En PHDays 9 por primeira vez como parte dunha batalla cibernética Tivo lugar un hackathon para desenvolvedores. Mentres os defensores e atacantes loitaron durante dous días polo control da cidade, os desenvolvedores tiveron que actualizar as aplicacións preescritas e implantadas e asegurarse de que funcionasen sen problemas ante un aluvión de ataques. Xa vos contaremos que foi.
Só os proxectos non comerciais presentados polos seus autores foron aceptados para participar no hackathon. Recibimos solicitudes de catro proxectos, pero só se seleccionou un: bitaps (). O equipo analiza a cadea de bloques de Bitcoin, Ethereum e outras criptomoedas alternativas, procesa os pagos e desenvolve unha carteira de criptomoedas.
Uns días antes do comezo da competición, os participantes recibiron acceso remoto á infraestrutura de xogos para instalar a súa aplicación (estaba aloxada nun segmento sen protección). En The Standoff, os atacantes, ademais da infraestrutura da cidade virtual, tiveron que atacar a aplicación e escribir informes de recompensas de erros sobre as vulnerabilidades atopadas. Despois de que os organizadores confirmasen a presenza de erros, os desenvolvedores poderían corrixilos se o desexaban. Por todas as vulnerabilidades confirmadas, o equipo atacante recibiu unha recompensa en público (a moeda do xogo de The Standoff) e o equipo de desenvolvemento foi multado.
Así mesmo, segundo as bases do concurso, os organizadores podían establecer aos participantes tarefas para mellorar a aplicación: era importante implementar novas funcionalidades sen cometer erros que afectasen á seguridade do servizo. Por cada minuto de funcionamento correcto da aplicación e para a implantación de melloras, os desenvolvedores foron premiados con fondos públicos preciosos. Se se atopaba unha vulnerabilidade no proxecto, así como por cada minuto de inactividade ou funcionamento incorrecto da aplicación, foron canceladas. Os nosos robots monitorizárono de cerca: se atopaban un problema, informámolo ao equipo de bitaps, dándolles a oportunidade de solucionar o problema. Se non se eliminaba, provocaba perdas. Todo é como na vida!
O primeiro día da competición, os atacantes probaron o servizo. Ao final do día, só recibimos algúns informes de vulnerabilidades menores na aplicación, que os mozos de bitaps solucionaron de inmediato. Ao redor das 23 horas, cando os participantes estaban a piques de aburrirse, recibiron unha proposta nosa para mellorar o software. A tarefa non foi doada. En función do procesamento de pagos dispoñible na aplicación, foi necesario implementar un servizo que permitise transferir tokens entre dúas carteiras mediante unha ligazón. O remitente do pagamento -o usuario do servizo- deberá introducir o importe nunha páxina especial e indicar o contrasinal para esta transferencia. O sistema debe xerar unha ligazón única que se envía ao beneficiario. O destinatario abre a ligazón, introduce o contrasinal para a transferencia e indica a súa carteira para recibir o importe.
Unha vez recibida a tarefa, os rapaces animáronse e ás 4 da mañá xa estaba listo o servizo de transferencia de fichas a través da ligazón. Os atacantes non nos fixeron esperar e en poucas horas descubriron unha vulnerabilidade XSS menor no servizo creado e informouno. Comprobamos e confirmamos a súa dispoñibilidade. O equipo de desenvolvemento solucionouno con éxito.
O segundo día, os hackers concentraron a súa atención no segmento de oficinas da cidade virtual, polo que non houbo máis ataques á aplicación e os desenvolvedores finalmente puideron descansar dunha noite sen durmir.
Ao remate do concurso de dous días, concedemos ao proxecto bitaps premios memorables.
Segundo admitiron os participantes tras o partido, o hackathon permitiulles probar a forza da aplicación e confirmar o seu alto nivel de seguridade. "A participación nun hackathon é unha gran oportunidade para probar a seguridade do teu proxecto e adquirir coñecementos na calidade do código. Estamos contentos: conseguimos resistir o ataque dos atacantes, - compartiu as súas impresións membro do equipo de desenvolvemento de bitaps Alexey Karpov. - Foi unha experiencia inusual, xa que tivemos que perfeccionar a aplicación nunha situación estresante, pola velocidade. Debe escribir código de alta calidade e, ao mesmo tempo, hai un alto risco de cometer erros. En tales condicións comezas a usar todas as túas habilidades"..
Estamos a planear realizar un hackathon de novo o ano que vén. Segue as novidades!
Fonte: www.habr.com