En PHDays 9 por primera vez como parte de una ciberbatalla
Sólo se aceptaron para participar en el hackathon proyectos no comerciales presentados por sus autores. Recibimos solicitudes de cuatro proyectos, pero solo uno fue seleccionado: bitaps (
Unos días antes del inicio de la competición, los participantes recibieron acceso remoto a la infraestructura de juego para instalar su aplicación (estaba alojada en un segmento desprotegido). En The Standoff, los atacantes, además de la infraestructura de la ciudad virtual, tuvieron que atacar la aplicación y escribir informes de recompensas por errores sobre las vulnerabilidades encontradas. Después de que los organizadores confirmaron la presencia de errores, los desarrolladores pudieron corregirlos si así lo deseaban. Por todas las vulnerabilidades confirmadas, el equipo atacante recibió una recompensa pública (la moneda del juego The Standoff) y el equipo de desarrollo fue multado.
Además, según los términos del concurso, los organizadores podían asignar a los participantes tareas para mejorar la aplicación: era importante implementar nuevas funciones sin cometer errores que afectaran la seguridad del servicio. Por cada minuto de correcto funcionamiento de la aplicación y por la implementación de mejoras, los desarrolladores recibieron valiosos fondos públicos. Si se encontraba una vulnerabilidad en el proyecto, así como por cada minuto de inactividad o funcionamiento incorrecto de la aplicación, se cancelaban. Esto fue monitoreado de cerca por nuestros robots: si encontraban un problema, lo informábamos al equipo de bitaps, dándoles la oportunidad de solucionarlo. Si no se eliminaba, se producían pérdidas. ¡Todo es como en la vida!
El primer día de competición los atacantes pusieron a prueba el servicio. Al final del día, solo recibimos algunos informes de vulnerabilidades menores en la aplicación, que los chicos de bitaps solucionaron rápidamente. Alrededor de las 23:XNUMX horas, cuando los participantes estaban a punto de aburrirse, recibieron una propuesta nuestra para mejorar el software. La tarea no fue fácil. Con base en el procesamiento de pagos disponible en la aplicación, era necesario implementar un servicio que permitiera transferir tokens entre dos billeteras mediante un enlace. El remitente del pago, el usuario del servicio, debe ingresar el monto en una página especial e indicar la contraseña para esta transferencia. El sistema debe generar un enlace único que se envía al beneficiario. El destinatario abre el enlace, ingresa la contraseña de la transferencia e indica su billetera para recibir el monto.
Después de recibir la tarea, los muchachos se animaron y a las 4 de la mañana el servicio para transferir tokens a través del enlace estaba listo. Los atacantes no nos hicieron esperar y al cabo de unas horas descubrieron una vulnerabilidad XSS menor en el servicio creado y nos lo informaron. Comprobamos y confirmamos su disponibilidad. El equipo de desarrollo lo solucionó con éxito.
El segundo día, los piratas informáticos concentraron su atención en el segmento de oficinas de la ciudad virtual, por lo que no hubo más ataques a la aplicación y los desarrolladores finalmente pudieron descansar de una noche de insomnio.
Al final del concurso de dos días, entregamos premios memorables al proyecto bitaps.
Como admitieron los participantes después del juego, el hackathon les permitió probar la solidez de la aplicación y confirmar su alto nivel de seguridad. “La participación en un hackathon es una gran oportunidad para probar la seguridad de su proyecto y adquirir experiencia en la calidad del código. Estamos contentos: logramos resistir el ataque de los atacantes, — compartió sus impresiones miembro del equipo de desarrollo de bitaps Alexey Karpov. - Fue una experiencia inusual, ya que tuvimos que perfeccionar la aplicación en una situación estresante, para mayor velocidad. Es necesario escribir código de alta calidad y, al mismo tiempo, existe un alto riesgo de cometer errores. En tales condiciones empiezas a utilizar todas tus habilidades.".
Estamos planeando volver a realizar un hackathon el próximo año. ¡Sigue las novedades!
Fuente: habr.com