Original-URL des Artikels: https://www.golem.de/news/sicherheitsluecke-wenn-das-youtube-tutorial-die-cloud-zugangsdaten-leakt-2007-149702.html    Veröffentlicht: 24.07.2020 09:04    Kurz-URL: https://glm.io/149702

Sicherheitslücke

Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt

Sicherheitsforscher haben Hunderte Youtube-Tutorials ausgewertet und immer wieder Zugangsdaten entdeckt - mit diesen konnten sie sich auf AWS einloggen.

Ein klassischer Corona-Abend im Mai: Der IT-Sicherheits- und Cloud-Experte Thomas Krauss sieht sich einen Vortrag von einer AWS-Konferenz auf Youtube an. Dort richtet der Speaker gerade ein neues Nutzerkonto samt Passwort ein und erklärt, er müsse sehr schnell machen - damit der Passcode nicht gesehen werden könne. "Warte mal kurz", denkt sich Krauss, spult das Video ein paar Frames zurück und sieht den Zugangscode.

Der Redner auf der AWS-Konferenz ist nur ein Beispiel von vielen. Auf Youtube gibt es etliche Mitschnitte von Konferenzen und Tutorials, bei denen die Vortragenden Cloud-Dienste mit Nutzerkonten einrichten und Zugangsdaten generieren und kopieren. Gemeinsam mit seinen Arbeitskollegen bei der Pentesting-Firma Syss beginnt Krauss, nach Zugangsdaten in Youtube-Videos zu suchen - und wird immer wieder fündig. Ein Sicherheitsproblem.

"Bei den meisten Tutorials werden virtuelle Maschinen eingesetzt, da bringen einem die Zugangsdaten oft nicht viel, aber bei Cloud-Diensten kann sich jeder mit den Zugangsdaten anmelden", erklärt Krauss. Löschen die Vortragenden die Konten nicht unverzüglich, können die Daten von Dritten missbraucht werden, beispielsweise um kostenpflichtige Services zu nutzen oder Bitcoinmining zu betreiben.

Passwörter in fast jedem fünften Youtube-Tutorial

Die Syss-Mitarbeiter wollen wissen, wie groß das Problem wirklich ist und beginnen damit, auf Youtube nach Videos zu suchen, in denen Cloud-Zugangsdaten stecken könnten. Die Videos sehen sie händisch durch und speichern ihre URLs und die Zugangsdaten in einer Liste. "Meist werden die Konten am Ende des ersten Drittels der Tutorials angelegt", erklärt Krauss. Insgesamt sehen sie sich rund 550 Youtube-Videos an und finden in 100 Videos Zugangsdaten. Allerdings sind nicht alle gleich gut lesbar. Vor allem 0 und O oder I und l sehen je nach Schriftart im Terminal oder im Editor ziemlich gleich aus.

Also schreibt der IT-Security-Consultant Fabian Krone kurzerhand ein Tool, das die verschiedenen Möglichkeiten generiert und bei AWS durchprobiert. Mit sechs der 100 entdeckten Zugangsdaten können die Sicherheitsforscher sich tatsächlich bei AWS anmelden - die Vortragenden haben die Konten also nicht gelöscht. "Zwischen einem und sechs Prozent der Cloud-Tutorials auf Youtube enthalten valide Zugangsdaten", schätzt Krauss. "Wir haben die Betroffenen über die Zugangsdatenfunde informiert."

Amazon guckt Youtube

Doch über 500 Youtube-Tutorials für sechs valide Zugangsdaten durchzuackern, ist aufwendig. "Die kognitive Aufgabe ist es, Text in einem Video zu erkennen", erklärt Krauss. "Das können auch Maschinen." Um automatisiert nach den AWS-Zugangsdaten zu suchen, greift er ironischerweise auf Amazons Videoauswertungsdienst Rekognition zurück. Das funktioniert zwar, erfordert aber einiges an Arbeit, denn Rekognition versteht noch viel mehr Zeichen falsch als Menschen.

Rekognition findet Zugangsdaten für AWS

Um den Prozess komplett zu automatisieren, schreibt Krauss ein Skript, das ein AWS-Konto, einen AWS-Client und die Software Youtube-DL voraussetzt. Wird es mit einem Youtube-Link gestartet, lädt es in einem ersten Schritt das Video herunter und konvertiert es. Anschließend wird es in ein AWS-Bucket hochgeladen und die Video-Auswertung mit Rekognition wird gestartet.

"Das geht nicht so schnell, wie man es bei einer Cloud erwarten würde", sagt Krauss. Die Auswertung eines 20 Minuten langen Videos dauere sechs bis acht Minuten und koste zwei US-Dollar - neue AWS-Konten enthalten jedoch im ersten Jahr 1.000 Freiminuten pro Monat. Das Ergebnis der Auswertung ist eine rund 100 MByte große Textdatei pro Video, die neben dem erkannten Text auch den Zeitpunkt und die geometrische Fundstelle enthält. Krauss interessiert sich jedoch nur für den erkannten Text und löscht alles andere.

Danach nutzt er den Umstand aus, dass die von AWS erstellten Nutzernamen 20 Zeichen lang und komplett groß geschrieben sind. Ähnliches gilt für die generierten Passwörter, die aus 40 zufälligen Zeichen bestehen. Nach diesen beiden Mustern durchsucht sein Skript den erkannten Text. "Dabei gibt es kaum False-Positives, die Muster sind recht eindeutig", erklärt Krauss. Damit erkennt er das meiste, was zuvor auch die Menschen erkannt hatten, aber nicht alles.

