1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Wenn das Youtube…

RootCause Amazons Sicherheit ist Mangelhaft

  1. Thema

Neues Thema Ansicht wechseln


  1. RootCause Amazons Sicherheit ist Mangelhaft

    Autor: derdiedas 24.07.20 - 10:25

    Wie es vor zwei Jahren auf der BlackHat Parisa Tabriz so schön formuliert hat - suche nach der RootCause und behebe Diese statt Whac-A-Mole zu spielen.

    Sprich die RootCause ist das es keinen 2. Faktor gibt. Dabei wäre es so einfach - etwa eine AWS TokenApp für das Smartphone und schon wäre das Thema erledigt.

    Damit sind die Zugangsdaten wertlos, und die Sicherheit wäre massiv höher.

    Gruß DDD

  2. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: yourSQL 24.07.20 - 10:31

    RootCause dürfte der User sein. 2FA gibt es ja schon ewig bei AWS. Sowohl bei IAM als auch bei AWS SSO. Muss halt nur auch genutzt werden.

  3. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: goto10 24.07.20 - 10:44

    > Sprich die RootCause ist das es keinen 2. Faktor gibt. Dabei wäre es so
    > einfach - etwa eine AWS TokenApp für das Smartphone und schon wäre das
    > Thema erledigt.

    Wie hoch ist die Wahrscheinlichkeit, dass jemand, der die Zugangsdaten im Video lässt auch noch den QR Code für 2FA drin lässt? ;-)

  4. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: ThorstenMUC 24.07.20 - 11:57

    Die Antwort auf deine Idee hättest du, wenn du den Artikel bis zum Ende gelesen hättest :-(

  5. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: derdiedas 24.07.20 - 12:00

    Den User als die Ursache zu sehen ist eines der schlimmsten Kardinalsfehler der IT überhaupt. IT hat DAU sicher zu sein, sprich die IT ist so zu designen das erst eine Fehlerkette bei der man Absicht unterstellen kann zu einem Problem führen darf.

    Amazon kann mit wenigen Zeilen Code 2 Faktor zur Pflicht machen, und schon wäre das Problem nicht mehr möglich. Den User zum schuldigen zu deklarieren ist genau das Whac-A-Mole was wir in der IT eigentlich nicht mehr haben wollen.


    Gruß DDD

  6. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: derdiedas 24.07.20 - 12:00

    Und der gilt wie lange?

  7. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: derdiedas 24.07.20 - 12:12

    Was denn - diesen wirklich groben Unfug etwa?

    "Die Zwei-Faktor-Authentifizierung, die beim Thema Passwortsicherheit
    schnell genannt wird, ist hier ausnahmsweise keine Lösung. Denn mit den Zugangsdaten sollen sich meist nicht Menschen, sondern Maschinen bei den Diensten anmelden - einen Menschen TOTP-Codes eintippen oder den Button eines Fido-Sticks drücken zu lassen, wäre hier kontraproduktiv."

    Die Beispiele sind meist Menschen die sich an Ihre AdminGui von AWS&Co anmelden - also passt der Schlussatz schon einmal gar nicht. Und in einer Maschine zu Dienst Kommunikation haben statische Passwörter nichts - aber auch so gar nichts zu suchen(HMAC, OAuth etc. wären hier als sichere Verfahren zu nennen).

    Wie gesagt RootCause nicht verstanden (Die Abwesenheit von 2FA und Kryptographischer Methoden) und damit auch im Artikel den falschen Schluss gezogen. Das ist so doof, das bekomme ich einen Anflug von Fremdschämen.

    Gruß DDD

  8. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: wupme 24.07.20 - 12:15

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Den User als die Ursache zu sehen ist eines der schlimmsten Kardinalsfehler
    > der IT überhaupt. IT hat DAU sicher zu sein

    Nein nicht wenn es um Dinge wie AWS geht, da haben DAUs gar nichts zu suchen.

    > Amazon kann mit wenigen Zeilen Code 2 Faktor zur Pflicht machen, und schon
    > wäre das Problem nicht mehr möglich.

    Und das mimimi dass dann losgetreten wird hat auch keiner Bock drauf.
    Da geht man dann zur Konkurrenz wo es diese "unnötige 2 Faktor scheiße" nicht gibt.

    Wer außerdem so dumm ist sein Passwort in einem YouTube Video zu zeigen, dem ist eh nicht mehr zu helfen. Egal wie.

  9. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: McTristan 24.07.20 - 12:22

    Ermhh ... nee.
    Ein wenig Eigenverantwortung kann man ja wohl übernehmen.
    Die Zugangsdaten werden auch an Stellen verwendet wo 2fa nicht verwendet werden kann. AWS gibt dir echt alle Tools an die Hand aber verwenden musst du sie halt richtig.

    Wenn du dein Prinzip auf alle Lebensbereiche anwendest freust du dich bestimmt auch über eine schöne weiche Gummizelle wo man sich auch wirklich nicht verletzen kann...
    Oder der Kaffee ist nie heiß, oder das Eis nie kalt oder das Wasser nicht blau oder [...]

    Wie gesagt man muss alle Tools richtig benutzen können, ob nun AWS mit zeitbeschränkten Zugangsdaten, 2FA oder das löschen der Daten nach dem Youtubevideo oder bei YouTube die Daten verpixeln, ganz weglassen oder anonymisierten.

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Den User als die Ursache zu sehen ist eines der schlimmsten Kardinalsfehler
    > der IT überhaupt. IT hat DAU sicher zu sein, sprich die IT ist so zu
    > designen das erst eine Fehlerkette bei der man Absicht unterstellen kann zu
    > einem Problem führen darf.
    >
    > Amazon kann mit wenigen Zeilen Code 2 Faktor zur Pflicht machen, und schon
    > wäre das Problem nicht mehr möglich. Den User zum schuldigen zu deklarieren
    > ist genau das Whac-A-Mole was wir in der IT eigentlich nicht mehr haben
    > wollen.
    >
    > Gruß DDD

  10. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: ibsi 24.07.20 - 12:47

    Ich löse: Im Regelfall EINE Minute ;)

    (ich weiß, Du wusstest das)

  11. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: robinx999 24.07.20 - 16:25

    ibsi schrieb:
    --------------------------------------------------------------------------------
    > Ich löse: Im Regelfall EINE Minute ;)
    >
    > (ich weiß, Du wusstest das)

    Der QR Code gilt in der Regel permanent, damit wird ja gerade der Token Generator initialisiert (z.B.: freeotp). Das einzeln generierte Token ist dann meistens nur eine Minute oder 30 Sekunden lang gültig

  12. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: moen 24.07.20 - 16:27

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Den User als die Ursache zu sehen ist eines der schlimmsten Kardinalsfehler
    > der IT überhaupt. IT hat DAU sicher zu sein, sprich die IT ist so zu
    > designen das erst eine Fehlerkette bei der man Absicht unterstellen kann zu
    > einem Problem führen darf.

    Wer AWS benutzt sollte wohl auch 2FA kenne. Das wird beim Registrieren auch empfohlen zu aktivieren. Wer das ignoriert handelt absichtlich.

  13. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: subjord 25.07.20 - 10:35

    Die Daten sind allerdings vermutlich wirklich nur für Maschienen gedacht. Wo gibt es sonst 20 Ziffern lange Benutzernamen und 40 Ziffern lange Passwörter. Das sind vermutlich irgendwelche API keys.
    Wobei man da auch eine zwei Faktor Authentifizierung einrichten könnte. Von jeder Maschine die sich einloggen soll, könnte ja der public key vorher bei Amazon hinterlegt werden.
    Das würde allerdings nur bedingt etwas bringen, weil diese keys meistens in die Hände von Hackern fallen, wenn bestimmte Server gehackt werden auf denen dann sowohl der private key als auch der api key vom Nutzer liegen.

  14. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: XxXXXxxXxx 25.07.20 - 21:32

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Den User als die Ursache zu sehen ist eines der schlimmsten Kardinalsfehler
    > der IT überhaupt. IT hat DAU sicher zu sein, sprich die IT ist so zu
    > designen das erst eine Fehlerkette bei der man Absicht unterstellen kann zu
    > einem Problem führen darf...

    Du hast aber keine Erfahrung im Produktdesign oder?

    If you create a foolproof system, someone will invent a better fool...

  15. Re: RootCause Amazons Sicherheit ist Mangelhaft

    Autor: Eheran 26.07.20 - 23:26

    >IT hat DAU sicher zu sein
    Das ist durchaus korrekt. Da hier aber von IT-Leuten die Rede ist, die bei AWS was einrichten...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Servicezentrum der bayerischen Justiz, Amberg/Oberpfalz, Bamberg, Würzburg, Nürnberg, München
  2. Deutsche Bundesbank, Düsseldorf
  3. über KISSLING Personalberatung GmbH, Großraum Balingen
  4. Information und Technik Nordrhein-Westfalen (IT.NRW), Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmierer als Künstler: Von der Freiheit, Neues in Code zu denken
Programmierer als Künstler
Von der Freiheit, Neues in Code zu denken

Abgabetermine und Effizienzansprüche der Auftraggeber drängen viele dazu, Code nach Schema F abzuliefern. Dabei kann viel Gutes entstehen, wenn man Programmieren als Form von Kunst betrachtet.
Von Maja Hoock

  1. Ubuntu Canonical unterstützt Flutter-Framework unter Linux
  2. Complex Event Processing Informationen fast in Echtzeit auswerten
  3. Musik Software generiert Nirvana-Songtexte

Oneplus Nord im Test: Oneplus' starker Vorstoß in mittlere Preisregionen
Oneplus Nord im Test
Oneplus' starker Vorstoß in mittlere Preisregionen

Das Oneplus Nord ist kein Mittelklasse-Smartphone - dafür ist es zu gut. Für 400 Euro gibt es aktuell kaum ein Gerät mit vergleichbar gutem Ausstattungsmix.
Ein Test von Tobias Költzsch

  1. Smartphone Oneplus Nord kostet ab 400 Euro
  2. Smartphone Oneplus bestätigt Details zum neuen Nord

Probefahrt mit E-Vito Tourer: Der Kleintransporter mit der großen Reichweite
Probefahrt mit E-Vito Tourer
Der Kleintransporter mit der großen Reichweite

Der E-Vito Tourer von Mercedes-Benz hat nicht nur einen deutlich größeren Akku bekommen. Auch neue Assistenzsysteme haben wir ausprobiert.
Ein Bericht von Friedhelm Greis

  1. Staatliche Förderung BMW erhält 60 Millionen Euro für Akkuforschung
  2. Geländewagen General Motors zeigt Elektro-Hummer
  3. Rivian Erste E-Pick-ups kommen im Juni 2021