No PHDays 9 pela primeira vez como parte de uma batalha cibernética
Apenas projetos não comerciais submetidos por seus autores foram aceitos para participar do hackathon. Recebemos candidaturas de quatro projetos, mas apenas um foi selecionado - bitaps (
Poucos dias antes do início da competição, os participantes receberam acesso remoto à infraestrutura do jogo para instalar a sua aplicação (estava alojada num segmento desprotegido). No The Standoff, os invasores, além da infraestrutura da cidade virtual, tiveram que atacar o aplicativo e escrever relatórios de recompensas de bugs sobre as vulnerabilidades encontradas. Após os organizadores confirmarem a presença de erros, os desenvolvedores poderão corrigi-los se desejarem. Para todas as vulnerabilidades confirmadas, a equipe atacante recebeu uma recompensa em público (a moeda do jogo The Standoff), e a equipe de desenvolvimento foi multada.
Além disso, de acordo com os termos do concurso, os organizadores poderiam definir tarefas aos participantes para melhorar a aplicação: era importante implementar novas funcionalidades sem cometer erros que pudessem afetar a segurança do serviço. A cada minuto de correto funcionamento do aplicativo e de implementação de melhorias, os desenvolvedores receberam preciosos recursos públicos. Caso fosse encontrada vulnerabilidade no projeto, bem como a cada minuto de inatividade ou funcionamento incorreto da aplicação, elas eram baixadas. Isso foi monitorado de perto pelos nossos robôs: se encontrassem algum problema, reportávamos à equipe bitaps, dando-lhes a chance de resolver o problema. Se não fosse eliminado, gerava perdas. Tudo é como na vida!
No primeiro dia de competição, os atacantes testaram o serviço. No final do dia, recebemos apenas alguns relatos de pequenas vulnerabilidades no aplicativo, que o pessoal da bitaps corrigiu prontamente. Por volta das 23h, quando os participantes estavam prestes a ficar entediados, receberam nossa proposta para melhorar o software. A tarefa não foi fácil. Com base no processamento de pagamentos disponível na aplicação, foi necessário implementar um serviço que permitisse a transferência de tokens entre duas carteiras através de um link. O remetente do pagamento - o usuário do serviço - deverá inserir o valor em uma página especial e indicar a senha para esta transferência. O sistema deve gerar um link exclusivo que é enviado ao beneficiário. O destinatário abre o link, digita a senha da transferência e indica sua carteira para receber o valor.
Recebida a tarefa, a galera se animou e às 4 da manhã o serviço de transferência de tokens pelo link estava pronto. Os invasores não nos deixaram esperando e em poucas horas descobriram uma pequena vulnerabilidade XSS no serviço criado e nos relataram. Verificamos e confirmamos sua disponibilidade. A equipe de desenvolvimento corrigiu isso com sucesso.
No segundo dia, os hackers concentraram sua atenção no segmento de escritórios da cidade virtual, para que não houvesse mais ataques ao aplicativo e os desenvolvedores pudessem finalmente descansar de uma noite sem dormir.
No final dos dois dias de competição, atribuímos prémios memoráveis ao projeto bitaps.
Como os participantes admitiram após o jogo, o hackathon permitiu-lhes testar a força da aplicação e confirmar o seu elevado nível de segurança. “A participação em um hackathon é uma ótima oportunidade de testar a segurança do seu projeto e ganhar experiência em qualidade de código. Estamos felizes: conseguimos resistir ao ataque dos atacantes, - compartilhou suas impressões membro da equipe de desenvolvimento de bitaps Alexey Karpov. - Foi uma experiência inusitada, pois tivemos que refinar a aplicação em uma situação estressante, para ter agilidade. Você precisa escrever código de alta qualidade e, ao mesmo tempo, há um alto risco de cometer erros. Nessas condições você começa a usar todas as suas habilidades.".
Estamos planejando realizar um hackathon novamente no próximo ano. Acompanhe as novidades!
Fonte: habr.com