Rekognition missversteht Zeichen

Rekognition verwechselt nicht nur 0 und O, sondern beispielsweise auch + und t. "Teilweise standen + und t sogar direkt nebeneinander, jedes Grundschulkind hätte den Unterschied sofort erkannt - aber Rekognition nicht", kritisiert Krauss die Technik. Entsprechend musste das Tool, das die verschiedenen menschlichen Fehlinterpretationen enthält, deutlich erweitert werden. Die verschiedenen Nutzernamen und Passwortkombinationen müssen anschließend nur noch bei AWS durchprobiert werden. Auch das übernimmt das Tool. Das Skript wollen die Sicherheitsforscher demnächst veröffentlichen.

Im Test konnten sich die Sicherheitsforscher, wie gesagt, mit sechs Prozent der entdeckten Zugangsdaten erfolgreich anmelden. Das ist erstaunlich viel, bedenkt man, dass hinter den Tutorials Fachleute stecken, die definitiv wissen, wie ein richtiger Umgang mit Zugangsdaten aussieht und was mit ihnen alles angestellt werden könnte.

"Das sind menschliche Fehler, die aus Leichtsinnigkeit entstehen, aber nicht aus mangelndem Wissen", sagt Krauss. "Niemand würde sein Passwort sichtbar vor Zuschauern eintippen." Krauss vermutet, dass die langen und zufälligen Benutzernamen und Passwörter ein Gefühl von falscher Sicherheit vermitteln. Solche Zugangsdaten ließen sich zwar niemals durch Ausprobieren (Brute Force) knacken, aber das müssten sie ja auch nicht, wenn sie im Video gezeigt würden, konstatiert Krauss.

Doch welcher Schaden lässt sich nun mit den Daten anrichten?

Angriffe mit Zugangsdaten aus Youtube-Tutorials?

Krauss vermutet, dass die meisten Tutorials in Testumgebungen erstellt werden. An sensible Daten dürften Angreifende also üblicherweise nicht gelangen. "Fast jeder Dienst hat die Berechtigung, kostenbewährte Services zu nutzen", erklärt Krauss. Hier sieht er die wahrscheinlichste Gefahr: Kriminelle könnten AWS-Services auf Kosten der Cloud-Fachleute auf Youtube nutzen. Denn beim Erstellen eines AWS-Kontos muss bereits eine Kreditkarte hinterlegt werden.

Je nach Art des Nutzerkontos und der Berechtigungen könnten die übernommenen AWS-Dienste auch als Ausgangspunkt für Angriffe verwendet werden. Beispielsweise wären DDoS-Angriffe oder Bot-Netzwerke denkbar, allerdings dürfte Amazon diese Nutzungsweisen, sollten sie im größeren Stil geschehen, erkennen und unterbinden. Kriminelle könnten aber auch schlicht Kryptowährungen schürfen, Schadsoftware oder Command-and-Control-Informationen für Bot-Netzwerke ablegen. Auch das Verschleiern von Angriffen über den Cloud-Dienst (Sprungserver) wäre also denkbar.

Im schlimmsten Fall könnten Angreifende an die Zugangsdaten eines Root-Accounts gelangen, mit dem grundsätzlich alles möglich ist - selbst das Aussperren des Konten-Eigentümers durch eine Passwortänderung. Mit diesem Zugang könnten zudem problemlos weitere Konten und kostenpflichtige Dienste angelegt und gebucht werden, betont Krauss. Beispielsweise könnten Eindringlinge kostenpflichtig Youtube-Tutorials mit Rekognition auswerten, um an weitere Zugangsdaten zu gelangen - auf Kosten des Youtube-Kanals. Dass ein Root-Konto gefunden würde, sei aber eher unrealistisch, meint Krauss.

Ein leicht lösbares Problem

Dabei lässt es sich sehr einfach besser machen: Die angelegten Konten müssten schlicht direkt nach der Präsentation gelöscht werden. "Es macht keinen Sinn, Testumgebungen herumliegen zu lassen - im Gegenteil, es ist sogar gefährlich", warnt Krauss. Noch besser wäre es, die Zugangsdaten erst gar nicht auf dem Bildschirm zu zeigen. Im Fall eines Tutorials oder Vortrages, der nicht live gestreamt wird, sollte das Passwort verpixelt werden.

Die Zwei-Faktor-Authentifizierung, die beim Thema Passwortsicherheit schnell genannt wird, ist hier ausnahmsweise keine Lösung. Denn mit den Zugangsdaten sollen sich meist nicht Menschen, sondern Maschinen bei den Diensten anmelden - einen Menschen TOTP-Codes eintippen oder den Button eines Fido-Sticks drücken zu lassen, wäre hier kontraproduktiv.

 (mtr)


Verwandte Artikel:
mTAN abgefangen: Betrüger räumten Konten in Österreich leer   
(13.03.2020, https://glm.io/147234 )
Gesichter, Körper, Operationen: Patientendaten von Schönheits-OPs in ungeschützter Datenbank   
(15.02.2020, https://glm.io/146654 )
Software: Fawkes soll vor Gesichtserkennung schützen   
(23.07.2020, https://glm.io/149834 )
Sicherheitslücken: Abus Alarmanlage kann per Funk ausgeschaltet werden   
(26.03.2019, https://glm.io/140268 )
Amazon Rekognition: US-Polizei darf Gesichtserkennung ein Jahr nicht verwenden   
(11.06.2020, https://glm.io/149022 )

© 1997–2020 Golem.de, https://www.golem.de/