50 kürzlich kompromittierte Instanzen der Google Cloud Platform wurden von Sicherheitsabteilungen des Anbieters analysiert. Jetzt liegen die Ergebnisse als Bericht vor und lassen Schlüsse zu, wie etwa die Angriffsfläche reduziert werden könnte. Eine Erkenntnis ist, dass es den Angreifern (noch immer) vor allem ums Geld geht. In der Regel gelingen Einbrüche aufgrund von Nachlässigkeiten der Nutzer. Dazu kommt, dass die Zeit bis zu einem erfolgreichen Angriff sehr kurz ist.

Die Einbrecher installierten auf 86 Prozent der infiltrierten Cloud-Instanzen Software zum Schürfen von Kryptowährungen. Die Analysten beobachteten auf anderen Instanzen, dass die Eindringlinge Youtube-Clips aufrufen ließen, um damit die Anzeigezähler hochzutreiben und größere Erlöse und Reichweite zu erlangen.

In rund der Hälfte der Fälle konnten Angreifer in die Cloud-Maschinen eindringen aufgrund schwacher oder nicht vorhandener Passwörter für Benutzerkonten oder APIs, die ohne Authentifizierung genutzt wurden. Durch Sicherheitslücken in Dritthersteller-Software, die Nutzer selber installiert hatten, gelang mehr als ein Viertel der Einbrüche. Bei einem weiteren Achtel der Fälle war eine Fehlkonfiguration in der Cloud-Instanz oder in Dritthersteller-Software die Ursache.

30 Minuten betrug der kürzeste beobachtete Zeitraum zwischen dem Online-Stellen einer Instanz und ihrer Kompromittierung. In weniger als acht Stunden wurden 40 Prozent der analysierten Systeme übernommen. Daraus schließen die Sicherheitsforscher, dass der öffentliche IP-Bereich permanent auf angreifbare Dienste gescannt wird.

(hv, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE