Στο PHDays 9 για πρώτη φορά ως μέρος μιας μάχης στον κυβερνοχώρο Πραγματοποιήθηκε ένα hackathon για προγραμματιστές. Ενώ οι υπερασπιστές και οι επιτιθέμενοι μάχονταν για δύο ημέρες για τον έλεγχο της πόλης, οι προγραμματιστές έπρεπε να ενημερώσουν τις προκαθορισμένες και αναπτυγμένες εφαρμογές και να εξασφαλίσουν ότι θα λειτουργούσαν ομαλά μπροστά σε ένα μπαράζ επιθέσεων. Θα σας πούμε τι προέκυψε από αυτό.
Μόνο μη εμπορικά έργα που υποβλήθηκαν από τους δημιουργούς τους έγιναν δεκτά για συμμετοχή στο hackathon. Λάβαμε αιτήσεις από τέσσερα έργα, αλλά επιλέχθηκε μόνο ένα - bitaps (). Η ομάδα αναλύει το blockchain του Bitcoin, του Ethereum και άλλων εναλλακτικών κρυπτονομισμάτων, επεξεργάζεται πληρωμές και αναπτύσσει ένα πορτοφόλι κρυπτονομισμάτων.
Λίγες ημέρες πριν από την έναρξη του διαγωνισμού, οι συμμετέχοντες έλαβαν απομακρυσμένη πρόσβαση στην υποδομή gaming για να εγκαταστήσουν την εφαρμογή τους (φιλοξενήθηκε σε ένα μη προστατευμένο τμήμα). Στο The Standoff, οι επιτιθέμενοι, εκτός από την υποδομή της εικονικής πόλης, έπρεπε να επιτεθούν στην εφαρμογή και να γράψουν αναφορές bounty bug για τα τρωτά σημεία που βρέθηκαν. Αφού οι διοργανωτές επιβεβαίωσαν την ύπαρξη σφαλμάτων, οι προγραμματιστές μπορούσαν να τα διορθώσουν εάν το επιθυμούσαν. Για όλες τις επιβεβαιωμένες ευπάθειες, η επιτιθέμενη ομάδα έλαβε μια ανταμοιβή δημόσια (το νόμισμα παιχνιδιού του The Standoff) και η ομάδα ανάπτυξης επιβλήθηκε πρόστιμο.
Επίσης, σύμφωνα με τους όρους του διαγωνισμού, οι διοργανωτές μπορούσαν να θέσουν στους συμμετέχοντες καθήκοντα για τη βελτίωση της εφαρμογής: ήταν σημαντικό να εφαρμοστούν νέες λειτουργίες χωρίς να γίνουν λάθη που θα επηρέαζαν την ασφάλεια της υπηρεσίας. Για κάθε λεπτό σωστής λειτουργίας της εφαρμογής και για την υλοποίηση βελτιώσεων, οι προγραμματιστές βραβεύτηκαν πολύτιμα δημόσια κεφάλαια. Σε περίπτωση που διαπιστώθηκε ευπάθεια στο έργο, καθώς και για κάθε λεπτό διακοπής λειτουργίας ή λανθασμένης λειτουργίας της εφαρμογής, διαγράφηκαν. Αυτό παρακολουθήθηκε στενά από τα ρομπότ μας: εάν βρήκαν πρόβλημα, το αναφέραμε στην ομάδα bitaps, δίνοντάς τους την ευκαιρία να διορθώσουν το πρόβλημα. Αν δεν εξαλειφόταν, οδηγούσε σε απώλειες. Όλα είναι όπως στη ζωή!
Την πρώτη μέρα του διαγωνισμού, οι επιθετικοί δοκίμασαν την υπηρεσία. Μέχρι το τέλος της ημέρας, λάβαμε μόνο μερικές αναφορές για μικρές ευπάθειες στην εφαρμογή, τις οποίες τα παιδιά από τα bitaps διόρθωσαν αμέσως. Γύρω στις 23 μ.μ., όταν οι συμμετέχοντες ήταν έτοιμοι να βαρεθούν, έλαβαν μια πρόταση από εμάς να βελτιώσουν το λογισμικό. Το εγχείρημα δεν ήταν εύκολο. Με βάση τη διαδικασία πληρωμής που ήταν διαθέσιμη στην εφαρμογή, ήταν απαραίτητο να εφαρμοστεί μια υπηρεσία που θα επέτρεπε τη μεταφορά κουπονιών μεταξύ δύο πορτοφολιών χρησιμοποιώντας έναν σύνδεσμο. Ο αποστολέας της πληρωμής - ο χρήστης της υπηρεσίας - πρέπει να εισαγάγει το ποσό σε ειδική σελίδα και να δηλώσει τον κωδικό πρόσβασης για αυτή τη μεταφορά. Το σύστημα πρέπει να δημιουργήσει έναν μοναδικό σύνδεσμο που αποστέλλεται στον δικαιούχο πληρωμής. Ο παραλήπτης ανοίγει τον σύνδεσμο, εισάγει τον κωδικό πρόσβασης για τη μεταφορά και υποδεικνύει το πορτοφόλι του για να λάβει το ποσό.
Έχοντας λάβει την εργασία, τα παιδιά ξεσηκώθηκαν και μέχρι τις 4 το πρωί η υπηρεσία μεταφοράς κουπονιών μέσω του συνδέσμου ήταν έτοιμη. Οι εισβολείς δεν μας κράτησαν σε αναμονή και μέσα σε λίγες ώρες ανακάλυψαν μια μικρή ευπάθεια XSS στην υπηρεσία που δημιουργήθηκε και μας την ανέφεραν. Ελέγξαμε και επιβεβαιώσαμε τη διαθεσιμότητά του. Η ομάδα ανάπτυξης το διόρθωσε με επιτυχία.
Τη δεύτερη μέρα, οι χάκερ επικέντρωσαν την προσοχή τους στο τμήμα γραφείου της εικονικής πόλης, έτσι δεν υπήρξαν άλλες επιθέσεις στην εφαρμογή και οι προγραμματιστές μπορούσαν επιτέλους να ξεκουραστούν από μια άγρυπνη νύχτα.
Στο τέλος του διήμερου διαγωνισμού, απονείμαμε στο έργο bitaps αξιομνημόνευτα βραβεία.
Όπως παραδέχτηκαν οι συμμετέχοντες μετά το παιχνίδι, το hackathon τους επέτρεψε να δοκιμάσουν τη δύναμη της εφαρμογής και να επιβεβαιώσουν το υψηλό επίπεδο ασφάλειας. «Η συμμετοχή σε ένα hackathon είναι μια εξαιρετική ευκαιρία να δοκιμάσετε το έργο σας για ασφάλεια και να αποκτήσετε εξειδίκευση στην ποιότητα του κώδικα. Χαιρόμαστε: καταφέραμε να αντισταθούμε στην επίθεση των επιτιθέμενων, — μοιράστηκε τις εντυπώσεις του μέλος της ομάδας ανάπτυξης bitaps Alexey Karpov. - Ήταν μια ασυνήθιστη εμπειρία, αφού έπρεπε να τελειοποιήσουμε την εφαρμογή σε μια αγχωτική κατάσταση, για ταχύτητα. Πρέπει να γράψετε κώδικα υψηλής ποιότητας και ταυτόχρονα υπάρχει μεγάλος κίνδυνος να κάνετε λάθη. Σε τέτοιες συνθήκες αρχίζεις να χρησιμοποιείς όλες σου τις ικανότητες»..
Σχεδιάζουμε να κάνουμε ξανά ένα hackathon του χρόνου. Ακολουθήστε τα νέα!
Πηγή: www.habr.com