Na PHDays 9 po prvi put u sklopu cyber bitke Održan je hackathon za programere. Dok su se branitelji i napadači dva dana borili za kontrolu nad gradom, programeri su morali ažurirati unaprijed napisane i postavljene aplikacije i osigurati njihov nesmetan rad usprkos nizu napada. Reći ćemo vam što je iz toga ispalo.
Za sudjelovanje u hackathonu prihvaćeni su samo nekomercijalni projekti koje su prijavili njihovi autori. Dobili smo prijave od četiri projekta, no odabran je samo jedan - bitaps (). Tim analizira blockchain Bitcoina, Ethereuma i drugih alternativnih kriptovaluta, obrađuje plaćanja i razvija novčanik za kriptovalute.
Nekoliko dana prije početka natjecanja sudionici su dobili udaljeni pristup gaming infrastrukturi za instaliranje svoje aplikacije (bila je smještena u nezaštićenom segmentu). U The Standoffu napadači su, osim infrastrukture virtualnog grada, morali napasti aplikaciju i napisati bug bounty izvješća o pronađenim propustima. Nakon što su organizatori potvrdili prisutnost pogrešaka, programeri su ih mogli ispraviti ako su željeli. Za sve potvrđene ranjivosti napadački tim dobio je nagradu u javnosti (valuta igre The Standoff), a razvojni tim novčano je kažnjen.
Također, prema uvjetima natječaja, organizatori su sudionicima mogli postaviti zadatke za poboljšanje aplikacije: bilo je važno implementirati nove funkcionalnosti bez pogrešaka koje bi utjecale na sigurnost usluge. Za svaku minutu ispravnog rada aplikacije i za implementaciju poboljšanja programeri su nagrađeni dragocjenim javnim sredstvima. Ako je pronađena ranjivost u projektu, kao i za svaku minutu zastoja ili neispravan rad aplikacije, oni su otpisivani. To su pomno pratili naši roboti: ako su otkrili problem, prijavili smo to bitaps timu, dajući im priliku da riješe problem. Ako nije eliminirano, dovelo je do gubitaka. Sve je kao u životu!
Prvog dana natjecanja napadači su testirali servis. Do kraja dana dobili smo tek nekoliko dojava o manjim propustima u aplikaciji, koje su dečki iz bitapsa promptno otklonili. Oko 23 sata, kada je sudionicima već postalo dosadno, dobili su od nas prijedlog za poboljšanje softvera. Zadatak nije bio lak. Na temelju obrade plaćanja dostupne u aplikaciji, bilo je potrebno implementirati uslugu koja bi omogućila prijenos tokena između dva novčanika pomoću veze. Pošiljatelj uplate - korisnik usluge - mora unijeti iznos na posebnoj stranici i navesti lozinku za ovaj prijenos. Sustav mora generirati jedinstvenu vezu koja se šalje primatelju. Primatelj otvara poveznicu, upisuje lozinku za prijenos i označava svoj novčanik za primanje iznosa.
Dobivši zadatak, dečki su se razigrali i do 4 sata ujutro usluga za prijenos tokena putem veze bila je spremna. Napadači nas nisu dali čekati te su u roku od nekoliko sati otkrili manju XSS ranjivost u kreiranom servisu i prijavili nam je. Provjerili smo i potvrdili njegovu dostupnost. Razvojni tim je to uspješno popravio.
Drugi dan hakeri su svoju pozornost koncentrirali na uredski segment virtualnog grada, pa više nije bilo napada na aplikaciju, a programeri su konačno mogli odmoriti od neprospavane noći.
Na kraju dvodnevnog natjecanja projektu bitaps dodijelili smo nezaboravne nagrade.
Kako su sudionici priznali nakon igre, hackathon im je omogućio da testiraju snagu aplikacije i potvrde visoku razinu sigurnosti. “Sudjelovanje u hackathonu izvrsna je prilika za testiranje sigurnosti vašeg projekta i stjecanje stručnosti u kvaliteti koda. Drago nam je: uspjeli smo odoljeti naletu napadača, — podijelio je dojmove član razvojnog tima bitaps Alexey Karpov. - Bilo je to neobično iskustvo, jer smo zbog brzine morali doraditi aplikaciju u stresnoj situaciji. Morate napisati visokokvalitetni kod, au isto vrijeme postoji veliki rizik od pogrešaka. U takvim uvjetima počinjete koristiti sve svoje vještine.".
Iduće godine planiramo ponovno održati hackathon. Pratite novosti!
Izvor: www.habr.com