Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

Néhány meglepő tény a víz élettani szerepéről

vizsprint vízsprint fiziológia sejtélettan homeosztázis víz fiziológiai szerepe molekuláris biológiaAmikor felvetődött bennem, hogy a víz élettani szerepéről írjak, hirtelen annyi minden eszembe jutott, hogy nem is tudtam hirtelen, hogy miket válogassak be azok közé az érdekességek közé, amik a víz élettanával kapcsolatban kevésbé közismert tulajdonságok illetve folyamatok, amik akár ha csak néhány másodpercre is leállnának, szinte biztos, hogy halált váltanának ki. A témában jártas olvasóktól előre is elnézést az egyszerűsítések miatt.  

Amilyen közismert, annyira félrevezető ostobaság, hogy az ember háromnegyede víz. Alapvetően valóban így van, ahogy ez elmondható még sok-sok élőlénnyel kapcsolatban is. Ha valaki ezt bedobja, könnyen kiállíthatja magáról a szegénységi bizonyítványt olyan téren, hogy mennyire nincs otthon a biológiában elemi szinten sem. Ugyanis ez körülbelül olyan jól hangzó, de egyáltalán nem informatív megállapítás, mintha Goethe vagy Shakespeare műveinek vagy éppen a Bibliának egy fontos tulajdonságaként emelnénk ki, hogy a szövege mennyit tartalmaz bizonyos betűből. Helyesen tehát sokkal értelmesebb azt mondani, hogy a víz általános reakcióközeg minden élettani folyamatban, a poszt további részében azzal foglalkozok, hogy éppen ezért akár minimális zavar is milyen súlyos tüneteket okozhat.

Természetesnek vesszük, hogy a víz a sejtszervecskékben, a sejtekben és a sejtközti térben nagyjából állandó arányban van jelen, viszont ha kicsit utánanézünk, hogy ennek a homeosztázisnak a fenntartásához milyen energiaigényes mechnizmusok szükségesek, meglepő eredményeket kapunk.

Bizonyos szövettípusoknál, így például az idegszövetben és az izomszövetben a sejtek belsejében és a környezetükben lévő egyszerű ionok koncentrációja közti különbség akár több ezerszeres vagy több tízezerszeres is lehet. Az ozmózis hatására a víz azonnal olyan mennyiségben áramolna kifelé vagy befelé a töménységi gradiensnek megfelelően, hogy a sejtek pillanatok alatt elpusztulnának, hacsak jól bejáratot molekuláris mechanizmusok nem gátolnák a folyamatot. Így a sejtek hártyájának pumpafehérjéi sejttípusonként különböző intenzitással, de folyamatosan ki- és beengedik a vizet és az ionokat azért, hogy az élő sejtek se is roppanjanak össze, ugyanakkor ne is pukkadjanak ki, mint egy megázott cseresznye [a jelenség oka ott is az, hogy a víz számára a cseresznye héjja a víz számára viszonylag átjárható és a belső nagyobb cukorkoncentráció miatt befelé halad, így egy idő után kipukkasztva a cseresznyét].

Mégis mennyi az annyi, avagy mennyi energiát fordít az ilyen pumpafehérjék működtetésére egy-egy erre érzékeny sejttípus? Meglepő, de több modell szerint egy-egy idegsejt a teljes energiájának közel 90%-át arra fordítja, hogy kifelé hajtsa a vízmolekulákat a belsejéből és szükség esetén az ionokat kikergessen ugyancsak pumpafehérjéken keresztül.

A patológiában ismert jelenség, hogy bizonyos kábszerek hatására a fogyasztó annyira szomjas lesz, hogy sokkal több vizet fogyaszt, mint amennyi indokolt lenne, aminek eredménye akár az is lehet, hogy a bevitt vízmennyiséggel – ha a fogyasztó nem hányja ki – a sejtek már nem tudnak mit kezdeni, a vese kapacitását a bevitt folyadékmennyiség meghaladja, így szövettípusonként eltérő mértékben, de a sejtek megadják magukat és kidurrannak, mint egy ázott cseresznye. Fontos, hogy a hatás erősen függ attól, hogy milyen típusú sejtekről van szó, milyen szöveti környezetben, így elsők közt az agy és a máj szövetei roncsolódnak, amik akár halálos kimenetelűek is lehetnek. Ha van örök érvényű szabály a toxikológiában, hogy végülis minden méreg, ha kellően sok kerül be a szervezetbe és nincs lehetőség ez valamilyen módon kompenzálni, jelen esetben kiizzadni, kivizelni vagy kihányni. Ennek volt az alapja a középkorban az a kegyetlen kivégzési módszer, amikor valakit úgy kínoztak, hogy több liter mennyiségű vizet itattak meg vele, amit nem tudott kihányni, ilyen módon nagyrészt a gyomorból és a vékonybélből felszívódva gyakorlatilag felvizesedett a vér, belátható, hogy nem sokkal ezt követően pedig minden szöveg súlyos károsodásokat szenvedett. [A vérben 0,9%-os sóóldatnak megfeleltethető ún. ozmotikus nyomás, ún. izotóniás nyomás uralkodik, amitől meglepően pici eltérés is a vérben lévő sejtek halálához vezetnének.]

A rendkívül intenzív vízforgalmat az is jól mutatja, hogy a legnagyobb vízforgalmat szabályozó illetve anyagcsere-intenzitású szervek, mint a vesék, a vastagbél vagy a máj naponta több, mint száz liter (!!) vizet forgatnak át egyetlen nap alatt, amivel kapcsolatban hirtelen nem találok forrást, de hiszek a volt humánfiziológia tanáromnak.

