Ostatni tydzień sierpnia – pięciodniowe szkolenie „MS-2780 Maintaining a Microsoft SQL Server 2005 Database” (Compendium), w połowie września szkolenie dotyczące bankowości elektronicznej i pod koniec września skorzystam z zaproszenia na konferencję Microsoft Technology Summit 2009.
Jeśli chodzi o drugą pozycję – szkolenie administratorów, to jadę na taką imprezę już drugi raz. Poprzednia dotyczyła ogólnie oprogramowania firmy, z której usług korzystamy, tym razem tylko wąski wycinek. Początkowo bardzo się ucieszyłem, bo już w pierwszym miesiącu pracy miałem gotową prezentację pt. „<NAZWA PRODUKTU> – powinni tego zabronić”, a na szkoleniu ogólnym nie pozwolili mi wystąpić (podobno tematy były już zajęte). Jako, że produkt związany jest właśnie z bankowością elektroniczną, obiecali, że pozwolą mi coś powiedzieć tym razem. Niestety – pewnie dlatego, że na szkoleniu 75% to marketing i mogło by to źle wyglądać. Łudziłem się nawet, że skoro jest nowa wersja (taka -ng), z całkowicie inaczej rozwiązaną komunikacją, to moje wystąpienie pomoże przekonać wszystkich do aktualizacji.
Na pocieszenie zająłem się inżynierią wsteczną tegoż produktu. Wcześniej informowałem dostawcę, że hasła, które są używane przy uwierzytelnianiu są przesyłane jawnym tekstem, a co z tego wynika – każdy wie. Dostałem odpowiedź, że hasła użytkowników, które znają są szyfrowane i i tak nikomu nie uda się połączyć z serwerem w inny sposób jak ich klientem. Skoro można podsłuchać transmisję i protokół komunikacyjny jest powszechnie znany, to jaki problem? Na nieszczęście całego społeczeństwa nie dali się przekonać :/
No i przy użyciu Wireshark (mógłby być nawet goły tcpdump), MS Excel (bo na kartce nie chciało mi się zapisywać, a tam tabelki są fajne ;-)) i kilku procent mózgu doszedłem do tego jak szyfrować hasła. Poniżej funkcja w PHP (mała kosmetyka i w C się skompiluje):
function snpasswd($passwd) {
$str = '';
$key = date("Ymd");
for ($i=0; $i<strlen($passwd); $i++) {
$chr = dechex(ord($passwd[$i] ^ $key[$i%8]));
$chr = strlen($chr) < 2 ? "0".$chr : $chr;
$str .= $chr;
}
return $str;
}
XOR rządzi!
Tagi: szkolenie
[...] czuwam (czyt. aktualizuję), ale jestem na szkoleniu i nie mam czasu na opisywanie tego co robię. Niemniej nadrabiam teraz: Fortinet wydał nową [...]
[...] 35, z powodu pięciodniowego szkolenia zwany warszawskim (vide tydzień krakowski), zakończony. Z racji odległości miejsca szkolenia od [...]
A’propos XOR: http://wampir.mroczna-zaloga.org/archives/246-jak-nie-uzywac-xor.html