A PHDays 9 per primera vegada com a part d'una batalla cibernètica Va tenir lloc un hackathon per a desenvolupadors. Mentre els defensors i els atacants lluitaven durant dos dies pel control de la ciutat, els desenvolupadors van haver d'actualitzar les aplicacions preescrites i desplegades i assegurar-se que funcionaven sense problemes davant una pluja d'atacs. Us explicarem què en va sortir.
Només els projectes no comercials enviats pels seus autors van ser acceptats per participar a l'hackathon. Vam rebre sol·licituds de quatre projectes, però només se'n va seleccionar un: bitaps (). L'equip analitza la cadena de blocs de Bitcoin, Ethereum i altres criptomonedes alternatives, processa els pagaments i desenvolupa una cartera de criptomonedes.
Uns dies abans de l'inici de la competició, els participants van rebre accés remot a la infraestructura de jocs per instal·lar la seva aplicació (estava allotjada en un segment no protegit). A The Standoff, els atacants, a més de la infraestructura de la ciutat virtual, havien d'atacar l'aplicació i escriure informes de recompenses d'errors sobre les vulnerabilitats trobades. Després que els organitzadors confirmessin la presència d'errors, els desenvolupadors podrien corregir-los si ho desitjaven. Per totes les vulnerabilitats confirmades, l'equip atacant va rebre una recompensa en públic (la moneda del joc de The Standoff) i l'equip de desenvolupament va ser multat.
Així mateix, segons les bases del concurs, els organitzadors podien establir als participants tasques per millorar l'aplicació: era important implementar noves funcionalitats sense cometre errors que afectarien la seguretat del servei. Per cada minut de funcionament correcte de l'aplicació i per a la implementació de millores, els desenvolupadors van rebre valuosos fons públics. Si es trobava una vulnerabilitat en el projecte, així com per cada minut d'inactivitat o funcionament incorrecte de l'aplicació, es cancel·laven. Els nostres robots ho van controlar de prop: si trobaven un problema, ho vam informar a l'equip de bitaps, donant-los l'oportunitat de solucionar el problema. Si no s'eliminava, comportava pèrdues. Tot és com a la vida!
El primer dia de la competició, els atacants van provar el servei. Al final del dia, només vam rebre alguns informes de vulnerabilitats menors a l'aplicació, que els nois de bitaps van solucionar ràpidament. Cap a les 23 h, quan els participants estaven a punt d'avorrir-se, van rebre una proposta nostra per millorar el programari. La tasca no va ser fàcil. A partir del processament de pagament disponible a l'aplicació, va ser necessari implementar un servei que permetés transferir fitxes entre dues carteres mitjançant un enllaç. El remitent del pagament -l'usuari del servei- ha d'introduir l'import en una pàgina especial i indicar la contrasenya d'aquesta transferència. El sistema ha de generar un enllaç únic que s'envia al beneficiari. El destinatari obre l'enllaç, introdueix la contrasenya per a la transferència i indica la seva cartera per rebre l'import.
Després d'haver rebut la tasca, els nois es van animar i a les 4 del matí el servei de transferència de fitxes a través de l'enllaç estava llest. Els atacants no ens van fer esperar i en poques hores van descobrir una vulnerabilitat XSS menor al servei creat i ens ho van informar. Hem comprovat i confirmat la seva disponibilitat. L'equip de desenvolupament ho va solucionar amb èxit.
El segon dia, els pirates informàtics van concentrar la seva atenció en el segment d'oficines de la ciutat virtual, de manera que no hi va haver més atacs a l'aplicació i els desenvolupadors finalment van poder descansar d'una nit sense dormir.
Al final del concurs de dos dies, vam atorgar al projecte bitaps premis memorables.
Tal com van admetre els participants després del partit, el hackathon els va permetre provar la força de l'aplicació i confirmar el seu alt nivell de seguretat. "La participació en un hackathon és una gran oportunitat per provar la seguretat del vostre projecte i obtenir experiència en la qualitat del codi. Estem contents: hem aconseguit resistir l'embat dels atacants, —va compartir les seves impressions membre de l'equip de desenvolupament de bitaps Alexey Karpov. - Va ser una experiència inusual, ja que vam haver de perfeccionar l'aplicació en una situació estressant, per velocitat. Cal escriure codi d'alta qualitat i, al mateix temps, hi ha un alt risc d'error. En aquestes condicions, comenceu a utilitzar totes les vostres habilitats"..
Tenim previst tornar a fer un hackathon l'any vinent. Segueix les notícies!
Font: www.habr.com