Számos táplálkozásélettani kutatás látott napvilágot azzal kapcsolatban, hogy miért is káros a túlzott sóbevitel, holott valószínűsíthető, hogy a civilizáció korábbi szakaszaiban illetve az emberré válás előtt is hasonló mennyiségű sótartalmú ételt fogyasztottunk. A legvalószínűbbnek tűnő magyarázat, hogy még a civilizáció hajnalakor, a mezőgazdaság megjelenésével az ember kemény fizikai munkát végzett, aminek megfelelően persze nem keveset izzadt is. Viszont a folyadékmegtartás és az ionegyensúly egymástól elválaszthatatlan folyamatok. Tehát röviden: nagyon sok vizet fogyasztottunk, viszont ehhez jó adag só fogyasztására is szükség volt. Ugyan az életmódunk alaposan megváltozott az elmúlt néhány tízezer évben, mégis olyan eszelős mennyiségű sót fogyasztunk, mintha egész nap kemény fizikai munkának lennénk kitéve, ami számos probléma forrása, lévén izzadás hiányában a vese csak igen limitált mennyiségben tudja kiválasztani a sót, ami persze nátrium-, klorid- és káliumionok formájában van jelen a vérben – illetve mindenhol, ahova eljut.

A tudományos cikkeket követő olvasók számára ismerős lehet, hogy sejtjeink létfontosságú fehérjéi valamint maga a DNS is rendszeresen sérüléseket szenved el, amiket igen bonyolult molekuláris mechanizmusok korrigálnak olyan módon, hogy különböző javítófehérjék folyamatosan pásztázzák a fehérjéket, valamint a DNS-t és ha hibát találnak, indítják is a javítás óramű pontosságú műveletét. Nem is olyan régen vált tisztázottá, hogy ezek a pásztázó- és javítófehérjék nem közvetlenül az adott fehérjét vagy polinukleotid molekulát tapogatják le, hanem sokszor a molekulát övező vízburkot. Mindezt az teszi lehetővé, hogy a fehérjék bizonyos részeinek „kilógnak” hidrofil részei is, amik hidrogén-hidakat képeznek a környezetükben lévő vízmolekulákkal, ahogyan egyébként a vízmolekulák egymással és más poláris, hidrofil molekularészekkel is. A vízmolekula belsejében lévő minimális töltéseltolódásnak lényegében elemi szerepe van az életműködések mindegyikében. Jelen esetben a víz sajátos tulajdonságai nélkül a meghibásodott fehérjerészeket és DNS-szakaszokat sem lehetne felismerni, ami nyilván összeegyeztethetetlen lenne az élettel.

Annak, hogy a víz fagyás közben egyrészt változtatja az egységnyi térfogatát és kristályosan fagy, olyan sejtbiológiai jelenségeket okozhat, amire nem is gondolnánk. Ismeretes, hogy pl. a spermákat, őssejteket, hosszabb ideig nem használt sejtkultúrákat nitrogénhűtéssel nagyon alacsony hőmérsékleten igen sokáig lehet tárolni. Viszont élő sejtek fagypont alatti tárolását megoldani éppen a fagyás jellegzetességei miatt sokkal bravúrosabb, mint gondolnánk. Ugyanis ha hirtelen hűtenének le egy-egy sejtkultúrát – vagy túlságosan hirtelen engednék ki – a sejt belsejében lévő víz, miközben kristályosan fagy, szétroncsolná a sejt belső struktúráját, és magukat a membránokat is eltépkedné, ami nyilván a sejt halálához vezetnének. Hasonló az oka annak, amikor valaki baleset következtében cseppfolyós nitrogént önt olyan testrészére, ami nem tudja azt hirtelen elpárologtatni vagy éppenséggel megnyalja a mélyhűtő belsejét, sífelvonó rúdját: a hirtelen bekövetkező fagyási sérülés amellett, hogy rendkívül fájdalmas, az érintett testrészt szinte biztos, hogy nem lehet megmenteni.

Korábban lehetett olvasni, hogy egy fizikushallgató azzal idétlenkedett, hogy a szájába vett egy adag folyékony nitrogént, amit aztán Süsü a sárkány módjára kifújt. Igaz, hogy a cseppfolyós nitrogén rendkívül hideg, gyorsan felforr és elpárolog a testfelszínről, aminek a fője kompenzálja a hideget, másrészt a folyadék nem érintkezik közvetlenül a bőrrel, hanem fizikai sajátosságainál fogva cseppekben rohangál az alatta képződő gőzburok felszínén. [Hasonlóan ahhoz, mint amikor forró fémre öntünk vizet. ] Nos, egyszer emberünk elkövette azt a hibát, hogy a folyékony nitrogént lenyelte, ilyen módon a hideg nem tudott távozni, a közvetlen környezetét hűtötte. A csávónak csodával határos módon sikerült megmenteni a nyelőcsövét, garatát, légcsövét és tüdőlebenyeit. Alighanem a leghülyébb fagyási sérülés, amiről csak lehetett olvasni az utóbbi pár évben.

Ha már fagyásról van szó: az ionokat és apró porszemeket is tartalmazó csapvíz 0 fokon fagy, de sokan nem tudják, hogy az abszolút tiszta víz fagyáspontja mínusz 10 C-fok alatt van. Látványos kísérletben az ilyen túlhűtött, abszolút tiszta vízbe apró szemcséket juttatva nagy sebességgel indul meg a fagyás. Az extrém tiszta víz pedig elvben mínusz 48 C-fokig hűthető anélkül, hogy megfagyna.

