Angriffe mit Zugangsdaten aus Youtube-Tutorials?

Krauss vermutet, dass die meisten Tutorials in Testumgebungen erstellt werden. An sensible Daten dürften Angreifende also üblicherweise nicht gelangen. "Fast jeder Dienst hat die Berechtigung, kostenbewährte Services zu nutzen", erklärt Krauss. Hier sieht er die wahrscheinlichste Gefahr: Kriminelle könnten AWS-Services auf Kosten der Cloud-Fachleute auf Youtube nutzen. Denn beim Erstellen eines AWS-Kontos muss bereits eine Kreditkarte hinterlegt werden.

Stellenmarkt
  1. Biomedizinische*r KI-Wissenschaftler*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. Inbetriebnahmeingenieur / - Techniker (m/w/d)
    ISRA VISION, Leipzig
Detailsuche

Je nach Art des Nutzerkontos und der Berechtigungen könnten die übernommenen AWS-Dienste auch als Ausgangspunkt für Angriffe verwendet werden. Beispielsweise wären DDoS-Angriffe oder Bot-Netzwerke denkbar, allerdings dürfte Amazon diese Nutzungsweisen, sollten sie im größeren Stil geschehen, erkennen und unterbinden. Kriminelle könnten aber auch schlicht Kryptowährungen schürfen, Schadsoftware oder Command-and-Control-Informationen für Bot-Netzwerke ablegen. Auch das Verschleiern von Angriffen über den Cloud-Dienst (Sprungserver) wäre also denkbar.

Im schlimmsten Fall könnten Angreifende an die Zugangsdaten eines Root-Accounts gelangen, mit dem grundsätzlich alles möglich ist - selbst das Aussperren des Konten-Eigentümers durch eine Passwortänderung. Mit diesem Zugang könnten zudem problemlos weitere Konten und kostenpflichtige Dienste angelegt und gebucht werden, betont Krauss. Beispielsweise könnten Eindringlinge kostenpflichtig Youtube-Tutorials mit Rekognition auswerten, um an weitere Zugangsdaten zu gelangen - auf Kosten des Youtube-Kanals. Dass ein Root-Konto gefunden würde, sei aber eher unrealistisch, meint Krauss.

Ein leicht lösbares Problem

Dabei lässt es sich sehr einfach besser machen: Die angelegten Konten müssten schlicht direkt nach der Präsentation gelöscht werden. "Es macht keinen Sinn, Testumgebungen herumliegen zu lassen - im Gegenteil, es ist sogar gefährlich", warnt Krauss. Noch besser wäre es, die Zugangsdaten erst gar nicht auf dem Bildschirm zu zeigen. Im Fall eines Tutorials oder Vortrages, der nicht live gestreamt wird, sollte das Passwort verpixelt werden.

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    13./14.09.2022, virtuell
Weitere IT-Trainings

Die Zwei-Faktor-Authentifizierung, die beim Thema Passwortsicherheit schnell genannt wird, ist hier ausnahmsweise keine Lösung. Denn mit den Zugangsdaten sollen sich meist nicht Menschen, sondern Maschinen bei den Diensten anmelden - einen Menschen TOTP-Codes eintippen oder den Button eines Fido-Sticks drücken zu lassen, wäre hier kontraproduktiv.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Rekognition findet Zugangsdaten für AWS
  1.  
  2. 1
  3. 2
  4. 3


Eheran 26. Jul 2020

Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was...

oYa3ema5 26. Jul 2020

Das Szenario einer Software, die AWS-Ressourcen nutzt, um bei Youtube neue AWS-Ressourcen...

FreiGeistler 25. Jul 2020

Ich finde nur unkenntlich gemachte. :-(

The$kull 25. Jul 2020

Oder wackelnde Masken bei Videos, wo man in mehreren Frames ingesamt den Schlüssel...



Aktuell auf der Startseite von Golem.de
James Webb Space Telescope
Das Weltraumteleskop wird mit Javascript betrieben

Die in der Raumfahrt verwendete Software ist manchmal kurios. Im Fall des JWST wird das ISIM mit Javascript kontrolliert und betrieben.

James Webb Space Telescope: Das Weltraumteleskop wird mit Javascript betrieben
Artikel
  1. Betrug: Wenn die Phishing-Mail wirklich von Paypal kommt
    Betrug
    Wenn die Phishing-Mail wirklich von Paypal kommt

    Die E-Mail stammt von Paypals Servern und weist auf eine unter Paypal.com einsehbare Transaktion hin. Doch hinter E-Mail und Hotline stecken Betrüger.

  2. ADAC-Test: Elektroautos als Zugmaschinen - was bringt's?
    ADAC-Test
    Elektroautos als Zugmaschinen - was bringt's?

    Der ADAC hat den Stromverbrauch von Elektroautos mit Anhängern und Fahrradgepäckträgern gemessen. Gute Noten gibt es dabei keine.

  3. Botnetz: Google blockiert Rekord-DDoS-Angriff
    Botnetz
    Google blockiert Rekord-DDoS-Angriff

    Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /