Na PHDays 9 poprvé v rámci kybernetické bitvy Proběhl hackathon pro vývojáře. Zatímco obránci a útočníci bojovali dva dny o kontrolu nad městem, vývojáři museli aktualizovat předem napsané a nasazené aplikace a zajistit, aby fungovaly hladce tváří v tvář záplavě útoků. Řekneme vám, co z toho vzešlo.
Do hackathonu byly přijaty pouze nekomerční projekty předložené jejich autory. Obdrželi jsme žádosti ze čtyř projektů, ale vybrán byl pouze jeden - bitapy (). Tým analyzuje blockchain bitcoinu, etherea a dalších alternativních kryptoměn, zpracovává platby a vyvíjí kryptoměnovou peněženku.
Několik dní před začátkem soutěže získali účastníci vzdálený přístup k herní infrastruktuře k instalaci své aplikace (byla hostována v nechráněném segmentu). V The Standoff museli útočníci kromě infrastruktury virtuálního města napadnout aplikaci a napsat bug bounty reporty o nalezených zranitelnostech. Poté, co organizátoři potvrdili přítomnost chyb, mohli je vývojáři opravit, pokud si to přáli. Za všechny potvrzené zranitelnosti dostal útočící tým odměnu na veřejnosti (herní měna The Standoff) a vývojářský tým dostal pokutu.
Organizátoři také mohli podle podmínek soutěže stanovit účastníkům úkoly pro vylepšení aplikace: důležité bylo implementovat novou funkcionalitu bez chyb, které by ovlivnily bezpečnost služby. Za každou minutu správného fungování aplikace a za implementaci vylepšení byli vývojáři odměněni cennými veřejnými prostředky. Pokud byla v projektu nalezena zranitelnost, stejně jako za každou minutu výpadku nebo nesprávného fungování aplikace, byly odepsány. Naši roboti to bedlivě sledovali: pokud našli problém, nahlásili jsme to týmu bitaps a dali jim šanci problém vyřešit. Pokud to nebylo odstraněno, vedlo to ke ztrátám. Všechno je jako v životě!
První den soutěže si útočníci vyzkoušeli službu. Do konce dne jsme obdrželi jen pár hlášení o drobných zranitelnostech v aplikaci, které kluci z bitapů promptně opravili. Kolem 23. hodiny, kdy už se měli účastníci nudit, od nás dostali návrh na vylepšení softwaru. Úkol to nebyl snadný. Na základě zpracování plateb dostupného v aplikaci bylo nutné implementovat službu, která by umožňovala přenášet tokeny mezi dvěma peněženkami pomocí odkazu. Odesílatel platby - uživatel služby - musí zadat částku na speciální stránce a uvést heslo pro tento převod. Systém musí vygenerovat jedinečný odkaz, který je odeslán příjemci platby. Příjemce otevře odkaz, zadá heslo pro převod a uvede svou peněženku, aby obdržel částku.
Po obdržení úkolu se kluci vzchopili a ve 4 hodiny ráno byla služba pro přenos tokenů přes odkaz připravena. Útočníci nás nenechali čekat a během pár hodin objevili drobnou XSS zranitelnost ve vytvořené službě a nahlásili nám ji. Zkontrolovali jsme a potvrdili jeho dostupnost. Vývojový tým to úspěšně opravil.
Druhý den hackeři soustředili svou pozornost na kancelářský segment virtuálního města, takže již nedocházelo k útokům na aplikaci a vývojáři si mohli konečně odpočinout od bezesné noci.
Na závěr dvoudenní soutěže jsme projektu bitaps udělili památné ceny.
Jak účastníci po hře přiznali, hackathon jim umožnil otestovat sílu aplikace a potvrdit její vysokou úroveň zabezpečení. „Účast na hackathonu je skvělou příležitostí otestovat bezpečnost vašeho projektu a získat odborné znalosti v oblasti kvality kódu. Jsme rádi: dokázali jsme odolat náporu útočníků, — podělil se o své dojmy člen vývojového týmu bitaps Alexey Karpov. - Byl to neobvyklý zážitek, protože jsme museli aplikaci ve stresové situaci dolaďovat kvůli rychlosti. Potřebujete napsat kvalitní kód a zároveň je zde velké riziko chyb. V takových podmínkách začnete používat všechny své dovednosti.".
Příští rok plánujeme uspořádat hackathon znovu. Sledujte novinky!
Zdroj: www.habr.com