0 Tovább

Bejutás levéltári információk alapján

Az információk elérésére alighanem azóta szükség van, mióta rögzített információ létezik a világon. Már-már könyvtárakat lehetne megtölteni azzal, hogy az információáramlás felgyorsulása, természetének megváltozása milyen civilizációs léptékű perspektívákat nyitott meg.

bejutas BFL levéltár OSINT keresés digitalizálás NISZ

Ma már természetes, hogy az információ eléréséhez nem kell más, mint jól megválasztott keresőeszközök és persze jól megfogalmazott keresőkifejezés, ami persze a keresés tudományát nem fedi le, a lényege mégis ez. Az információk gyors elérése persze nem volt mindig ennyire egyszerű, egykor a levéltárak jelentették a kor adattárházait, ahol természetesen sok-sok ideig csak elképesztően fapados lehetőségek álltak rendelkezésre a levéltári anyagokban való kereséshez. Ahogy az Országos Széchenyi Könyvtár katalógusainak a digitalizálása is napjainkban is tart, a tételeket csupán egy-egy példányban őrző levéltárakban is folyamatosan digitalizálják az anyagokat.

Hogyan lehet csukafejest ugrani a múltba, mintegy kapun keresztül bejutni a régmúltba? Jöjjön néhány érdességek az ország egyik legnagyobb levéltáráról, amit alighanem nem tudtál.

A levéltárakba sokszor úgy kerülnek be az anyagok, hogy azokról akár centiméter vastagságú galambszart kell lekaparni, természetesen olyan módon, hogy az információtartalom a lehető legkisebb mértékben sérüljön.

Ugyan az OCR-technikák egyre fejlettebbek, a gyakorlatban a mai napig csak a nyomtatott szövegek digitalizálhatók olyan módon, hogy azokban aztán szöveges keresést lehessen végezni. Elvben viszont rendelkezésre állnak olyan megoldások, amik azonosítják az adott korra és kézírásra jellemző betűformákat, így a cizelláltabb írott szövegekben is lehet majd idővel keresni.

bejutas BFL levéltár OSINT keresés digitalizálás NISZA Budapest Főváros Levéltára elsődleges tájékoztatása szerint nem kell tartani attól, hogy a beérkezett papír alapú dokumentumokat felzabálja a penész, mivel a dokumentumok eleve penészmentesen kerülnek be, ami nyilván nem valami meggyőző érv annak, aki tisztában van vele, hogy ún. teljesen csíramentes környezet konkrétan nincs. Hogy mást ne mondjak, a méregdrága sejtkultúrákkal végzett munka során az összes eszközt eleve csak a lamináris boxban szabad kinyitni, amibe fentről folyamatosan fújják be a csíramentesített levegőt, amit a lamináris box alja szív el, olcsóbb boxoknál viszont az ember fia a pofájába kapja azt, amit felülről befújt a szerkezet. Viszont még emellett is 96 térfogatszázalékos alkohollal kell fújkálni mindent, amihez hozzányúlunk, pedig bizonyos lamináris boxoknál, amikor azok használaton kívül vannak, még UV lámpa is világít, ami elvben elöli még az oda kerülő vírusokat is. Elég egy rossz mozdulat és a nem kevés munkaidővel készült sejtkultúra penészes lesz vagy egyszerűen megrohad.

Eléggé világos, hogy egy levéltárba, ahol nyilván utcai ruhában közlekednek a kutatók, gyakorlatilag csak a hőmérséklet és a páratartalom fix, bőven előfordulnak gombaspórák, amik jó esetben csak olyan doksikat kezdenek meg felzabálni ebédre, amit már digitalizáltak.

A BFL egy másik osztályán már elmondták, hogy előfordulhatnak penészes kódexek, de egyrészt egy külön cég ezeket valamilyen gázzal kezeli előzőleg, ami mondjuk még mindig nem világos, mert magát a penészt tényleg kinyírja, viszont a spórák, bizonyos mikoplazmák túlélhetik az elgázosítást is. Ha már mégis rohadni kezdene egy dokumentum, gyorsan kezelésbe veszik a restaurátorok egy másik emeleten.

Ami még nem világos, hogy az irattárakban ha van is füstérzékelő, azoknak a működőképességét nem ellenőrzik rendszeresen, ahogy ez az ütősebb szerverhoteleknél szokás. [A különösen védett szervertermeknél ha a füstérzékelő bekapcsol, van ugyan valamennyi ideje letiplizni onnan annak, aki esetleg abban a helységben van, viszont akár néhány másodperc alatt olyan mennyiségű inert nitrogénnel telítődhet a szerverterem, ami teljesen kiszorítja az égéshez szükséges oxigént. Mással nem is nagyon lehetne oltani, a poroltónak például az összes típusa eleve kizárt. ] Szóval nagyon úgy fest, hogy a data loss prevention, mint olyan csak akkortól számítana, amikor már digitalizált egy anyag, amíg egy törékeny kódex például, addig kevésbé.

A levéltárakban egy-egy dokumentum kérhető a neten keresztül is, viszont több napba telhet, mire megállapítják, hogy a kért dokumentum megtekinthető állapotban van-e, ha nem teljesen, időbe telik előkészíteni azt.

bejutas BFL levéltár OSINT keresés digitalizálás NISZA legnagyobb digitalizációs projekt 2009-ben indult a Nemzeti Infokommunikációs Szolgáltató Zrt, leánykori nevén Kopint-Datorg beszállásával, így például a BFL 27 ezer mikrofilmjének 15 millió felvétele közül egyre több válik elérhetővé mikrofilmolvasó nélkül, digitalizáltan. Mielőtt elkészült volna a BFL mai épülete, a dokumentumok a város öt különböző helyén fértek csak el. A probléma alighanem már nem fog jelentkezni, ahogy a dokumentumok eleve digitális formában keletkeznek és kerülnek adatbázisokba és válnak elérhetővé.

