Tiago Madeira Inferências aleatórias de um cérebro em versão alpha

"Só se dedicará a um assunto com toda a seriedade alguém que esteja envolvido de modo imediato e que se ocupe dele com amor. É sempre de tais pessoas, e não dos assalariados, que vêm as grandes descobertas."
(Arthur Schopenhauer)

Arquivo do mês: April, 2008

« Artigos anteriores
Próximos artigos »

11/04/2008

Gerando tabelas de hash MD5

A idéia veio do nada. Na verdade, eu estava fazendo um freelance e procurando uma função pra "ordenar" um vetor aleatoriamente no PHP (no fim usei usort, que recebe uma função de comparação tipo o qsort do C) e me deparei com um comentário lá no PHP.net de um cara que usou geração de números aleatórios para criar um algoritmo de criptografia pra usar no lugar de MD5 e SHA, porque ele não confiava mais no MD5 e no SHA porque segundo ele existem tabelas na internet, o que torna um sistema muito vulnerável (para quem tem acesso ao banco de dados).

Procurei na internet e na verdade eu não encontrei muitos bancos de dados com vários MD5 não, ao menos não visíveis no Google quando se procura por um hash. Só pra strings como "1234", mas não achei nem pra "060790" (minha data de nascimento). Veja você mesmo: 81811b48cc07432fc550cb42d4ab3e8f

Então pensei: são 31 dias por mês, 12 meses por ano, 100 anos considerando que os anos são representados por dois dígitos. Isso me dá 31 x 12 x 100 = apenas 37200 hashes. O custo pra gerar isso deve ser minúsculo, por que ninguém faz?

A idéia de fazer com essas datas de nascimento veio do fato de vários usuários leigos que conheço utilizarem data de nascimento pra suas senhas (muito também pelo fato de eles usarem essa mesma senha nas senhas de seis dígitos numéricos do banco e esse tipo de coisa). Então lá fui eu pro código. A princípio escrevi em cerca de 30 segundos - 1 minuto o seguinte código em Ruby:

require "md5"
 
100.times do |ano|
        12.times do |j|
                mes = j+1
                31.times do |i|
                        dia = i+1
                        string = sprintf("%02d%02d%02d", dia, mes, ano)
                        md5 = MD5.new(string).to_s
                        puts "#{string}: #{md5}"
                end
        end
end

É funcional e até eficiente...

tiago@flick ~ $ time ruby genmd5.rb > hashes-ruby

real    0m1.662s
user    0m0.620s
sys     0m0.028s

Mas minha geekialidade não permitiu que eu parasse por aqui. Nesse momento eu já nem me lembrava do freelance que estava fazendo e resolvi ver como usar MD5 em C. Meu primeiro chute foi um man md5 no terminal, que já me retornou a resposta da vida, do universo e tudo mais: o cabeçalho openssl/md5.h e sua função MD5:

unsigned char *MD5(const unsigned char *d, unsigned long n,
                 unsigned char *md);

Então lá fui eu pro programa:

#include <stdio.h>
#include <openssl/md5.h>
 
int main() {
        int dia, mes, ano;
        unsigned char string[STRING_LENGTH], md[MD5_DIGEST_LENGTH];
        for (ano = 0; ano < 100; ano++) {
                for (mes = 0; mes < 12; mes++) {
                        for (dia = 0; dia < 31; dia++) {
                                sprintf(string, "%02d%02d%02d", dia+1, mes+1, ano);
                                printf("%s\n", MD5(string, sizeof(string), md));
                        }
                }
        }
        return 0;
}

Ao rodar, recebi saídas com caracteres estranhos e nenhum resultado visível. Corri pro Google. Procurei, procurei, e NINGUÉM usa essa maldita função MD5 do C num programa simples e não há exemplos nem howto de como utilizá-la. Depois de uns 30 minutos quebrando a cabeça (pra mais), percebi que alguns códigos que usavam isso na internet usavam %x (é o código pro printf imprimir inteiros hexadecimais) para imprimir caracteres do MD5 na tela. Aí encontrei algo assim:

printf("%x%x...%x%x", md[0], md[1], ..., md[14], md[15]);

(e pior que estou falando sério... tem gente na internet que não conhece for!)

E caiu a ficha. O MD5 tem 16 inteiros hexadecimais de um byte, 32 caracteres. Escrever o código abaixo me tomou bastante tempo, mas uma aprendizagem interessante e um ânimo pra voltar pro meu freelance:

#include <stdio.h>
#include <openssl/md5.h>
 
#define STRING_LENGTH 6
 
int main() {
        int dia, ano, mes;
        int i;
        unsigned char md[MD5_DIGEST_LENGTH], string[STRING_LENGTH];
 
        for (ano = 0; ano < 100; ano++) {
                for (mes = 0; mes < 12; mes++) {
                        for (dia = 0; dia < 31; dia++) {
                                sprintf(string, "%02d%02d%02d", dia+1, mes+1, ano);
                                MD5(string, sizeof(string), md);
                                printf("%s: ", string);
                                for (i = 0; i < 16; i++) {
                                        printf("%02x", md[i]); /* Note isso aqui! */
                                }
                                printf("\n");
                        }
                }
        }
        return 0;
}

O "Note isso aqui!" ainda foi uma sacanagem incrível, o código que eu disse do cara que imprimia %x%x%x... não funciona na prática, porque quando um dos dígitos é 0X, ele só imprime X.

Enfim compilei meu código com -lssl (importante para C-zeiros de primeira viagem) e voi lá:

tiago@flick ~ $ time ./md5 > hashes-c

real    0m0.397s
user    0m0.136s
sys     0m0.028s

Confesso que é coisa de nerd mesmo querer otimizar um código que só serve pra gerar um arquivo de hashes e já o fez, mas no momento em que terminei esse teste, pensei: preciso postar isso no blog pra documentar o uso da função MD5 no C, antes que mais alguém perca o tempo que eu perdi.

Pra quem se pergunta se eu realmente fiz tudo certo:

tiago@flick ~ $ diff senhas-c senhas-ruby
tiago@flick ~ $

(ie. ou eu errei nos dois ou eu não errei em nenhum)

Útil, não? Não. Na verdade isso não serve pra absolutamente nada, a não ser que você roube o banco de dados de alguém e esse alguém usa como senha a data de nascimento da sua mãe. Mas aí ele merece mesmo que você pegue sua senha, então isso não muda nada.

Dá pra adaptar o código pra gerar outras tabelas, mas por favor não use isso pra nada maligno, e falo sério. Meus fins foram absolutamente educacionais/acadêmicos (eu queria aprender a trabalhar com a função MD5 da biblioteca OpenSSL, não dominar o mundo) e estou postando aqui para ajudar os que também vão querer usar essa função.

Comentários de crackers serão ignorados.

Compare Preços de: notebooks, acer aspire, hp pavilion, computadores, pentium 4, nintendo wii, ps3, celulares, câmeras digitais

2 comentários

10/04/2008

HOWTO: Usar Pandora Radio no Brasil

O projeto Pandora é uma rádio on-line que funciona como um catálogo bem categorizado de milhares de CDs e é capaz de reproduzir músicas parecidas com o tipo que você diz para ele que gosta. Ficou confuso? É assim: eu entro lá e escrevo que gosto de Chico Buarque. Aí ele me diz: vamos tocar uma música do Chico que tem suas características principais como canto em português, violão leve, etc. Responda se você gostou ou não e baseado nessa escolha tocaremos outro estilo ou continuaríamos no mesmo.

É uma idéia muito legal porque no fim você ouve apenas o que gosta, mas também descobre novas músicas (porque ele não fica repetindo artista, álbum, música, mas só as características da música ou do artista que você selecionou a princípio).

Fazia tempo que eu não usava o Pandora porque num esforço comunitário de minha família, digitalizamos algumas centenas de CDs criando uma biblioteca de 35 gb em MP3. Porém, meu desktop (Durion 1.1) que era meu servidor de música (MPD) recentemente morreu (a placa-mãe deu pau) e, cansado de ouvir as poucas músicas que tinha aqui no laptop, resolvi ver como andava o Pandora.

Porém, fui surpreendido por uma mensagem dizendo que por causa de copyright brasileiros não podem mais usar o Pandora. Isso é um problema que eles dizem estar conversando com as autoridades para resolver, mas por hora não podem aceitar IPs brasileiros, o que me levou a buscar uma solução.

