bardóczi ákos @post.r

A jelszavakkal kapcsolatos közhelyeket annyival egészíteném ki, hogy ha meg akarjuk védeni azt, akkor nem feltétlenül a legbölcsebb dolog feltolni a netre… Nem, titkosítva sem. Igaz, hogy a mai jelszókezelő szolgáltatások olyan titkosítást használnak, amik elvben lehetetlenné teszik a jelszavak kinyerését a mesterjelszó ismerete nélkül, egy pillanatig se felejtsük el, hogy hány és hány, matematikailag cutting-edge titkosítást használó szoftverben találnak hibát rendszeresen! Azaz amikor valami konkrétan észrevétlenül maradt programozási hiba miatt törhető.

Én sosem használtam netes jelszóemlékeztető szolgáltatásokat, viszont ha betartom a jelszó erősségével kapcsolatos irányelveket és természetesen nem használom ugyanazt a jelszót még csak két azonos helyen sem, két lehetőség marad: az egyik, hogy kitalálok valami rendszert arra, hogy hogyan képezzem a jelszavaim, ami függ a szolgáltatás nevétől vagy típusától például, a másik pedig az, hogy a jelszavakat valahova felirkálom.

A következőben egy mindenki számára kivitelezhető módszert mutatok be arra, hogy hova érdemes a jelszavakat felirkálni, ha már a mai világban egyszerűen nincs más ésszerű megoldás, hiszen ha használsz olyan 20 jelszót, amit meg is változtatgatsz havonta és azok kellően bonyolultak is, kizárt, hogy mindet fejben tudd tartani.

Mit NE tegyünk? Ha már elvetettük a netes jelszókezelő alkalmazásokat, kézenfekvőnek tűnik létrehozni valamilyen Office dokumentumot, Excelt vagy Word-öt, amibe aztán szépen bemásoljuk az összes jelszót és azért, hogy egyetlen megnyitással vagy a fájl ellopásával mégse kerüljenek ezek a hozzáférési adatok olyanhoz, akihez nagyon nem kellene, az Office fájlt titkosítva mentjük. Mi ezzel a baj? Ismétcsak tisztában kell lenni vele, hogy a dokumentumok jelszóval való védelme rendeltetése szerint mire alkalmas és mire nem. Az Office dokumentumokat ugyan többféle titkosítással is menthetjük, alapvetően ezek gyenge titkosítások. Másrészt ha megnyitsz például a egyszerű DOC fájlt, akkor megjelenik tipikusan a vele azonos lévő mappában egy rejtett fájl, ami gyakorlatilag annak a fájlnak a nyers példánya, amin aktuálisan dolgozol és törlődik, ha a dokumentumot bezártad. Ha viszont valaki másnak is hozzáférése van a munkamappához például hálózati meghajtón keresztül vagy éppen csak lefagy a gép, igen, kitaláltad: a Word vagy Excel által átmenetileg létrehozott fájlt szépen ott marad, titkosítatlanul vagy épphogy titkosítva, aztán később viheti, aki látja.

Mennyivel elegánsabb, ha egy jelszót olyan helyen tárolunk, ahol ember nem gondolná, hogy ott tároljuk, másrészt mégis bizonyos esetekben kellő biztonságot ad: a szteganográfia.

A weben kismillió megoldás akár online is kínálja, hogy az általad beírt szöveget, mondjuk jelszavakat belevési egy MP3-ba, képfájlba, akármibe, ami aztán később letölthető, megnyitva pontosan olyan, mintha MP3 illetve képfájl lenne, viszont a megfelelő szerkesztővel megnyitva kinyerhető a bele rejtett szöveg. Ilyen webes szolgáltatásokat nem mernék ajánlani senkinek, hiszen nem lehetünk benne biztosak, hogy a szolgáltatás nem épphogy a jelszavak lenyúlására van kitalálva.

A legegyszerűbb megoldások egyikét viszont megmutatom, amit nevezhetnénk akár kézműves kriptónak is. Az alapján az jelenti, hogy a különböző fájltípusok, jól ismert és alaposan dokumentált szerkezettel rendelkeznek. Ha például érdekel, hogy egy egyszerű JPEG kép, ami semmilyen metaadatot nem tartalmaz, tényleg csak annyit, hogy tömörített vagy sem, milyen színmélységet használ, milyen a szélessége és hosszúsága, nos, itt körülbelül egy atomrakéta tervrajzának pontosságával van leírva, holott tudjuk, hogy a JPEG számtalan metaadatot tartalmazhat és tartalmaz is, mint például azt, hogy milyen fényképezőgéppel készült a fotó, a Photoshop melyik verziójával igazítottak rajta és így tovább.

Ami a mi szempontunkból lényeges egyszerűsítve, hogy a mostani JPEG egy olyan tömörített képfájl típus, ami többek közt ellenőrzőösszeget is tartalmaz, azt is, hogy a kép meddig tekinthető még egyáltalán az eredeti képnek. Bizonyos esetekben ha csak minimálisan sérül a fájl olyan módon, hogy néhány bájt megváltozik benne, a képet vagy meg lehet nyitni vagy nem, megint más esetben, vegyük azt az egyszerű példát, amikor a JPEG tömörítettsége 0, akár jelentős „zaj” is lehet a fájlon belül, amit egyszerűen nem fog értelmezni a képnézegető program vagy a sérüléseket figyelmen kívül hagyja, de természetesen utazik a fájllal együtt, ha például azt lemásoljuk. És itt a lényeg: hogy ez a bűvös zaj bizonyos terjedelmi korláton belül szinte bármi lehet.

Első lépésben tehát szükség van egy tetszőleges formátumú képfájlra. Ezt követően egy tetszőleges képszerkesztővel nyissuk meg és mentsük el JPEG-be olyan módon, hogy egyáltalán ne alkalmazzon a képszerkesztő tömörítést.

Ezt követően az új, teljesen tömörítetlen fájlt nyissuk meg egy olyan szövegszerkesztővel, ami plain text szerkesztésére alkalmas, azaz mondjuk notepaddel vagy ahogy tetszik, valami ilyen rémség fog látszódni.

Ezt követően egy ritkább helyre [nem magyarázom] helyezzünk egy tetszőleges szöveget, mondjuk egy részletet Shakira-tól.

A nyers szövegként szerkesztett fájlt mentsük az eredeti formátumban, majd ellenőrizzük, hogy megnyitható-e. Megnyitható!

Ezt követően, ha előkukáznánk azt a szövegrészt, amit a képbe rejtettünk, csak egy egyszerű szöveges böngésző kell.

Persze, erre lehet mondani, hogy a JPEG különböző metaadat mezőjébe is bőven el lehetne rejteni ezeket, a JPEG metaadatait a Windows és az OSX nagyon gyorsan indexeli és aszerint is kereshetünk ugye. Viszont abban az esetben, ha adott egy mappa mondjuk ezer metallica-s képpel, még egy erősebb géppel is piszok sok időbe telik, hogy valaki, aki ki akarja nyerni az így elrejtett szöveget, megtalálja azt, hiszen alapvetően fájlformátumtól függetlenül egy adott szövegrészre keresni fájlok belsejében egy komolyabb fájlkezelővel vagy scripttel még mindig veszettül lassú.

Természetesen ajánlható ezen kívül, hogy a mappát, aminek a képei közé rejtettük a belevarrt szövegrészt, titkosítsuk linuxnál Truecrypttel, Windows esetén EFS-sel, OSX esetén pedig Filevaulttal, a legnormálisabb megoldás pedig persze az, ha pendrive-on van, az, hogy ez mezei pendrive, EFS-re formázott vagy hardveres titkosítást alkalmazó, már csak attól függ, hogy az igen csak hasznos paranoiditás milyen szintjén vagyunk.

Amolyan össznépi tévhit a híres magyar leleményesség. Ami leginkább olyan, mint a magyar foci, a kiemelkedően erős közoktatás és hasonlók: valamikor volt talán egy pillanatig, azóta semmi jele, de az emléket dédelgeti a nép azóta is. Bezzzeg a.. Na kik? Nem, most az indiaiak. Most nem foglalkozom a olyan népcsoportokkal, akiknél többek közt a populáció átlag IQ-ja is magasabb meg van egy rakás paraméter, ami kell a leleményességhez.

Szóval: van ez a régi, lassan már csak papírnehezéknek alkalmas Blackberrym, de azért nem ártana, ha legalább egy vállalható telefon lenne, amelyik konkrétan fel is tudja venni a beszélgetéseket, elvben van rá app, nem? Na most ha az iPhone-osok vagy Windwos Phone-osok szétnéznek az alkalmazásboltban, egészen pontosan 0, azaz nulla darab olyan appot fognak találni, ami a telefonbeszélgetéseket rögzíti. Egyszerűen nem vállalja be a MS és az Apple az esetleges azzal kapcsolatos cirkusz, ami abból adódhat, hogy egy államban nem a törvénynek megfelelően használják az alkalmazást [pl. Magyarországon előre közölni kell a beszélgetőpartnerrel, ha a hívást rögzítik]. Az Android alkalmazásboltjai persze rogyásig vannak az ilyenekkel, de azt ugye bottal sem piszkálnám. Persze, persze, vannak központosított távmenedzsment szoftverek iOS-re és Windows Phone-ra is, amik lehetővé teszik a beszélgetés rögzítését, ezek nyilván a céges környezetre vannak szabva, egy magánszemély nem fog csillió' forintot fizetni csak azért, hogy a beszélgetéseit rögzíteni tudja.

Na de a Blackberry! Ha az alkalmazásboltról van szó, ha nem is akkora pöcegödör, mint a többi, azért itt is van szemét bőségesen: rendszerint a hívásrögzítő appoknak egy freemium változata, amelyik például  korlátozza a maximálisan felvehető beszélgetés hosszát és persze meg lehet venni néhány garasért a korlátozásoktól mentes teljes változatot.

Szembetűnő, hogy sokszor egy adott célra kitalált alkalmazás neve nagyon hasonló, a leírás akár  teljesen azonos is lehet, a review-k közt pedig a felhasználók egy része óva inti a letöltéstől a többieket scam-et kiáltva, megint másik része pedig kitűnő alkalmazásnak tartja, nem világos persze, hogy mennyi review valódi, több viszonyítási alap pedig nem nagyon van. Nos, ezeknél az alkalmazásoknál nem ritkán az a helyzet, hogy valamelyik zugcég, amelyiknek fejlesztő cégként még csak saját webhelye sincs, supportról nem is beszélve, feljeszt például beszélgetések rögzítésére egy alkalmazást, amelyik átmegy ugyan a Blackberry azon tesztjein, ami kell az alkalmazásboltban lévő feltöltéshez, de az alkalmazás minősége összességében nagyon silány. Főleg ezeknél az alkalmazásoknál, ha közben fut céges távmenedzsment alkalmazás is a szedres mobilon, a hülye felhasználó nem fogja érteni, hogy az ő saját hangrögzítője emiatt miért nem működik, holott az azért a jobb appoknál le van írva.
Amikor már vállalhatatlan a renoméja egy-egy ilyen alkalmazásnak, akkor a zugcég fogja magát, regisztrál teljesen más fejlesztői néven, aztán tolja fel gyakorlatilag ugyanazt az alkalmazást, ahogy írtam, sokszor még az app leírása is azonos, jobb esetben az app feljavított változata készül el, aztán a felhasználó ismét fizet érte.

Nincs mese, előfordulhat, hogy egy beszélgetést rögzíteni kell, amit meg lehet oldani persze telefontól függetlenül barkács módszerrel is, de egy stabilabb megoldás hosszú távon több hivatásban elengedhetetlen. Több munkakörben előfordulhat, hogy bejövő hívás érkezik egy olyan mobilra, amelyik rögzíteni ugyan nem tud, a hívó fél miatt mégis fel kellene venni a csevejt, ekkor egyszerűen a hívás átirányítható olyam mobilra, amelyik meg tudja rögzíteni és le van a gond. Konkrét példával: tételezzük fel, Mr. Csúnyabácsi hív a +36701234567 számomon, amit látok is a kijelzőn, viszont az iPhone-ommal használom a számot, akkor be van állítva egy olyan feltételes átirányítás például arra az esetre, ha nem veszem fel 15 másodpercig, ekkor átirányítódik a +36301234567 –es számomra, amit viszont a Blackberryvel használok vagy még kifinomultabb eszköz van a végére drótozva és azon a beszélgetés tökéletes rögzítésére alkalmas eszközzel fogadom a hívást.

Már maga a téma is nyomasztó, szóval nem fogok elmélkedni ezen, de megvan a bizarr bája, hogy évek óta minden mobilban van fotózási és videókészítési lehetőség, valahogy mégsem lihegik túl, hogy a felhasználó ne használja olyan módon, hogy azzal törvényt sértsen, ami szinte sosem valósul meg, hiszen például Magyarországon eleve csak arról készíthető kép vagy videó alapesetben, aki határozottan beleegyzett, akármekkora nonszensz is, egyébként törvénybe ütközik.  Márpedig ez a gyakoribb, mégsem állt elő soha senki azzal a gondolattal, hogy tilcsákbeakamerásmobilt. Bezzeg a hangfelvétel, hűűű, na annak aztán akkora a társadalmi veszélyessége, hogy na, azt már nem! Érti ezt valaki?

Visszatérve az eredeti témához, a BerryOS 7-et nem fejlesztik tovább, ergo új alkalmazás sem jelent meg rá már ezer éve, egy olyan fejlesztő cégtől pedig, amelyiknek még webhelye sincs, nem várható el, hogy a Blackberry 10-es oprendszerére is tegye elérhetővé az appot anélkül, hogy ismét meg kellene venni azt. Ami meg nekem perpillanat van, azt az appot 2012-ben (!!) frissítették utoljára, viszont pazarul működik.

Ezek a fejlesztő cégek persze indiai fejlesztőkhöz köthetők, ahogy az néhány laza klikkeléssel megállapítható.

Az önmagát Kiber Kalifátusnak nevezező szervezet 54000 Twitter-fiókot tört fel és tett letölthetővé, ugyan még nem igazolt, hogy az adatbázisban lévő belépési adatok mindegyike valós.

Ugyan túl sok minden még nem állapítható meg biztosan, de több hírforrás szerint több, vezető beosztásban lévő CIA és NSA alkalmazott Twitter-fiókjának feltörése mellett az önmagát Kiber Kalifátusnak nevező, Junaid Hussain által felállított szervezet az alkalmazottak telefonszámát és a címét is közzé tette.

Amit az ISIS-szimpatizánsok egyértelművé tettek, hogy az akció bosszú volt Junaid Hussain brit iszlamista szélsőséges augusztusi meggyilkolása miatt.

Az akció egyébként a szintén iszlamista Crackas With Attitude akciója után egy nappal történt, amikor is egy másik kormányhivatal portálja felett vették át az uralmat.

Lehet, hogy úgy tűnik, hogy a támadások gyomoridegből mennek, hamarosan elmagyarázom, hogy miért messze nem.

 

Kép: thehackernews.com

Egy nemrég megjelent BBC beszámolót követően több hírportál is foglalkozott vele, hogy a Howard Hughes Intézet kutatói sikeresen alkalmazták a virtuális valóságot egérkísérletben.  
 

Konkrétan olyan környezetet állítottak fel, aminek következtében az egér elvben úgy viselkedett, mintha valódi környezetben lenne, a mért adatokra hivatkozva pedig a kutatás egyik vezetője nem kevesebbet állított, mint azt, hogy a kísérlettel sikerülhet jobban megérteni az emlékezet neurobiológiai alapjait vagy éppen az Alzheimer-kór (!!) kialakulását.  
 
 
Konkrétan a kísérleti egér agyába egy titán implantátumot rögzítettek olyan módon, hogy az egeret elaltatták izofluránnal, majd egy altató injekció beadása után a fej bőrét, majd a csonthártyát eltávolították illetve a koponyának azt a részét, ami embernél az agykoponyának felel meg. Ezt követően a megskalpolt egér implantátumának rögzítéséhez cianoakrilátot használtak, buprenorfin injekcióval oldották meg az állat fájdalomcsillapítását, illetve folyamatosan ketoprofent adagoltak a gyulladás megelőzésére a kísérlet során. Ezt követően az egész fejét egy adott fix pozícióba rögzítették. Szinte mellékes, hogy melyik hatóanyag hogyan is hat, ami biztosra vehető, hogy ezt követően az agyműtött egér már eleve nem viselkedhetett úgy, mint a beavatkozás előtt. Az eljárás ugyan felháborítónak tűnhet, az ilyen protokollok több állatkísérletnél elfogadottak, az pedig a kutató felelőssége, hogy egy kísérlethez mikor tart indokoltnak ilyen eljárásokat. Ugyan szóba kerül a tanulás és az emlékezés megfigyelése, ezzel a módszerrel eleve nem lehetséges megfigyelni azt, ahogyan ezek a magasabb rendű idegrendszeri folyamatok működnek, ugyanis az emlékezetben és a tanulásban nem csak az embernél van kulcs fontosságú szerepe az alvásnak, ugyanakkor a kísérletben használt egér nyilván alvásdeprivációnak lehetett kitéve, a koponyafedő eltávolításával járó kísérleteket a kísérleti állatok legfeljebb néhány napnál tovább eleve nem élik túl.  
 
Az előkészítés után az egeret egy nagy precizitású futópadra helyezték rögzített fejjel, alapvetően vizuális ingereken keresztül pedig azokat az idegrendszeri régiókat stimulálták, amik hasonló lehet ahhoz, amilyen stimulusokat egy egér az instrumentális kondicionálás közben kap, azaz amikor például megtanul tájékozódni egy labirintusban. Az instrumentális kondicionálás lényege, hogy az állat próba-szerencse alapon tanul meg valamit, lényegében klasszikus kondicionálási folyamatok láncolataként, a közismert klasszikus kondicionálás pedig egyszerűen arra épül, hogy ha valamilyen viselkedést követően az állatot jutalom éri, ennek megfelelően ismétli fogja azt, ugyanaz az inger pedig triggerként fog kiváltódni, aminek legismertebb esete Pavlov kutyás kísérlete. A laikusok és a kutatók egyaránt gyakran nevezik a jelenséget állati értelemnek és bizonyos szempontból valóban értelmesek is, ennek viszont az emberi tanulásban nagyon sokszor domináló absztrakciós készségekhez semmi köze.  
 
A kutatás ugyan nem ír róla, az én ismereteim alapján a cikkben bemutatott agyi aktivitás mintázata nem csak instrumentális avagy klasszikus kondicionáláskor jelenik meg, hanem sok más esetben is, főleg ha az egeret ilyen eljárásoknak vetik alá. A kutatók különböző nagy érzékenységű eszközzel, például infrakamerával folyamatosan rögzítették az egér bajuszának mozgását, aminek a tájékozódásban és a tanulásban alapvető szerepe van, majd ebből próbáltak következtetéseket levonni, alapvetően azt tapasztalták, hogy a szenzoros és motoros pályák ahhoz hasonló aktivitást mutattak, amikről korábban is feltételezték, hogy a tanulásnál, precízebben fogalmazva a kondicionálás ezen típusánál jellemzőek lehetnek.  
 
A kétségkívül látványos kísérletben megpróbáltak tisztázni olyan összefüggéseket is, amikkel elvileg több tudható meg a motorikus jelenségek idegélettani működésekről és egyáltalán a tanulás neurobiológiai alapjairól. A kísérlet valóban látványos lett ugyan, csak éppenséggel sokak számára nem szolgáltat meggyőző bizonyítékot még azzal kapcsolatban sem, hogy a kutatóknak valóban azokat az előzetes hipotéziseket sikerült igazolniuk, amit akartak.  
 
Némi fanyarsággal elmondható, hogy ha a kísérletnek volt is valami értelme, nagyon úgy fest, hogy biztos következtetésként csak annyi vonható le, hogy őrült kísérletekben még mindig próbálják egymást túllicitálni egyébként világhírű és komoly tudományos teljesítményt rendszeresen felmutató kutatóintézetek. A kísérlet pedig minél látványosabb, az alkalmazott módszerek minél inkább high-tech módszerek, nem csak a kutatók, hanem a laikusok számára is annál menőbb lesz látszólag. Azaz az ilyen cikkekre idővel nem csak a szaksajtó figyel fel.  
 
Állatkísérletekre természetesen elengedhetetlen szükség van például a gyógyszerfejlesztés bizonyos fázisaiban és az alapkutatásban is bőven akad olyan, amikor az ilyen eljárások gyakorlatilag megkerülhetetlenek. A másik biztos következtetés, hogy amikor kívülállók ilyen állatnyúzásról tudomást szereznek olyan módon, hogy esélyük sincs megérteni a kísérletet egészében, az magyarázat arra, hogy mi tartja életben az olyan totálisan őrült állatvédő szervezeteket, amik olyan módon küzdenek az állatok jogaiért, hogy az mindenféle szakmaiságot nélkülöz, ideértve a korszerű bioetikai megfontolásokat is. Ilyen például az Egyesült Államokban jól ismert PETA. Ez pedig rendszerint idővel átcsorog a tudománypolitikába olyan módon, hogy különböző államok illetve nemzetközi egyezmények jogi szabályozással értelmetlenül megnehezítik az állatkísérletet igénylő kutatásokat, amikről egy pillanatig se felejtsük el, hogy az ilyen kutatásokból származó ismeretek az állatgyógyászatban és a humán orvoslásban egyaránt fontosak. 

Szóval ha túl sok látogatód van egyszerre - vagy ki tudja, hogy miért - a blogmotor egyszerűen nem engedi a posztban hagyott hibákat kijavítani, nem érhető el a posztok listája sem, stb. a duplikációért elnézést kérek, a frissebbet olvassátok a két patkányevős poszt közül, abban javítva vannak a legordítóbb elírások. 

De új posztot létrehozni legalább lehet.