La PHDays 9 pentru prima dată, ca parte a unei bătălii cibernetice A avut loc un hackathon pentru dezvoltatori. În timp ce apărătorii și atacatorii s-au luptat timp de două zile pentru controlul orașului, dezvoltatorii au trebuit să actualizeze aplicațiile pre-scrise și implementate și să se asigure că funcționează fără probleme în fața unui baraj de atacuri. Vă vom spune ce a rezultat.
Numai proiectele necomerciale trimise de autorii lor au fost acceptate să participe la hackathon. Am primit cereri de la patru proiecte, dar doar unul a fost selectat - bitaps (). Echipa analizează blockchain-ul Bitcoin, Ethereum și alte criptomonede alternative, procesează plățile și dezvoltă un portofel cu criptomonede.
Cu câteva zile înainte de începerea competiției, participanții au primit acces de la distanță la infrastructura de jocuri pentru a-și instala aplicația (aceasta era găzduită într-un segment neprotejat). La The Standoff, atacatorii, pe lângă infrastructura orașului virtual, au fost nevoiți să atace aplicația și să scrie rapoarte de recompensă de erori cu privire la vulnerabilitățile găsite. După ce organizatorii au confirmat prezența erorilor, dezvoltatorii le-au putut corecta dacă doresc. Pentru toate vulnerabilitățile confirmate, echipa atacatoare a primit o recompensă în public (moneda jocului The Standoff), iar echipa de dezvoltare a fost amendată.
De asemenea, conform termenilor competiției, organizatorii puteau stabili participanților sarcini pentru îmbunătățirea aplicației: era important să implementeze noi funcționalități fără a face greșeli care ar afecta securitatea serviciului. Pentru fiecare minut de funcționare corectă a aplicației și pentru implementarea îmbunătățirilor, dezvoltatorii au fost premiați cu fonduri publice prețioase. Dacă a fost găsită o vulnerabilitate în proiect, precum și pentru fiecare minut de nefuncționare sau funcționare incorectă a aplicației, acestea au fost anulate. Acest lucru a fost monitorizat îndeaproape de roboții noștri: dacă au găsit o problemă, am raportat-o echipei bitaps, dându-le șansa de a rezolva problema. Dacă nu a fost eliminat, a dus la pierderi. Totul este ca în viață!
În prima zi a competiției, atacatorii au testat serviciul. Până la sfârșitul zilei, am primit doar câteva rapoarte de vulnerabilități minore în aplicație, pe care băieții de la bitaps le-au remediat prompt. În jurul orei 23, când participanții erau cât pe ce să se plictisească, au primit de la noi o propunere de îmbunătățire a software-ului. Sarcina nu a fost ușoară. Pe baza procesării plăților disponibile în aplicație, a fost necesară implementarea unui serviciu care să permită transferul de jetoane între două portofele folosind un link. Expeditorul plății - utilizatorul serviciului - trebuie să introducă suma pe o pagină specială și să indice parola pentru acest transfer. Sistemul trebuie să genereze o legătură unică care este trimisă beneficiarului. Destinatarul deschide linkul, introduce parola pentru transfer și indică portofelul său pentru a primi suma.
După ce au primit sarcina, băieții s-au încurajat și până la ora 4 dimineața serviciul de transfer de jetoane prin link era gata. Atacatorii nu ne-au făcut să așteptăm și în câteva ore au descoperit o vulnerabilitate minoră XSS în serviciul creat și ne-au raportat-o. Am verificat și am confirmat disponibilitatea acestuia. Echipa de dezvoltare a remediat cu succes.
În a doua zi, hackerii și-au concentrat atenția asupra segmentului de birouri al orașului virtual, astfel încât nu au mai existat atacuri asupra aplicației, iar dezvoltatorii s-au putut odihni în sfârșit dintr-o noapte nedorită.
La finalul competiției de două zile, am acordat proiectului bitaps premii memorabile.
După cum au recunoscut participanții după joc, hackatonul le-a permis să testeze puterea aplicației și să confirme nivelul ridicat de securitate al acesteia. „Participarea la un hackathon este o șansă excelentă de a-ți testa proiectul pentru securitate și de a câștiga experiență în calitatea codului. Ne bucurăm: am reușit să rezistam atacului atacatorilor, — și-a împărtășit impresiile membru al echipei de dezvoltare bitaps Alexey Karpov. - A fost o experiență neobișnuită, din moment ce a trebuit să rafinăm aplicația într-o situație stresantă, pentru rapiditate. Trebuie să scrieți cod de înaltă calitate și, în același timp, există un risc mare de a face greșeli. În astfel de condiții începi să-ți folosești toate abilitățile.”.
Planificăm să organizăm din nou un hackathon anul viitor. Urmăriți știrile!
Sursa: www.habr.com