Bei den PHDays 9 erstmals im Rahmen eines Cyber Battles Es fand ein Hackathon für Entwickler statt. Während Verteidiger und Angreifer zwei Tage lang um die Kontrolle über die Stadt kämpften, mussten Entwickler vorab geschriebene und bereitgestellte Anwendungen aktualisieren und sicherstellen, dass sie angesichts einer Flut von Angriffen reibungslos funktionierten. Wir verraten Ihnen, was dabei herausgekommen ist.
Zur Teilnahme am Hackathon wurden nur nicht-kommerzielle Projekte zugelassen, die von ihren Autoren eingereicht wurden. Wir haben Bewerbungen von vier Projekten erhalten, aber nur eines wurde ausgewählt – Bitaps (). Das Team analysiert die Blockchain von Bitcoin, Ethereum und anderen alternativen Kryptowährungen, verarbeitet Zahlungen und entwickelt ein Kryptowährungs-Wallet.
Einige Tage vor Beginn des Wettbewerbs erhielten die Teilnehmer Fernzugriff auf die Gaming-Infrastruktur, um ihre Anwendung zu installieren (sie wurde in einem ungeschützten Segment gehostet). Bei The Standoff mussten Angreifer neben der Infrastruktur der virtuellen Stadt auch die Anwendung angreifen und Bug-Bounty-Berichte über die gefundenen Schwachstellen schreiben. Nachdem die Organisatoren das Vorliegen von Fehlern bestätigt hatten, konnten die Entwickler diese auf Wunsch korrigieren. Für alle bestätigten Schwachstellen erhielt das angreifende Team eine öffentliche Belohnung (die Spielwährung von The Standoff) und das Entwicklungsteam wurde mit einer Geldstrafe belegt.
Gemäß den Bedingungen des Wettbewerbs konnten die Organisatoren den Teilnehmern außerdem Aufgaben zur Verbesserung der Anwendung stellen: Es war wichtig, neue Funktionen zu implementieren, ohne Fehler zu machen, die die Sicherheit des Dienstes beeinträchtigen würden. Für jede Minute des ordnungsgemäßen Betriebs der Anwendung und für die Umsetzung von Verbesserungen wurden den Entwicklern wertvolle öffentliche Gelder zugesprochen. Wenn im Projekt eine Schwachstelle festgestellt wurde, sowie für jede Minute Ausfallzeit oder Fehlbedienung der Anwendung wurden diese abgeschrieben. Dies wurde von unseren Robotern genau überwacht: Wenn sie ein Problem fanden, meldeten wir es dem Bitaps-Team und gaben ihnen die Möglichkeit, das Problem zu beheben. Wenn es nicht beseitigt wurde, führte es zu Verlusten. Alles ist wie im Leben!
Am ersten Wettkampftag testeten die Angreifer den Dienst. Am Ende des Tages erreichten uns nur wenige Meldungen über kleinere Schwachstellen in der Anwendung, die die Jungs von bitaps umgehend behoben haben. Gegen 23 Uhr, als den Teilnehmern schon Langeweile aufkam, erhielten sie von uns einen Vorschlag zur Verbesserung der Software. Die Aufgabe war nicht einfach. Basierend auf der in der Anwendung verfügbaren Zahlungsabwicklung war es notwendig, einen Dienst zu implementieren, der die Übertragung von Token zwischen zwei Wallets über einen Link ermöglicht. Der Absender der Zahlung – der Nutzer des Dienstes – muss den Betrag auf einer speziellen Seite eingeben und das Passwort für diese Überweisung angeben. Das System muss einen eindeutigen Link generieren, der an den Zahlungsempfänger gesendet wird. Der Empfänger öffnet den Link, gibt das Passwort für die Überweisung ein und gibt sein Wallet an, um den Betrag zu erhalten.
Nachdem sie die Aufgabe erhalten hatten, wurden die Jungs munter und um 4 Uhr morgens war der Dienst zum Übertragen von Token über den Link bereit. Die Angreifer ließen uns nicht warten und entdeckten innerhalb weniger Stunden eine kleine XSS-Schwachstelle im erstellten Dienst und meldeten sie uns. Wir haben die Verfügbarkeit geprüft und bestätigt. Das Entwicklungsteam hat das Problem erfolgreich behoben.
Am zweiten Tag konzentrierten sich die Hacker auf den Bürobereich der virtuellen Stadt, so dass es keine Angriffe mehr auf die Anwendung gab und die Entwickler endlich eine schlaflose Nacht ausruhen konnten.
Am Ende des zweitägigen Wettbewerbs haben wir dem bitaps-Projekt unvergessliche Preise verliehen.
Wie die Teilnehmer nach dem Spiel feststellten, ermöglichte ihnen der Hackathon, die Stärke der Anwendung zu testen und ihr hohes Sicherheitsniveau zu bestätigen. „Die Teilnahme an einem Hackathon ist eine großartige Gelegenheit, Ihr Projekt auf Sicherheit zu testen und Fachwissen zur Codequalität zu erwerben. Wir sind froh: Es ist uns gelungen, dem Ansturm der Angreifer standzuhalten, — teilte seine Eindrücke mit Mitglied des Bitaps-Entwicklungsteams Alexey Karpov. - Es war eine ungewöhnliche Erfahrung, da wir die Anwendung aus Geschwindigkeitsgründen in einer stressigen Situation verfeinern mussten. Sie müssen qualitativ hochwertigen Code schreiben, gleichzeitig besteht ein hohes Fehlerrisiko. Unter solchen Bedingungen beginnt man, alle seine Fähigkeiten einzusetzen.“.
Wir planen, nächstes Jahr wieder einen Hackathon durchzuführen. Verfolgen Sie die Nachrichten!
Source: habr.com