Az ehhez szükséges IT infrastruktúra persze már safe deposit boxokban vannak elhelyezve több levéltár esetén úgy, hogy a SDB fizikai helye sem nyilvános.

A levéltárakban rendszerint felhívják rá a figyelmet, hogy az alkalmanként kiállított sokszáz éves dokumentumokat senki se fotózza vakuval, azzal kapcsolatban viszont rendszerint nem jön magyarázat, hogy miért ne. Valóban vannak olyan fotokémiai reakciók, amik a nagyon régi doksik anyagát károsíthatják, ideértve a festéket, a textúrát és a pecsétet is, viszont sokkal nagyobb strapa egy-egy régi dokumentumnak az, ha előveszik a full sötét, fix hőmérsékletű, esetleg vákuum által uralt boxból, mintha már úgyis elővették és valaki lefotózza.

Ez mind nagyon szép, de mi köze van ennek a #bejutáshoz, na meg a biztonsághoz? Mondjuk az, hogy a közigazgatási adatok, na meg a budapesti épületek tervrajzai is ide kerülnek, amik esetleg nem érhetők el a neten keresztül. Ez első olvasásra annyira nem tűnik problémásnak. Viszont tudvalevő, hogy a piti betörők is egyre inkább informálódnak az adott hellyel kapcsolatban konkrétan egy-egy betörés előtt, ezért eléggé hülye ötlet közösségi webes felületeken kibiggyeszteni, ha nyaralni mentünk. Egy piti betörő nem fog elmenni a levéltárba azért, hogy előre feltérképezzen egy épületet, ahova betörne. Annak viszont reális rizikója van, hogy például könyvtárak, más levéltárak elzárt részeiről, komoly adatvagyont őrző épületek belső elrendezéséről és megközelíthetőségéről szeretne valaki tájékozódni azért, hogy pontosan tudja, hogyan és hol érdemes besurrannia valahova valamiért.

Mondjuk ahogy Csumpi és Kuplung tervezett egy rablást a Papírkutyákban.

0 Tovább

Konferenciahekkelés, like a boss 

Alighanem már majdnem mindenkivel előfordult, hogy elment volna egy konferenciára, de lekéste a regisztrációt, vagy más okból nem jutott meghívóhoz szabályosan, de valamilyen okból ott kellett lennie. Nemcsak a vérbő sz*r, önmagukat kommunikációs- és médiakonferenciának nevezni merészelő rendezvényekre gondolok, ahol értelmes gondolattal nem találkozik az ember, beképzelt, semmihez sem értő beképzelt taplóval bezzeg Sió-csatornát lehetne rekeszteni, de azért az ember kibírja valahogy az esti ingyenes koncert, marhapöri és bor miatt. 

Szinte mindegy, hogy milyen szakmai vagy szakmainak nevezett rendezvényről van szó és az is, hogy mi miatt kell ott lenni, ha például tisztában vagyunk vele, hogy a regisztrációs díj nevetségesen túl van árazva az egész nívójához képest, a beugrót a cég nem fizeti, marad a bejutás. 

Vegyük figyelembe, hogy a konferenciák szervezése nyilván pénzbe kerül, viszont a kificamodott magyar konferenciakultúrában általában messze nem annyiba, mint amennyit kérnek regisztrációs díjként, mivel az a szervezés költségével és a szakmai nívóval sincs összhangban. Persze annak, akit a munkahely küld, fizetik, igencsak ritka az az eset, amikor valaki saját zsebből fizet egy-egy húzósabban árazott konferenciáért – főleg, ha tudja, hogy úgyis pocsék, ezért elvből nem fizet érte. Én viszont elvből fizetek azokért a konferenciákért, amiket becsülök annyira, hogy fizessek értük akkor is, ha egyébként besétálhatnék. Visszatérve az alapszituációhoz, hogy hogyan érdemes egyébként tré, de valamiért fontos konferenciára menni ingyen, nos, a protokoll, amit kitaláltam, még egyszer sem bukott meg, ezt foglalom most összes vázlatosan. 

Először is érdemes ismerni a hotelt, ahol a konferenciát szervezik és annak megközelíthetőségét is, alaposan. Ha korábban még nem jártunk az adott helyen, nyugodtan menjünk oda pár nappal korábban, majd a recepción hivatkozzunk magára a konferenciára és arra, hogy mennyire akadálymentesített a helyszín. Ekkor a recepcióst arra is megkérhetjük, hogy vezessen kicsit körbe minket, miközben bőven van idő megfigyelni az összes lehetséges bejáratot. Aztán a konferencia napján persze nem azon kell bemenni, ahova a regisztrációs pultot állították, ha van több bejárat is. 

A konferencia kialakításával kapcsolatban érdemes minél több információt beszerezni, ami nem egy nagy bravúr, ha az embernek van benne némi rutinja. Ezekhez az információkhoz tartozik például, hogy a konferencia milyen arculati elemeket használ, ugyanis a konferencián használt badge is ahhoz hasonló lesz. Kicsit is komolyabb papír-írószer üzletbe vehetünk különböző méretű badge tokokat, a netről pedig papírra nyomtathatunk különböző méretű badge-eket, az arculatnak megfelelően, ha előre nem ismert, hogy milyen méretűt fognak majd használni. 

bejutas tailgating piggybacking authentication bypass social engineering konferencia színérzékelés alakérzékelés

Viszont sokszor nyomtatni sem kell, az adott konferencia helyszínén a konferenciakiadvány elejéből vagy hátoldalából a budiba méretre lehet szabni a tokba kerülő, arculati elemeket tartalmazó lapot, ha a többi résztvevő is olyannal mászkál. Amire még szükség van, ezt viszont előre printelve, a nevünk, konkrétan többféle mérettel: talpas betűtípussal és talpatlan betűtípussal egyaránt, kis- és nagy betűkkel szintén, fehér lapon. A nevet tartalmazó lap viszont természetesen legyen méretre hajogatható hátulról és oldalról is, majd úgy a badge tokjába lehet tenni. 

Amire még szükség van, fehér, vöröses, zöldes és kékes árnyalatú szalag, amire magát a badge tokot akasztjuk, ezek ugyancsak megvehető az írószerboltban. A dolog eléggé értelemszerű: ha a főszponzor például az Antenna Hungária, nyilván annak megfelelő szalagot adnak a résztvevőknek, ha a Vodafone, akkor vodafone-osat és így tovább. Viszont! Ha előre nem tudunk ilyen szalagot szerezni, akkor elegendő, ha a helyszínen a többi résztvevőn lévő szalag alapján megállapítjuk, hogy a fehér, vöröses, zöldes és kékes előre vásárolt sima közül melyiket érdemes elővenni a táskából. Hogy miért is fontos mindez? A hostessek és a biztonsági őrök nyilván valamelyest figyelik a szalagokat, viszont részint érzékelésbiológiai korlátok, részint pedig pszichológiai sajátosságok miatt gyakorlatilag biztosan nem szúrják ki, ha például T-s magenta szalag helyett egy egyszerű sima vöröses árnyalatút használunk, feltéve persze, hogy az nem üt el nagyon a felsőruházat színétől. Felsőnek érdemes valamilyen sötét tónusút felvenni, nem részletezem, hogy miért, de szintén a látással és érzékeléssel van kapcsolatban. Annak, hogy kis –és nagy méretben, talpas- és talpatlan betűtípussal nyomtassuk ki a nevünket, szintén ebben a mimikriben van jelentősége. Ha például mindenkinek a kitűzőjén Century Gothic betűtípussal, csupa nagybetűvel van fenn a neve, nem lógunk ki a sorból akkor sem, ha a miénk Arial betűtípusú, hiszen ez eleve nem is látható néhány méternél nagyobb távolságból. 

A badge-et persze ne a biztiőr, na meg a regisztrációs pult előtt preparálgassuk, hanem valamilyen félreesőbb helyen. Hála a dohányzást korlátozó törvényi változásoknak, a helyszínként szolgáló szálloda előtt úgyis ott lődörög néhány, már regisztrált résztvevő, akiken meg lehet figyelni, hogy milyen konferenciakitűzőt használnak az adott konferencián. 

Ha megvan a badge, már mehetünk is be, ha van kisebb bejárat, akkor ott, ha csak főbejárat, akkor ott, a lényeg a magabiztosság. Nem akartam nagyon büntetni előbb az olvasót azzal, hogy milyen módon vált ki kognitív torzítást a hamis, ámde jól megválasztott szalag és névkártya kiválasztása, most ismét nem fogom, csak a lényeget írom. Magabiztosság alatt azt értem, hogy ne úgy menjünk be, mintha lövésünk nem lenne, hogy mi merre van, ugyanakkor az egyik hostesseket meg lehet kérdezni, hogy merre van a plenáris előadás, a vécé, a büfé, amit amúgy többi vendég is megkérdez. 

Ha nagyon sasolnak, szóba jöhet még, hogy bizonyos pontokon úgy menjünk át, mintha telefonálnánk, persze közbe tényleg hívjunk fel például egy ingyenes számot és beszéljünk valamit, esetleg közben imitálhatjuk azt is, hogy nagyon sietünk valahova. Ezzel kapcsolatban elképesztő tapasztalat, hogy a sietős, telefonáló embert gyakorlatilag sehol nem állítják meg, leszámítva a reptereket, kiemelten védett rendezvényeket és épületeket. De éppenséggel vehemensen lapozgathatunk egy mappába tett kiadványt is menet közben, szintén csökkeni az esélyét annak, hogy a biztonsági őr az arcunkat nézze, egyszerűen azért, mert elterelődik a figyelem, egyébként is látott aznap már párszáz pofát, így nem tűnik fel neki, hogy a miénket még nem. 

Szóba jöhet még, hogy a konferencia egy regisztrált részvevőjével szóba elegyedve megyünk be piggybackinget alkalmazva, esetleg nem is kell szóba elegyedni vele, csak megvárni, amíg jön valaki, majd közvetlenül utána besétálni, amit a megtévesztés ékes angol irodalma tailgatingnek nevez. 

Engem még az életbe nem állított meg biztonsági őr, persze akkor is lehet improvizálni, ha esetleg ilyen történik, persze nem olyan szöveggel, hogy véletlenül kóboroltunk arra. Igaz, azért nem történt még velem ilyen, mert olyan konferenciára nem megyek, amiről előre tudom, hogy egy vödör hígfos – és még marhapörit sem adnak éjfélkor a hotel kertjében, a kávé szar, stb. – amikről pedig tudom, hogy jók, azokért elvből fizetek regisztrációs díjat, kifejezve ezzel azt, hogy megtisztelem a rendezvényt a regisztrációs díjjal, ahogy erre utaltam is a poszt elején. 

Akár szabályosan regisztráltunk, akár behekkeltük magunkat, a rendezvény közben vagy végén nyugodtan kérjünk szalagot a műgyűjtő kis unokaöcsénknek, függetlenül attól, hogy van-e unokaöcsénk vagy sincs, illetve ha van, gyűjti-e a konferenciaszalagokat. 

bejutas tailgating piggybacking authentication bypass social engineering konferencia színérzékelés alakérzékelés

Hamarosan írok arról is, hogy hogyan lehet bebandukolni rázósabb helyekre, persze csak akkor, ha az nem törvénybe ütköző, azaz egy arra egy illetékes feljogosított, tesztelési céllal. 

1 Tovább

Bejutás más fiókjába: a FB figyelmeztet, hogy ha tisztességtelen vagy, legalább hülye ne legyél

A dolog ugyan nem új, de eddig még nem is írtam róla, aztán gondoltam, hogy most megér pár sort. Röviden: hogyan juthat be valaki más Facebook-fiókjába, ha eléggé pofátlan ahhoz, hogy az áldozatot rávegye arra, hogy ő maga futtasson le egy kódrészletet a böngészőjében?

Nem szoktam nézegetni a Facebook kliensoldali forráskódját, azaz amit a böngésződ megkap a szervertől és a böngésző az alapján fogja megjeleníteni és dinamikusan működtetni a lapot.  A Facebook kliensoldali kódja egyébként is gusztustalanul nagy méretű és nehezen áttekinthető, hanem azért, hogy keressenek benne hibát a fanatikusok.

Többek számára alighanem ismerős, hogy a Chrome-ban és a Firefoxban egyaránt már alapértelmezés szerint elérhetők a fejlesztőeszközök, amik segítenek a webfejlesztőknek különböző hibák felderítésében és lévén, hogy ezekkel az eszközökkel nem csak megjeleníthető, hanem módosítható is, hogy a kliens milyen adatokat küldözgessen a szervernek. így természetesen arra is alkalmas, hogy egy sérülékeny webhelyet pont ezen keresztül törjön fel valaki, ha az nincs felkészítve a legordasabb támadásokra, amik az ügyféloldali kód manipulációján keresztül lehet kivitelezni. A tudatlan felhasználó viszont jobb, ha vakon nem babrál vele.

Facebook XSS cross-site scripting bejutas feltörés social engineering hiszékenység alacsony a kerítés

Minél inkább meghatározó egy webes szolgáltatás aktuálisan, minél több információ koncentrálódik benne, annál nagyobb az igény rá, hogy valami balfácán zéró technikai tudással fel akarja törni. Amikor az iWiW volt a menő, hűvös halomra kaptam a leveleket, azzal kapcsolatban mindenféle szerencsétlentől, hogy segítsek már neki bejelentkezni az exe/exfőnöke/neje/kutyája iWiW fiókjába, mert csak. Ezeknek a leveleknek egyébként közös vonása volt, hogy megpróbálták racionalizálni a dolog jogosságát, gyakorlatilag az általános morál fölé helyezve önmagukat. Például arra hivatkoztak, hogy lehet, hogy félrekúr az asszony vagy a férj, állítólag egyébként a magándetektív cégek megrendeléseinek még mindig egy igen nagy részét a megcsalás-felderítésnek elkeresztelt baromság teszi ki, a fontos különbség viszont, hogy a magándetektív cég nem alkalmaz törvénytelen eszközöket, kizárólag megfigyelhet. A levelek másik közös vonása volt, hogy fingjuk sem volt róla, hogy egy webalkalmazás tesztelő, etikus hekker mennyiért dolgozik, még nagyságrendileg sem, például bedobták, hogy tudnak érte adni 20 ezer forintot, mondanom sem kell, hogy a sok hatökör alighanem sosem gondolt bele, hogy egy etikus hekkernek nem lehet annyit fizetni, amennyiért valamilyen törvénytelen vagy törvényes, de etikátlan dolgot követne el, hiszen egy életre elvesztené az ügyfeleit, akik megbíznak benne és éppen azért fizetik, hogy minél kevésbé legyen törhető az a webszolgáltatás, amit működtetnek, aminek pedig alapköve, hogy a tudását tisztességes módon használja fel. Ahogy szoktam mondani, komoly zavar van és alighanem még lesz is jóideig a fejekben, hiszen röviden szólva ez olyan dolog, mintha egy gyógyszerészt arra kérnének, hogy kotyvasszon már valamilyen mérget, mert valakit el kellene tenni láb alól. A gyógyszerész tudna működne méregkeverőként? Persze, hogy tudna. Fog? Dehogy.

Facebook XSS cross-site scripting bejutas feltörés social engineering hiszékenység alacsony a kerítés

Aztán általánosan elterjedt lett a Gmail, majd beköszöntött a Facebook-éra, de sokan ugyanolyan hülyék maradtak. Néhányszor cikkeztem arról, hogy a Facebook-fiókot hogyan érdemes hardeningelni, mire érdemes figyelni, ami persze a keresők felől bevonzotta a sok idiótát, akik Facebook-hakkolással kapcsolatban kerestek információt, majd levelet írtak nekem.

Mókás, de az ilyen jóemberek általában pont azzal nyerik el méltó büntetésüket, hogy rábukkannak olyan oldalakra is, amik pénzért vagy ingyen, ilyen olyan, természetesen a felhasználó számára kártékony alkalmazás letöltéséért cserébe azt ígérik, hogy bármilyen Facebook-fiókot megszerezhet vele majd az illető.

Ennek a világnak megvan az a bizarrba hajló szépsége, hogy a netes csalók annyira kifinomultak lettek, hogy éppen azt az igényt kihasználva a kellően türhő felhasználónak 100%-os feltörést ígérnek és az illető talán csak az utolsó pillanatban veszi észre, hogy a saját fiókját törte fel. A Facebook esetén az egyik forgatókönyv a következő: a csalók ráveszik az áldozatot, hogy indítsák el a böngésző előbb emlegetett fejlesztőeszközét, majd illesszenek be egy kódrészletet a megfelelő helyre, ezzel hozzáférhetnek más fiókjához. És igen, kitaláltad, az emberek annyira hülyék, hogy nem is akarják érteni, hogy az adott kódrészlet mit csinálhat ténylegesen, már bökik is be a kódot, aminek eredményeként a scammer a balfácán Facebook-fiókját fogja megszerezni és azt használni például spamküldésre, esetleg olyan adatot állít be, amivel aztán új jelszót adhat meg és az exploitált balfácánok listáját eladja a feketepiacon.

Adja magát a kérdés: ha meglehetősen biztonságos technikai szempontból a Facebook vagy a Google, hogyhogy ez ellen a technika ellen nem tudnak védekezni? Éppen azért, mert a beillesztett kódrészlet a felhasználó nevében, a saját munkamenetével, a saját fiókjának működését manipulálva fog lefutni. Hasonlóan ahhoz, hogy például saját nevünkben tudunk oldalt lájkolni, csoportokba belépni, biztonsági kérdést megváltoztatni a saját fiókunkra vonatkozóan, de másét nyilván nem, a szerver pedig nem képes ellenőrizni, hogy egy-egy műveletet szabályos használat mellett hajtunk végre vagy éppenséggel azzal, hogy megpatkoljuk a böngészőnk által küldött adatokat. Azaz elméleti lehetőség sincs arra, hogy a felhasználót önmagától védjék meg.

Amire a böngészőeszköz futtatása közben a Facebook felhívja a figyelmet, a jó öreg cross-site scripting technika, aminek a lényege, hogy a webhely olyan bemenetet kap, amilyet normális esetben sosem kapna és a webhelyet valamilyen rendellenes működésre bírja rá ezzel.

A XSS egyik durva típusában az egykori iWiW is érintett volt: az iWiW nem ellenőrizte, hogy a „Munkahely weboldala: ” mezőben a felhasználó adatlapján tényleg csak szöveg, azaz egy webcím adható-e meg és más biztosan nem, azaz nem volt megfelelő parserelés, bemenetszűrés. Rövid ideig az iWiW-en ez a szövegmező szinte bármit elfogadott, ami jó esetben csak egy apró Javascript kód volt, ami feldobott a látogató számára egy üdvözlő ablakot, de volt olyan matyómintás perzisztens XSS is, ami a felhasználó adatlapját átrajzolva jelenítette meg, szerencsére több kárt nem csinált.

A Facebookon ilyen az én tudásom szerint pillanatnyilag nincs – viszont a felhasználó által indított rosszindulatű kisalkalmazások, ún. Facebook-vírusok képeseket lehetnek rá! – viszont ugyancsak az XSS-re támaszkodva kaphat olyan bemenetet a Facebook a böngészőtől, aminek hatására például eltérítődik a felhasználó munkamenete, éppen azért, mert a sajátja, az őt azonosító sütiket is megmérgezi, így végső soron ezzel hozzáférést enged a támadó felhasználónak a saját fiókjához a saját hülyesége miatt.

Részletesebb technikai magyarázatba nem megyek bele, de ez teljesen hasonló ahhoz, mintha valakinek a lakásába be akarnánk menni illegálisan, ezért keresnénk egy betörőt, hogy segítsen, majd a betörő "segítőkészen" elkérné a saját lakásunk kulcsát, hiszen az biztosan nálunk van.

Úgy általában egy webalkalmazásba bejutni valamilyen trükkel egy etikus hekker számára a megrendelő kifejezett kérésére nemes dolog, mielőtt más tenné meg, mi több, művészet. Ami pedig a Facebookot illeti, természetesen nem tökéletes rendszer, de eléggé erős, ha a szolgáltatás saját maga hívja fel rá a figyelmet, hogy a felhasználó ne legyen hülye.

Hupsz, még valami, az előző posztomban az egyik kép duplán volt embeddelve, amiért bocs mindenkitől. Aki esetleg nagyon ráér, pls. írjon már egy tweaket, amit beilleszthetek a reblog-posztba, így a posztba illesztett képek akkor is fix mérettel jelennek meg és nem széthúzva, ha az eredeti sablont felüldefiniálja az, ami fölött megjelennek a Reblog Sprintben részt vevő posztok, hátha nincs rá felkészítve a blogmotor, trollolo.

1 Tovább

Lectori salutem

Ha elsőre nem is tűnik úgy, mindenki életében előfordul, hogy olyan helyre kell bemennie feltűnésmentesen, ahova nem kimondottan hívták meg, esetleg kizárták vagy éppen olyan információt kell elérni, legyen szó akár bármilyen formában létező információról is, amit annak tudatában tárolnak, hogy ahhoz más nem férhet hozzá, aki nem jogosult arra, mégsem védik megfelelően.

Két dolgot kell legelőször mérlegelni minden ilyen esetben. Az egyik az etikusság elve, ami szerint egyiket sem szabad úgy véghezvinni, hogy azzal az elérendő célhoz képest aránytalanul nagy kára származhasson senkinek. Ez egyébként közel sem olyan egyszerű, mint amilyennek tűnik. Valaki akár egy diplomáciai rendezvényre megy be, akár egy magán szakkönyvtárba, anélkül, hogy hívták volna, ennek utólagos kiderülése esetén esetleg bizonyos helyeken kirúghatják a rendezés biztonságáért felelős személyeket illetve elővehetik a könyvtár alkalmazottait. Egy levéltár esetén, ha valaki bemegy lefotózgatni olyan dokumentumokat, amik az adatvédelmi besorolását még nem végezték el, de várhatóan korlátozott terjesztésű, bizalmas, különösen bizalmas vagy hasonló minősítést kap majd, az intézmény vezetője komolyan előveheti érte az alkalmazottait. Az információszerzés módját illetően az etikusságnak több ismérve is van, viszont az alapja minden esetben ez.

A másik, ami nyilván sokkal kultúrafüggőbb, maga a törvényesség. Ennek a megállapítása nem valami nagy tudomány, intuitív megközelítéssel tudja az is, hogy hova szabad bemennie, akinek semmilyen ezzel kapcsolatos, az adott államra vonatkozó konkrét jogi ismerete nincsen. Például eléggé köztudott, hogy magánterületre a tulajdonos vagy a lakó határozott beleegyezése nélkül bemenni főszabályként tilos, de teljesen más a helyzet, ha egy szórakozóhelyről van szó, ahova kimondottan nem is hívják az embert, holott az is magánterület.

Terveim szerint mától minden nap posztolok valamit a lehető legszélesebb értelembe véve a bejutás témaköréből. Azaz éppúgy ide tartozik ha arról írok, hogy szánalmasan túlárazott, de vállalhatatlanul pocsék szakmai nívójú médiakonferenciákra hogyan juss be meghívó és regisztráció nélkül ősszel és tavasszal ingyen marhapörtöltet enni és kézműves piákat inni az esti ingyenkoncert közben egy rakás sznob pöcs közt Siófokon.

De éppúgy ide tartozik az is, ha máshonnan beszerezhetetlen, érzékeny információ reményében egy szakkönyvtárból úgy kell kölcsönöznöd, hogy a kölcsönzésnek ne legyen nyoma.

De az a téma is ide tartozhat, hogy jobb családokban az informatikusok virtuális mézesbödönöket, ismertebb nevükön honeypotokat helyzetnek el a céges hálózatban, annak szolgáltatásai közt azért, hogy szándékosan legyengített, könnyen törhető rendszereken keresztül naplózni tudják az önmagát betörésen strapáló hívatlan vendég munkamódszereit, a betörési kísérleteinek kifinomultságát és így tovább.

Vigyázz, kész, jövök!

0 Tovább
123
»

Hekkmester

blogavatar

Gondolatok innen-onnan, jó sok elírással. Mindhacking, magatartástudomány, miegymás. Postagalamb: noc@identifylab.com

feedek

kulcsszavakban...

bejutas (3),pszichológia (3),megmagyarázhatatlan (2),kognitív pszichológia (2),szabadsag (2),megmagyarazhatatlan (2),szabadság (2),Facebook (2),egyéb (2),social engineering (2),egészség (1),empátia (1),emberség (1),spam (1),Reblog (1),farmakológia (1),információáramlás (1),hatás (1),agyfasz (1),véletlenszerűség (1),okos drog (1),mentális betegség (1),tanult tehetetlenség (1),interperszonális pszichológia (1),depresszió (1),szokás (1),Martin Seligman (1),szokas (1),társas alapmotívumok (1),párkapcsolat (1),szellemi teljesítmény fokozása (1),negatív személyek (1),metilfenidát (1),nootropikum (1),magatartástudomány (1),párválasztás (1),párkapcsolati probléma (1),modafilin (1),maganugy (1),Szabó Zoltán (1),SzabóZé (1),Index (1),harag (1),wtf (1),kultúra (1),boldogság (1),újságíró (1),verés (1),izé (1),Erdélyi Péter (1),444 (1),lapszemle (1),KFC (1),biztonsági őr (1),24.hu (1),szórakozás (1),idióta (1),Bittner Nóra (1),epigenetika (1),kreativitás helyett (1),influencer (1),szégyen (1),magánügy (1),genetika (1),oknológia (1),reklám (1),tömegkommunikáció (1),Fluimucil Ábel (1),Kasszás Erzsi (1),kretén (1),de miért? (1),Bihari Viktória (1),parasztvakítás (1),sejtélettan (1),homeosztázis (1),fiziológia (1),vízsprint (1),NISZ (1),vizsprint (1),víz fiziológiai szerepe (1),molekuláris biológia (1),csak úgy (1),nyelv (1),adatelemzés helyett (1),biznisz iz biznisz (1),vélemény (1),magánnyomozás (1),digitalizálás (1),keresés (1),alacsony a kerítés (1),tailgating (1),hiszékenység (1),feltörés (1),XSS (1),cross-site scripting (1),piggybacking (1),authentication bypass (1),levéltár (1),OSINT (1),BFL (1),alakérzékelés (1),konferencia (1),színérzékelés (1),helyesírás (1),spell checking (1),Google Allo (1),Google (1),ego (1),megküzdési stratégia (1),bukás (1),kudarc (1),social web (1),megszüntetett szolgáltatások (1),Internet Hungary (1),Media Hungary (1),privacy (1),üdvözlet (1),Google Wave (1),Google Buzz (1),bukas (1),tudatos jelenlét (1),tiltás (1),rabság (1),sharing economy (1),Uber (1),no one cares (1),elírási pam-pam (1),Boldogkői Zsolt (1),Szendi Gábor (1),elfogultság (1),mindfulness (1),tudományos gondolkodás (1),áltudomány (1),Lenkei Gábor (1),homeopátia (1),Csermely Ákos (1)