Aux PHDays 9 pour la première fois dans le cadre d'une cyber-bataille Un hackathon pour les développeurs a eu lieu. Alors que défenseurs et attaquants se sont battus pendant deux jours pour le contrôle de la ville, les développeurs ont dû mettre à jour les applications pré-écrites et déployées et garantir leur bon fonctionnement face à un barrage d'attaques. Nous vous dirons ce qui en est arrivé.
Seuls les projets non commerciaux soumis par leurs auteurs ont été acceptés pour participer au hackathon. Nous avons reçu des candidatures de quatre projets, mais un seul a été sélectionné - bitaps (). L’équipe analyse la blockchain du Bitcoin, de l’Ethereum et d’autres crypto-monnaies alternatives, traite les paiements et développe un portefeuille de crypto-monnaie.
Quelques jours avant le début du concours, les participants bénéficiaient d'un accès à distance à l'infrastructure de jeu pour installer leur application (elle était hébergée dans un segment non protégé). Lors de The Standoff, les attaquants, en plus de l'infrastructure de la ville virtuelle, ont dû attaquer l'application et rédiger des rapports de bug bounty sur les vulnérabilités trouvées. Une fois que les organisateurs ont confirmé la présence d'erreurs, les développeurs pouvaient les corriger s'ils le souhaitaient. Pour toutes les vulnérabilités confirmées, l'équipe attaquante recevait une récompense en public (la monnaie du jeu de The Standoff) et l'équipe de développement était condamnée à une amende.
De plus, selon les termes du concours, les organisateurs pouvaient confier aux participants des tâches pour améliorer l'application : il était important de mettre en œuvre de nouvelles fonctionnalités sans commettre d'erreurs qui affecteraient la sécurité du service. Pour chaque minute de bon fonctionnement de l'application et pour la mise en œuvre d'améliorations, les développeurs ont reçu de précieux fonds publics. Si une vulnérabilité était découverte dans le projet, ainsi que pour chaque minute d'arrêt ou de fonctionnement incorrect de l'application, elles étaient radiées. Ceci était étroitement surveillé par nos robots : s'ils trouvaient un problème, nous le signalions à l'équipe bitaps, leur donnant ainsi la possibilité de résoudre le problème. S’il n’était pas éliminé, cela entraînerait des pertes. Tout est comme dans la vie !
Dès le premier jour de compétition, les attaquants ont testé le service. À la fin de la journée, nous n'avons reçu que quelques rapports faisant état de vulnérabilités mineures dans l'application, que les gars de Bitaps ont rapidement corrigées. Vers 23 heures, alors que les participants étaient sur le point de s'ennuyer, ils ont reçu de notre part une proposition pour améliorer le logiciel. La tâche n'était pas facile. Sur la base du traitement des paiements disponible dans l'application, il était nécessaire de mettre en place un service permettant de transférer des jetons entre deux portefeuilles à l'aide d'un lien. L'expéditeur du paiement - l'utilisateur du service - doit saisir le montant sur une page spéciale et indiquer le mot de passe pour ce transfert. Le système doit générer un lien unique qui est envoyé au bénéficiaire. Le destinataire ouvre le lien, saisit le mot de passe du virement et indique son wallet pour recevoir le montant.
Après avoir reçu la tâche, les gars se sont réveillés et à 4 heures du matin, le service de transfert de jetons via le lien était prêt. Les attaquants ne nous ont pas fait attendre et ont découvert en quelques heures une vulnérabilité XSS mineure dans le service créé et nous l'ont signalée. Nous avons vérifié et confirmé sa disponibilité. L'équipe de développement a réussi à le corriger.
Le deuxième jour, les pirates ont concentré leur attention sur le segment des bureaux de la ville virtuelle, de sorte qu'il n'y a plus eu d'attaques sur l'application et que les développeurs ont enfin pu se reposer d'une nuit blanche.
À la fin des deux jours de compétition, nous avons décerné des prix mémorables au projet bitaps.
Comme les participants l'ont admis après le jeu, le hackathon leur a permis de tester la solidité de l'application et de confirmer son haut niveau de sécurité. « La participation à un hackathon est une excellente occasion de tester la sécurité de votre projet et d'acquérir une expertise en matière de qualité du code. Nous sommes heureux : nous avons réussi à résister aux assauts des assaillants, — a partagé ses impressions membre de l'équipe de développement bitaps Alexey Karpov. - C'était une expérience inhabituelle, puisqu'il fallait peaufiner l'application dans une situation de stress, pour plus de rapidité. Vous devez écrire du code de haute qualité tout en présentant un risque élevé de commettre des erreurs. Dans de telles conditions, vous commencez à utiliser toutes vos compétences. ».
Nous prévoyons d'organiser à nouveau un hackathon l'année prochaine. Suivez l'actualité !
Source: habr.com