A primeira coisa que pensei foi procurar um servidor de proxy nos Estados Unidos. É fácil se você entrar no Public Proxy Servers, mas a velocidade deles realmente não me agrada, ainda mais pra ouvir uma rádio on-line. Então, pesquisei um pouco e depois de algum tempo encontrei a solução: SSH tunneling (túneis de SSH?)

Eu uso SSH todo dia e nunca tinha me dado conta que ele tem uma opção super interessante que é numa dada porta criar um tunelamento que pode ser usado como servidor SOCKS (proxy). Aí você pensa: mas qual a vantagem? De qualquer jeito você terá que usar um servidor proxy e ficar com a internet mais lenta. Sim, é verdade, mas o meu servidor na Dreamhost é sem dúvidas muito mais rápido que um proxy público e eu tenho certeza que minhas informações ficam seguras. Aliás, é por segurança que a maioria das pessoas usa SSH tunneling (ex.: pessoas com laptop numa rede wireless pública)

Vamos ao prático:

$ ssh -C -D 666 -N user@host

E configure seu navegador para usar Socks (eu usei V5, mas a V4 deve funcionar também) para o endereço: 127.0.0.1 (isso mesmo, não é o host que você colocou no SSH, é a sua máquina, porque ela que criou o servidor) na porta que você especificou com o parâmetro -D (nesse caso 666)

As opções do SSH que eu utilizei no exemplo são:

  • -C: comprime entrada e saída. Nos exemplos que eu peguei vinha, acredito que seja pras transferências serem mais rápidas.
  • -D [bind:]port: porta (e um endereço opcional) pro servidor rodar
  • -N: não executa nenhum comando (ie não abre um shell)

Resultado

Compare Preços de: iPod, home theater, plasma, lcd, câmeras digitais, games, ps3

7 comentários

10/04/2008

Programa Avançado de Matemática

Semana passada saiu o resultado da prova seletiva para o PAM, um programa aqui da UFSC que é, de acordo com o departamento de matemática:

... um "Honors Course" de Cálculo e Álgebra Linear, com 15 vagas, aberto a todos os alunos das áreas de Ciências Exatas da UFSC. Os alunos do PAM são hoje avidamente disputados por diversos grupos de pesquisa das Engenharias e da Matemática para trabalharem junto a laboratórios ou projetos de pesquisa.

Embora tenham escrito meu nome com H, felizmente consegui passar e as aulas começaram nessa semana, na hora do almoço e nos sábados de manhã. Para me tornar uma pessoa mais organizada e brincar com LaTeX (estava com saudade), resolvi arquivar todas as aulas de H(onors) Cálculo I, que incluem matemática básica desde propriedades básicas dos números reais (desculpem, essas foram passadas durante o curso preparatório, que eu não registrei) até provavelmente derivada (de acordo com o programa do curso).

No momento, começamos a estudar funções (a partir das definições de par ordenado, produto cartesiano e por aí vai) e o negócio é sensacional por todas as coisas serem abstraídas a matemática e entendidas a fundo e com isso aprendermos as coisas de verdade mesmo. Nada é assumido, todos os teoremas são provados a partir de inferência lógica, definições e axiomas.

Por causa disso, resolvi compartilhar meus arquivos com o mundo, gerando-os com latex2html e colocando-os na pasta pub do meu site (fiz um Makefile pra fazer isso pra mim, então não tenho desculpa pra esquecer de fazer).

Divirtam-se: PAM - H Cálculo I

PS: A versão que está no ar agora não tem a prova dos últimos 4 itens do Teorema 2, porque o Professor Jauber ficou de demonstrar na próxima aula. Em breve eu publico.

Compare Preços de: notebooks, acer aspire, hp pavilion, computadores, pentium 4, nintendo wii, ps3, celulares, câmeras digitais

Escreva um comentário!

« Artigos anteriores
Próximos artigos »

Assine via RSS

Assine gratuitamente o meu blog e receba todas as atualizações na hora, em seu agregador de feeds favorito.

Seja o 231º assinante

Busca no blog

Escreva palavras-chave para buscar e clique em Pesquisar.

Busca Google

Páginas

Veja também...

Blogs de minha autoria

Artigos por mês

Publicidade

Dreamhost

Creative Commons - Some rights reserved tiagomadeira.net © Todo o conteúdo deste blog, exceto quando especificado o contrário, está licenciado sob uma Licença Creative Commons por Tiago Madeira. Os comentários são de responsabilidade de seus respectivos autores.