    SSI SCHÄFER IT Solutions GmbH, Giebelstadt, Bremen, Dortmund, Oberviechtach
Detailsuche

Je nach Art des Nutzerkontos und der Berechtigungen könnten die übernommenen AWS-Dienste auch als Ausgangspunkt für Angriffe verwendet werden. Beispielsweise wären DDoS-Angriffe oder Bot-Netzwerke denkbar, allerdings dürfte Amazon diese Nutzungsweisen, sollten sie im größeren Stil geschehen, erkennen und unterbinden. Kriminelle könnten aber auch schlicht Kryptowährungen schürfen, Schadsoftware oder Command-and-Control-Informationen für Bot-Netzwerke ablegen. Auch das Verschleiern von Angriffen über den Cloud-Dienst (Sprungserver) wäre also denkbar.

Im schlimmsten Fall könnten Angreifende an die Zugangsdaten eines Root-Accounts gelangen, mit dem grundsätzlich alles möglich ist - selbst das Aussperren des Konten-Eigentümers durch eine Passwortänderung. Mit diesem Zugang könnten zudem problemlos weitere Konten und kostenpflichtige Dienste angelegt und gebucht werden, betont Krauss. Beispielsweise könnten Eindringlinge kostenpflichtig Youtube-Tutorials mit Rekognition auswerten, um an weitere Zugangsdaten zu gelangen - auf Kosten des Youtube-Kanals. Dass ein Root-Konto gefunden würde, sei aber eher unrealistisch, meint Krauss.

Ein leicht lösbares Problem

Dabei lässt es sich sehr einfach besser machen: Die angelegten Konten müssten schlicht direkt nach der Präsentation gelöscht werden. "Es macht keinen Sinn, Testumgebungen herumliegen zu lassen - im Gegenteil, es ist sogar gefährlich", warnt Krauss. Noch besser wäre es, die Zugangsdaten erst gar nicht auf dem Bildschirm zu zeigen. Im Fall eines Tutorials oder Vortrages, der nicht live gestreamt wird, sollte das Passwort verpixelt werden.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    27.-28. Januar 2022, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Einführung in die Programmierung mit Rust
    21.-25. März 2022, online
Weitere IT-Trainings

Die Zwei-Faktor-Authentifizierung, die beim Thema Passwortsicherheit schnell genannt wird, ist hier ausnahmsweise keine Lösung. Denn mit den Zugangsdaten sollen sich meist nicht Menschen, sondern Maschinen bei den Diensten anmelden - einen Menschen TOTP-Codes eintippen oder den Button eines Fido-Sticks drücken zu lassen, wäre hier kontraproduktiv.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Rekognition findet Zugangsdaten für AWS
  1.  
  2. 1
  3. 2
  4. 3


Eheran 26. Jul 2020

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...

tatiplut 24. Jul 2020

Naja aber dann hat man ja das gleiche Problem. Anstatt in einer Textdatei Nutzername und...



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /