PHDays 9-l esimest korda kĂŒberlahingu osana Toimus hĂ€katon arendajatele. Samal ajal kui kaitsjad ja rĂŒndajad vĂ”itlesid kaks pĂ€eva linna kontrolli eest, pidid arendajad vĂ€rskendama eelnevalt kirjutatud ja juurutatud rakendusi ning tagama, et need toimiksid rĂŒnnakute tulvi korral sujuvalt. Me rÀÀgime teile, mis sellest vĂ€lja tuli.
HĂ€katonil osalemiseks vĂ”eti vastu ainult nende autorite esitatud mitteĂ€rilised projektid. Saime taotlusi neljast projektist, kuid valituks osutus ainult ĂŒks - bitaps (). Meeskond analĂŒĂŒsib Bitcoini, Ethereumi ja teiste alternatiivsete krĂŒptovaluutade plokiahelat, töötleb makseid ja arendab krĂŒptoraha rahakotti.
MĂ”ni pĂ€ev enne vĂ”istluse algust said osalejad rakenduse installimiseks kaugjuurdepÀÀsu mĂ€ngude infrastruktuurile (see oli kaitsmata segmendis). The Standoffis pidid rĂŒndajad lisaks virtuaalse linna infrastruktuurile rĂŒndama rakendust ja kirjutama leitud turvaaukude kohta veateateid. PĂ€rast seda, kui korraldajad kinnitasid vigade olemasolu, said arendajad need soovi korral parandada. KĂ”igi kinnitatud haavatavuste eest sai rĂŒndav meeskond avalikult tasu (The Standoffi mĂ€nguvaluuta) ja arendusmeeskonda trahviti.
Samuti said korraldajad konkursi tingimuste kohaselt osalejatele seada ĂŒlesandeid rakenduse tĂ€iustamiseks: oluline oli juurutada uus funktsionaalsus ilma teenuse turvalisust mĂ”jutavate vigadeta. Rakenduse korrektse töötamise ja paranduste rakendamise iga minuti eest said arendajad vÀÀrtuslikke riiklikke vahendeid. Kui projektis leiti haavatavus, samuti iga minuti seisaku vĂ”i rakenduse ebaĂ”ige töö korral, siis need kanti maha. Meie robotid jĂ€lgisid seda tĂ€helepanelikult: kui nad leidsid probleemi, teatasime sellest bitapsi meeskonnale, andes neile vĂ”imaluse probleem lahendada. Kui seda ei kĂ”rvaldatud, pĂ”hjustas see kaotusi. KĂ”ik on tĂ€pselt nagu elus!
Esimesel vĂ”istluspĂ€eval testisid rĂŒndajad teenust. PĂ€eva lĂ”puks saime vaid ĂŒksikuid teateid rakenduse vĂ€iksematest turvaaukudest, mille bitapsi kutid kiirelt parandasid. Kella 23 paiku, kui osalejatel hakkas igav, said nad meilt ettepaneku tarkvara tĂ€iustamiseks. Ălesanne polnud kerge. Rakenduses olemasoleva maksetöötluse pĂ”hjal oli vaja juurutada teenus, mis vĂ”imaldaks lingi abil ĆŸetoone kahe rahakoti vahel ĂŒle kanda. Makse saatja - teenuse kasutaja - peab sisestama summa spetsiaalsele lehele ja mĂ€rkima selle ĂŒlekande parooli. SĂŒsteem peab genereerima unikaalse lingi, mis saadetakse makse saajale. Saaja avab lingi, sisestab ĂŒlekande parooli ja nĂ€itab rahakotti summa kĂ€ttesaamiseks.
PĂ€rast ĂŒlesande kĂ€ttesaamist elavnesid poisid ja kella neljaks hommikul oli lingi kaudu ĆŸetoonide edastamise teenus valmis. RĂŒndajad ei jĂ€tnud meid ootama ja avastasid mĂ”ne tunni jooksul loodud teenuses vĂ€ikese XSS-i haavatavuse ning andsid sellest meile teada. Kontrollisime ja kinnitasime selle saadavuse. Arendusmeeskond parandas selle edukalt.
Teisel pĂ€eval koondasid hĂ€kkerid oma tĂ€helepanu virtuaalse linna kontorisegmendile, mistĂ”ttu rakendust enam ei rĂŒnnatud ning arendajad said lĂ”puks magamata ööst vĂ€lja puhata.
KahepÀevase vÔistluse lÔpus jagasime bitapide projektile meeldejÀÀvaid auhindu.
Nagu osalejad pĂ€rast mĂ€ngu tunnistasid, vĂ”imaldas hĂ€katon testida rakenduse tugevust ja kinnitada selle kĂ”rget turvalisust. âHĂ€ckathonil osalemine on suurepĂ€rane vĂ”imalus testida oma projekti turvalisuse tagamiseks ja omandada teadmisi koodikvaliteedi vallas. Meil on hea meel: suutsime rĂŒndajate pealetungile vastu seista, â jagas oma muljeid bitapsi arendusmeeskonna liige Aleksei Karpov. - See oli ebatavaline kogemus, kuna kiiruse huvides pidime rakendust viimistlema pingelises olukorras. Peate kirjutama kvaliteetset koodi ja samal ajal on suur vigade tegemise oht. Sellistes tingimustes hakkate kasutama kĂ”iki oma oskusi.".
JÀrgmisel aastal plaanime taas hÀkatoni korraldada. JÀlgi uudiseid!
Allikas: www.habr.com
