PHDays 9:ssä ensimmäistä kertaa osana kybertaistelua Järjestettiin hackathon kehittäjille. Puolustajat ja hyökkääjät taistelivat kaksi päivää kaupungin hallinnasta, mutta kehittäjien piti päivittää valmiiksi kirjoitetut ja käyttöönotetut sovellukset ja varmistaa, että ne toimivat kitkattomasti hyökkäystulvassa. Kerromme, mitä siitä tuli.
Hackathoniin hyväksyttiin vain tekijöiden lähettämät ei-kaupalliset projektit. Saimme hakemuksia neljästä hankkeesta, mutta vain yksi valittiin - bitaps (). Tiimi analysoi Bitcoinin, Ethereumin ja muiden vaihtoehtoisten kryptovaluuttojen lohkoketjua, käsittelee maksuja ja kehittää kryptovaluuttalompakkoa.
Muutama päivä ennen kilpailun alkua osallistujat saivat etäyhteyden peliinfrastruktuuriin asentaakseen sovelluksensa (se isännöi suojaamattomassa segmentissä). The Standoffissa hyökkääjät joutuivat virtuaalisen kaupungin infrastruktuurin lisäksi hyökkäämään sovellukseen ja kirjoittamaan bugiraportteja löydetyistä haavoittuvuuksista. Kun järjestäjät vahvistivat virheiden olemassaolon, kehittäjät voivat halutessaan korjata ne. Kaikista vahvistetuista haavoittuvuuksista hyökkääjäjoukkue sai julkisen palkinnon (The Standoffin pelivaluutta), ja kehitystiimi sai sakot.
Lisäksi kilpailun ehtojen mukaan järjestäjät saattoivat asettaa osallistujille tehtäviä sovelluksen parantamiseksi: oli tärkeää ottaa käyttöön uusia toimintoja ilman palvelun turvallisuuteen vaikuttavia virheitä. Jokaisesta sovelluksen oikean toiminnan minuutista ja parannusten toteuttamisesta kehittäjät saivat arvokkaita julkisia varoja. Jos projektista löydettiin haavoittuvuus, samoin kuin jokaisesta seisokkiminuutista tai sovelluksen virheellisestä toiminnasta, ne kirjattiin pois. Robottimme seurasivat tätä tarkasti: jos he löysivät ongelman, ilmoitimme siitä bitaps-tiimille, jolloin he saivat mahdollisuuden korjata ongelman. Jos sitä ei eliminoitu, se johti tappioihin. Kaikki on kuin elämässä!
Ensimmäisenä kilpailupäivänä hyökkääjät testasivat palvelua. Päivän päätteeksi saimme vain muutaman ilmoituksen sovelluksen pienistä haavoittuvuuksista, jotka bitapsin tyypit korjasivat nopeasti. Klo 23 aikoihin, kun osallistujat alkoivat kyllästyä, he saivat meiltä ehdotuksen ohjelmiston parantamiseksi. Tehtävä ei ollut helppo. Sovelluksessa käytettävissä olevan maksunkäsittelyn perusteella oli tarpeen toteuttaa palvelu, joka mahdollistaisi rahakkeiden siirtämisen kahden lompakon välillä linkin avulla. Maksun lähettäjän - palvelun käyttäjän - tulee syöttää summa erityiselle sivulle ja ilmoittaa tämän siirron salasana. Järjestelmän on luotava yksilöllinen linkki, joka lähetetään maksunsaajalle. Vastaanottaja avaa linkin, syöttää tilisiirron salasanan ja ilmoittaa lompakkonsa vastaanottaakseen summan.
Tehtävän saatuaan kaverit piristyivät ja aamulla kello 4 mennessä palvelu tokenien siirtoon linkin kautta oli valmis. Hyökkääjät eivät jättäneet meitä odottamaan, vaan havaitsivat muutaman tunnin sisällä luodussa palvelussa pienen XSS-haavoittuvuuden ja ilmoittivat siitä meille. Tarkistimme ja vahvistimme sen saatavuuden. Kehitystiimi korjasi sen onnistuneesti.
Toisena päivänä hakkerit keskittivät huomionsa virtuaalikaupungin toimistosegmenttiin, joten sovellukseen ei enää hyökätty, ja kehittäjät saivat vihdoin levätä unettomuudesta.
Kaksipäiväisen kilpailun päätteeksi jakoimme bitaps-projektille ikimuistoisia palkintoja.
Kuten osallistujat pelin jälkeen myönsivät, hackathon antoi heille mahdollisuuden testata sovelluksen vahvuutta ja varmistaa sen korkean turvallisuustason. ”Osallistuminen hackathoniin on loistava tilaisuus testata projektisi turvallisuutta ja hankkia asiantuntemusta koodin laadusta. Olemme iloisia: onnistuimme vastustamaan hyökkääjien hyökkäystä, - kertoi vaikutelmansa bitaps-kehitysryhmän jäsen Alexey Karpov. - Se oli epätavallinen kokemus, koska jouduimme hiomaan sovellusta stressaavassa tilanteessa nopeuden vuoksi. Sinun on kirjoitettava korkealaatuista koodia, ja samalla on suuri virheiden riski. Tällaisissa olosuhteissa alat käyttää kaikkia taitojasi.".
Aiomme järjestää hackathonin jälleen ensi vuonna. Seuraa uutisia!
Lähde: will.com