Al PHDays 9 per la prima volta come parte di una battaglia informatica Si è svolto un hackathon per gli sviluppatori. Mentre difensori e aggressori combattevano per due giorni per il controllo della città, gli sviluppatori dovevano aggiornare le applicazioni già scritte e distribuite e assicurarsi che funzionassero senza intoppi nonostante una raffica di attacchi. Ti diremo cosa ne è venuto fuori.
Sono stati accettati per partecipare all'hackathon solo i progetti non commerciali presentati dai loro autori. Abbiamo ricevuto candidature da quattro progetti, ma ne è stato selezionato solo uno: bitap (). Il team analizza la blockchain di Bitcoin, Ethereum e altre criptovalute alternative, elabora i pagamenti e sviluppa un portafoglio di criptovaluta.
Pochi giorni prima dell'inizio del concorso, i partecipanti hanno avuto accesso remoto all'infrastruttura di gioco per installare la loro applicazione (era ospitata in un segmento non protetto). A The Standoff, gli aggressori, oltre all'infrastruttura della città virtuale, hanno dovuto attaccare l'applicazione e scrivere report di bug bounty sulle vulnerabilità rilevate. Dopo che gli organizzatori hanno confermato la presenza di errori, gli sviluppatori potrebbero correggerli se lo desiderano. Per tutte le vulnerabilità confermate, il team attaccante ha ricevuto una ricompensa in pubblico (la valuta del gioco di The Standoff) e il team di sviluppo è stato multato.
Inoltre, secondo i termini del concorso, gli organizzatori potevano affidare ai partecipanti compiti per migliorare l'applicazione: era importante implementare nuove funzionalità senza commettere errori che avrebbero compromesso la sicurezza del servizio. Per ogni minuto di corretto funzionamento dell'applicazione e per l'implementazione dei miglioramenti, gli sviluppatori hanno ricevuto preziosi fondi pubblici. Se veniva rilevata una vulnerabilità nel progetto, così come per ogni minuto di inattività o funzionamento errato dell'applicazione, venivano cancellati. Questo è stato attentamente monitorato dai nostri robot: se riscontravano un problema, lo segnalavamo al team bitaps, dando loro la possibilità di risolvere il problema. Se non veniva eliminato, portava a perdite. Tutto è come nella vita!
Il primo giorno della competizione gli aggressori hanno testato il servizio. Alla fine della giornata abbiamo ricevuto solo poche segnalazioni di piccole vulnerabilità nell'applicazione, che i ragazzi di bitaps hanno prontamente risolto. Intorno alle 23, quando i partecipanti stavano per annoiarsi, hanno ricevuto da noi una proposta per migliorare il software. Il compito non era facile. Sulla base dell'elaborazione dei pagamenti disponibile nell'applicazione, era necessario implementare un servizio che consentisse di trasferire token tra due portafogli tramite un collegamento. Il mittente del pagamento - l'utente del servizio - deve inserire l'importo in un'apposita pagina e indicare la password per questo trasferimento. Il sistema deve generare un collegamento univoco che viene inviato al beneficiario. Il destinatario apre il collegamento, inserisce la password per il bonifico e indica il proprio portafoglio per ricevere l'importo.
Dopo aver ricevuto l'incarico, i ragazzi si sono rianimati e alle 4 del mattino il servizio per il trasferimento dei token tramite il collegamento era pronto. Gli aggressori non si sono fatti attendere e nel giro di poche ore hanno scoperto una piccola vulnerabilità XSS nel servizio creato e ce l'hanno segnalata. Abbiamo controllato e confermato la sua disponibilità. Il team di sviluppo lo ha risolto con successo.
Il secondo giorno gli hacker hanno concentrato la loro attenzione sul segmento degli uffici della città virtuale, così non ci sono stati più attacchi all'applicazione e gli sviluppatori hanno finalmente potuto riposarsi da una notte insonne.
Al termine dei due giorni di competizione, abbiamo assegnato premi memorabili al progetto bitaps.
Come hanno ammesso i partecipanti dopo la partita, l'hackathon ha permesso loro di testare la forza dell'applicazione e confermarne l'alto livello di sicurezza. “La partecipazione a un hackathon è un'ottima occasione per testare la sicurezza del tuo progetto e acquisire esperienza nella qualità del codice. Siamo contenti: siamo riusciti a resistere all'assalto degli aggressori, - ha condiviso le sue impressioni membro del team di sviluppo bitaps Alexey Karpov. - È stata un'esperienza insolita, poiché abbiamo dovuto affinare l'applicazione in una situazione di stress, per velocità. È necessario scrivere codice di alta qualità e allo stesso tempo il rischio di commettere errori è elevato. In tali condizioni inizi a usare tutte le tue abilità.".
Stiamo programmando di organizzare nuovamente un hackathon l'anno prossimo. Segui le notizie!
Fonte: habr.com