ein Blog

eine sicherheitslücke im RZ

Neulich war ich mal wieder beim Hoster des vertrauens im Colo RZ.

die Racks sind dort mit mechanischen Zahlenschlössern mit Tasten gesichert.

ich hab mich schon seit ner weile gedanken darüber gemacht, wie das Technisch funktioniert. Nachdem es Hetzner wohl nicht so toll findet, wenn ich deren Rack-Schlösser zerlege bin ich auf ausprobieren beschränkt.

Besonders viel hab ich nicht festgestellt, ich weiß nur so viel: die Reihenfolge der Eingabe spielt keine Rolle (weswegen die Codes wohl immer in ansteigender Reihenfolge der Ziffern vergeben werden), außerdem, können Ziffern nicht doppelt vorkommen.

Jetzt kann sich jeder ausrechnen, wie viele Kombinationen es gibt.

PS: mit "Ziffern" meine ich eigentlich [0-9xyz] und nicht [0-9]. Außerdem beginnt jeder Code mit "C". Das ist eigentlich nur dazu da um die bisherige eingabe zurückzusetzen. Leider ist das den Mitarbeitern dort nicht bewusst, was zu verwirrung führt, wenn sie zur verifikation nach dem Schlosscode fragen.