PHDays 9 pirmą kartą kaip kibernetinio mūšio dalis Vyko hakatonas kūrėjams. Kol gynėjai ir užpuolikai dvi dienas kovojo dėl miesto valdymo, kūrėjai turėjo atnaujinti iš anksto parašytas ir įdiegtas programas ir užtikrinti, kad jos sklandžiai veiktų atakų antplūdžio akivaizdoje. Mes jums pasakysime, kas iš to išėjo.
Dalyvauti hakatone buvo priimti tik jų autorių pateikti nekomerciniai projektai. Gavome paraiškas iš keturių projektų, tačiau atrinktas tik vienas – bitapai (). Komanda analizuoja Bitcoin, Ethereum ir kitų alternatyvių kriptovaliutų blokų grandinę, apdoroja mokėjimus ir kuria kriptovaliutų piniginę.
Likus kelioms dienoms iki varžybų pradžios, dalyviai gavo nuotolinę prieigą prie žaidimų infrastruktūros, kad galėtų įdiegti savo aplikaciją (ji buvo talpinama neapsaugotame segmente). „The Standoff“ užpuolikai, be virtualaus miesto infrastruktūros, turėjo atakuoti programą ir rašyti klaidų ataskaitas apie rastus pažeidžiamumus. Organizatoriams patvirtinus klaidų buvimą, kūrėjai, pageidaujantys, galėjo jas ištaisyti. Už visus patvirtintus pažeidžiamumus atakuojanti komanda gavo viešai atlygį („The Standoff“ žaidimo valiuta), o kūrimo komandai skirta bauda.
Taip pat, pagal konkurso sąlygas, organizatoriai galėjo kelti dalyviams uždavinius aplikacijai tobulinti: svarbu buvo įdiegti naują funkcionalumą nedarant klaidų, kurios turėtų įtakos paslaugos saugumui. Už kiekvieną teisingo programos veikimo minutę ir patobulinimų įgyvendinimą kūrėjai buvo apdovanoti brangiomis valstybės lėšomis. Jei projekte buvo rastas pažeidžiamumas, taip pat už kiekvieną prastovos minutę ar netinkamą programos veikimą, jie buvo nurašomi. Tai atidžiai stebėjo mūsų robotai: jei jie aptiko problemą, pranešėme apie tai bitaps komandai, suteikdami jiems galimybę išspręsti problemą. Jei jis nebuvo pašalintas, tai lėmė nuostolius. Viskas kaip gyvenime!
Pirmąją varžybų dieną užpuolikai išbandė paslaugą. Dienos pabaigoje gavome tik kelis pranešimus apie nedidelius programos pažeidžiamumus, kuriuos bitapų vaikinai operatyviai ištaisė. Apie 23 val., kai dalyviai jau pradėjo nuobodžiauti, jie sulaukė mūsų pasiūlymo tobulinti programinę įrangą. Užduotis nebuvo lengva. Remiantis aplikacijoje esančiu mokėjimo apdorojimu, reikėjo įdiegti paslaugą, kuri leistų perkelti žetonus tarp dviejų piniginių naudojant nuorodą. Mokėjimo siuntėjas – paslaugos vartotojas – specialiame puslapyje turi įvesti sumą ir nurodyti šio pavedimo slaptažodį. Sistema turi sugeneruoti unikalią nuorodą, kuri siunčiama gavėjui. Gavėjas atidaro nuorodą, įveda pavedimo slaptažodį ir nurodo piniginę, kad gautų sumą.
Gavę užduotį, vaikinai atsikvėpė, o 4 valandą ryto žetonų perdavimo per nuorodą paslauga buvo paruošta. Užpuolikai neleido mūsų laukti ir per kelias valandas aptiko nedidelį XSS pažeidžiamumą sukurtoje paslaugoje ir apie tai pranešė mums. Mes patikrinome ir patvirtinome jo prieinamumą. Kūrimo komanda sėkmingai ją ištaisė.
Antrą dieną programišiai sutelkė dėmesį į virtualaus miesto biurų segmentą, tad aplikacijos atakų nebeliko, o kūrėjai pagaliau galėjo pailsėti nuo bemiegės nakties.
Dvi dienas trukusio konkurso pabaigoje bitapų projektą apdovanojome įsimintinais prizais.
Kaip po žaidimo prisipažino dalyviai, hakatonas leido išbandyti aplikacijos stiprumą ir patvirtinti aukštą jos saugumo lygį. „Dalyvavimas hakatone yra puiki galimybė išbandyti savo projektą dėl saugumo ir įgyti patirties kodo kokybės srityje. Džiaugiamės: pavyko atsispirti užpuolikų puolimui, – dalijosi įspūdžiais „bitaps“ kūrimo komandos narys Aleksejus Karpovas. - Tai buvo neįprasta patirtis, nes dėl greičio turėjome patobulinti programą stresinėje situacijoje. Reikia parašyti kokybišką kodą, o tuo pačiu yra didelė rizika suklysti. Tokiomis sąlygomis pradedi naudoti visus savo įgūdžius“..
Kitais metais vėl planuojame surengti hakatoną. Sekite naujienas!
Šaltinis: www.habr.com