No PHDays 9 pela primeira vez como parte de uma batalha cibernética Foi realizado um hackathon para desenvolvedores. Enquanto defensores e atacantes lutavam durante dois dias pelo controle da cidade, os desenvolvedores tiveram que atualizar aplicativos pré-escritos e implantados e garantir que funcionassem sem problemas diante de uma enxurrada de ataques. Nós lhe contaremos o que aconteceu.
Apenas projetos não comerciais submetidos por seus autores foram aceitos para participar do hackathon. Recebemos candidaturas de quatro projetos, mas apenas um foi selecionado - bitaps (). A equipe analisa o blockchain do Bitcoin, Ethereum e outras criptomoedas alternativas, processa pagamentos e desenvolve uma carteira de criptomoedas.
Poucos dias antes do início da competição, os participantes receberam acesso remoto à infraestrutura do jogo para instalar a sua aplicação (estava alojada num segmento desprotegido). No The Standoff, os invasores, além da infraestrutura da cidade virtual, tiveram que atacar o aplicativo e escrever relatórios de recompensas de bugs sobre as vulnerabilidades encontradas. Após os organizadores confirmarem a presença de erros, os desenvolvedores poderão corrigi-los se desejarem. Para todas as vulnerabilidades confirmadas, a equipe atacante recebeu uma recompensa em público (a moeda do jogo The Standoff), e a equipe de desenvolvimento foi multada.
Além disso, de acordo com os termos do concurso, os organizadores poderiam definir tarefas aos participantes para melhorar a aplicação: era importante implementar novas funcionalidades sem cometer erros que pudessem afetar a segurança do serviço. A cada minuto de correto funcionamento do aplicativo e de implementação de melhorias, os desenvolvedores receberam preciosos recursos públicos. Caso fosse encontrada vulnerabilidade no projeto, bem como a cada minuto de inatividade ou funcionamento incorreto da aplicação, elas eram baixadas. Isso foi monitorado de perto pelos nossos robôs: se encontrassem algum problema, reportávamos à equipe bitaps, dando-lhes a chance de resolver o problema. Se não fosse eliminado, gerava perdas. Tudo é como na vida!
No primeiro dia de competição, os atacantes testaram o serviço. No final do dia, recebemos apenas alguns relatos de pequenas vulnerabilidades no aplicativo, que o pessoal da bitaps corrigiu prontamente. Por volta das 23h, quando os participantes estavam prestes a ficar entediados, receberam nossa proposta para melhorar o software. A tarefa não foi fácil. Com base no processamento de pagamentos disponível na aplicação, foi necessário implementar um serviço que permitisse a transferência de tokens entre duas carteiras através de um link. O remetente do pagamento - o usuário do serviço - deverá inserir o valor em uma página especial e indicar a senha para esta transferência. O sistema deve gerar um link exclusivo que é enviado ao beneficiário. O destinatário abre o link, digita a senha da transferência e indica sua carteira para receber o valor.
Recebida a tarefa, a galera se animou e às 4 da manhã o serviço de transferência de tokens pelo link estava pronto. Os invasores não nos deixaram esperando e em poucas horas descobriram uma pequena vulnerabilidade XSS no serviço criado e nos relataram. Verificamos e confirmamos sua disponibilidade. A equipe de desenvolvimento corrigiu isso com sucesso.
No segundo dia, os hackers concentraram sua atenção no segmento de escritórios da cidade virtual, para que não houvesse mais ataques ao aplicativo e os desenvolvedores pudessem finalmente descansar de uma noite sem dormir.
No final dos dois dias de competição, atribuímos prémios memoráveis ao projeto bitaps.
Como os participantes admitiram após o jogo, o hackathon permitiu-lhes testar a força da aplicação e confirmar o seu elevado nível de segurança. “A participação em um hackathon é uma ótima oportunidade de testar a segurança do seu projeto e ganhar experiência em qualidade de código. Estamos felizes: conseguimos resistir ao ataque dos atacantes, - compartilhou suas impressões membro da equipe de desenvolvimento de bitaps Alexey Karpov. - Foi uma experiência inusitada, pois tivemos que refinar a aplicação em uma situação estressante, para ter agilidade. Você precisa escrever código de alta qualidade e, ao mesmo tempo, há um alto risco de cometer erros. Nessas condições você começa a usar todas as suas habilidades.".
Estamos planejando realizar um hackathon novamente no próximo ano. Acompanhe as novidades!
Fonte: habr.com