Prvýkrát na PHDays 9 v rámci kybernetickej bitky Prebehol hackathon pre vývojárov. Zatiaľ čo obrancovia a útočníci bojovali dva dni o kontrolu nad mestom, vývojári museli aktualizovať vopred napísané a nasadené aplikácie a zabezpečiť, aby bežali hladko aj napriek záplave útokov. Prezradíme vám, čo z toho vzniklo.
Do hackathonu boli prijaté len nekomerčné projekty, ktoré predložili ich autori. Dostali sme žiadosti zo štyroch projektov, no vybraný bol len jeden - bitapy (). Tím analyzuje blockchain Bitcoinu, Etherea a ďalších alternatívnych kryptomien, spracováva platby a vyvíja kryptomenovú peňaženku.
Niekoľko dní pred začiatkom súťaže dostali účastníci vzdialený prístup do hernej infraštruktúry na inštaláciu svojej aplikácie (hostila sa v nechránenom segmente). V The Standoff museli útočníci okrem infraštruktúry virtuálneho mesta napadnúť aj aplikáciu a písať bug bounty reporty o nájdených zraniteľnostiach. Keď organizátori potvrdili prítomnosť chýb, vývojári ich mohli opraviť, ak si to želali. Za všetky potvrdené zraniteľnosti dostal útočiaci tím odmenu na verejnosti (herná mena The Standoff) a vývojársky tím dostal pokutu.
Podľa súťažných podmienok mohli organizátori nastaviť účastníkom úlohy na zlepšenie aplikácie: dôležité bolo implementovať novú funkcionalitu bez chýb, ktoré by ovplyvňovali bezpečnosť služby. Za každú minútu správneho fungovania aplikácie a za implementáciu vylepšení boli vývojári odmenení vzácnymi verejnými prostriedkami. Ak sa v projekte našla zraniteľnosť, tak aj za každú minútu výpadku či nesprávnej činnosti aplikácie boli odpísané. Naši roboti to pozorne monitorovali: ak našli problém, nahlásili sme to tímu bitaps, čím sme im dali šancu problém vyriešiť. Ak to nebolo odstránené, viedlo to k stratám. Všetko je ako v živote!
V prvý deň súťaže si útočníci vyskúšali službu. Do konca dňa sme dostali len niekoľko hlásení o menších zraniteľnostiach v aplikácii, ktoré chalani z bitaps promptne opravili. Okolo 23. hodiny, keď sa už účastníci začali nudiť, dostali od nás návrh na vylepšenie softvéru. Úloha to nebola jednoduchá. Na základe spracovania platieb dostupného v aplikácii bolo potrebné implementovať službu, ktorá by umožňovala prenášať tokeny medzi dvoma peňaženkami pomocou prepojenia. Odosielateľ platby - používateľ služby - musí zadať sumu na špeciálnej stránke a uviesť heslo pre tento prevod. Systém musí vygenerovať jedinečný odkaz, ktorý sa odošle príjemcovi platby. Príjemca otvorí odkaz, zadá heslo pre prevod a uvedie svoju peňaženku, aby dostal sumu.
Po prijatí úlohy sa chlapci vzchopili a o 4:XNUMX ráno bola služba na prenos žetónov prostredníctvom odkazu pripravená. Útočníci nás nenechali čakať a v priebehu niekoľkých hodín objavili menšiu XSS zraniteľnosť vo vytvorenej službe a nahlásili nám ju. Skontrolovali sme a potvrdili jeho dostupnosť. Vývojový tím to úspešne opravil.
Na druhý deň hackeri sústredili svoju pozornosť na kancelársky segment virtuálneho mesta, takže už k útokom na aplikáciu nedošlo a vývojári si mohli konečne oddýchnuť od prebdenej noci.
Na záver dvojdňovej súťaže sme projektu bitaps udelili pamätné ceny.
Ako účastníci po hre priznali, hackathon im umožnil otestovať silu aplikácie a potvrdiť jej vysokú úroveň zabezpečenia. „Účasť na hackathone je skvelou príležitosťou otestovať bezpečnosť vášho projektu a získať odborné znalosti v oblasti kvality kódu. Sme radi: dokázali sme odolať náporu útočníkov, — podelil sa o svoje dojmy člen vývojového tímu bitaps Alexey Karpov. - Bol to nevšedný zážitok, keďže sme aplikáciu museli dolaďovať v stresovej situácii, kvôli rýchlosti. Potrebujete napísať kvalitný kód a zároveň existuje veľké riziko, že urobíte chyby. V takýchto podmienkach začnete využívať všetky svoje schopnosti.".
Na budúci rok plánujeme opäť usporiadať hackathon. Sledujte novinky!
Zdroj: hab.com