På PHDays 9 for første gang som en del af en cyberkamp Et hackathon for udviklere fandt sted. Mens forsvarere og angribere kæmpede i to dage om kontrol over byen, skulle udviklere opdatere forudskrevne og implementerede applikationer og sikre, at de kørte problemfrit over for en byge af angreb. Vi fortæller dig, hvad der kom ud af det.
Kun ikke-kommercielle projekter indsendt af deres forfattere blev accepteret til at deltage i hackathonet. Vi modtog ansøgninger fra fire projekter, men kun ét blev udvalgt - bitaps (). Holdet analyserer blockchain af Bitcoin, Ethereum og andre alternative kryptovalutaer, behandler betalinger og udvikler en kryptovaluta-pung.
Et par dage før konkurrencens start fik deltagerne fjernadgang til spilinfrastrukturen for at installere deres applikation (den var hostet i et ubeskyttet segment). På The Standoff måtte angribere, udover infrastrukturen i den virtuelle by, angribe applikationen og skrive bug bounty-rapporter om de fundne sårbarheder. Efter at arrangørerne havde bekræftet tilstedeværelsen af fejl, kunne udviklerne rette dem, hvis de ønskede det. For alle bekræftede sårbarheder modtog det angribende hold en belønning offentligt (spilvalutaen i The Standoff), og udviklingsholdet blev idømt en bøde.
I henhold til konkurrencevilkårene kunne arrangørerne også sætte deltagernes opgaver for at forbedre applikationen: det var vigtigt at implementere ny funktionalitet uden at begå fejl, der ville påvirke sikkerheden i tjenesten. For hvert minut med korrekt drift af applikationen og for implementering af forbedringer blev udviklerne tildelt dyrebare offentlige midler. Hvis der blev fundet en sårbarhed i projektet, samt for hvert minuts nedetid eller forkert betjening af applikationen, blev de afskrevet. Dette blev nøje overvåget af vores robotter: Hvis de fandt et problem, rapporterede vi det til bitaps-teamet, hvilket gav dem en chance for at løse problemet. Hvis det ikke blev elimineret, førte det til tab. Alt er som i livet!
På konkurrencens første dag testede angriberne tjenesten. Ved udgangen af dagen modtog vi kun et par rapporter om mindre sårbarheder i applikationen, som gutterne fra bitaps straks fiksede. Omkring klokken 23, da deltagerne var ved at kede sig, modtog de et forslag fra os om at forbedre softwaren. Opgaven var ikke let. Baseret på betalingsbehandlingen, der var tilgængelig i applikationen, var det nødvendigt at implementere en tjeneste, der ville gøre det muligt at overføre tokens mellem to tegnebøger ved hjælp af et link. Afsenderen af betalingen - brugeren af tjenesten - skal indtaste beløbet på en særlig side og angive adgangskoden til denne overførsel. Systemet skal generere et unikt link, der sendes til betalingsmodtager. Modtageren åbner linket, indtaster adgangskoden til overførslen og angiver sin pung for at modtage beløbet.
Efter at have modtaget opgaven blev fyrene friske op, og ved 4-tiden om morgenen var tjenesten til overførsel af tokens via linket klar. Angriberne lod os ikke vente og opdagede inden for et par timer en mindre XSS-sårbarhed i den oprettede tjeneste og rapporterede det til os. Vi tjekkede og bekræftede dens tilgængelighed. Udviklingsteamet fiksede det med succes.
På den anden dag koncentrerede hackerne deres opmærksomhed om kontorsegmentet i den virtuelle by, så der ikke var flere angreb på applikationen, og udviklerne kunne endelig hvile fra en søvnløs nat.
Ved afslutningen af den to-dages konkurrence tildelte vi bitaps-projektets mindeværdige priser.
Som deltagerne indrømmede efter kampen, gav hackathonet dem mulighed for at teste styrken af applikationen og bekræfte dets høje sikkerhedsniveau. “Deltagelse i et hackathon er en fantastisk chance for at teste dit projekt for sikkerhed og få ekspertise i kodekvalitet. Vi er glade for: det lykkedes os at modstå angribernes angreb, — delte sine indtryk medlem af bitaps-udviklingsteamet Alexey Karpov. — Det var en usædvanlig oplevelse, da vi var nødt til at finpudse applikationen i en stresset situation, for hurtighed. Du skal skrive kode af høj kvalitet, og samtidig er der stor risiko for at lave fejl. Under sådanne forhold begynder du at bruge alle dine færdigheder.".
Vi planlægger at afholde et hackathon igen næste år. Følg nyhederne!
Kilde: www.habr.com