Na PHDays 9 prvič kot del kibernetske bitke Potekal je hackathon za razvijalce. Medtem ko so se branilci in napadalci dva dni borili za nadzor nad mestom, so morali razvijalci posodobiti vnaprej napisane in nameščene aplikacije ter zagotoviti nemoteno delovanje kljub množici napadov. Povedali vam bomo, kaj je nastalo iz tega.
K sodelovanju na hackathonu so bili sprejeti le nekomercialni projekti, ki so jih prijavili njihovi avtorji. Prejeli smo prijave štirih projektov, a je bil izbran le eden - bitaps (). Ekipa analizira verigo blokov Bitcoin, Ethereum in drugih alternativnih kriptovalut, obdeluje plačila in razvija denarnico za kriptovalute.
Nekaj dni pred začetkom tekmovanja so udeleženci prejeli oddaljen dostop do igričarske infrastrukture za namestitev svoje aplikacije (gostovala je v nezaščitenem segmentu). Pri The Standoffu so morali napadalci poleg infrastrukture virtualnega mesta napadati aplikacijo in pisati bug bounty poročila o najdenih ranljivostih. Ko so organizatorji potrdili prisotnost napak, so jih lahko razvijalci po želji popravili. Za vse potrjene ranljivosti je ekipa napadalcev prejela javno nagrado (valuta igre The Standoff), razvojna ekipa pa je bila kaznovana.
Prav tako so lahko organizatorji v skladu s pogoji natečaja udeležencem postavili naloge za izboljšanje aplikacije: pomembno je bilo uvesti novo funkcionalnost brez napak, ki bi vplivale na varnost storitve. Za vsako minuto pravilnega delovanja aplikacije in za izvedbo izboljšav so razvijalci prejeli dragocena javna sredstva. Če je bila v projektu ugotovljena ranljivost, pa tudi za vsako minuto izpada ali nepravilnega delovanja aplikacije, so bili odpisani. To so pozorno spremljali naši roboti: če so našli težavo, smo jo prijavili ekipi bitaps in jim dali možnost, da težavo odpravijo. Če ni bila odpravljena, je povzročila izgube. Vse je kot v življenju!
Prvi dan tekmovanja so napadalci preizkusili servis. Do konca dneva smo prejeli le nekaj prijav manjših ranljivosti v aplikaciji, ki pa so jih fantje iz bitapa sproti odpravili. Okoli 23. ure, ko se je udeležencem že začelo dolgočasiti, so od nas prejeli predlog za izboljšavo programske opreme. Naloga ni bila lahka. Glede na obdelavo plačil, ki je na voljo v aplikaciji, je bilo potrebno implementirati storitev, ki bi omogočala prenos žetonov med dvema denarnicama s povezavo. Pošiljatelj plačila - uporabnik storitve - mora na posebni strani vnesti znesek in navesti geslo za to nakazilo. Sistem mora ustvariti edinstveno povezavo, ki se pošlje prejemniku plačila. Prejemnik odpre povezavo, vnese geslo za nakazilo in označi svojo denarnico za prejem zneska.
Ko so prejeli nalogo, so se fantje dvignili in do 4. ure zjutraj je bila storitev za prenos žetonov prek povezave pripravljena. Napadalci nas niso pustili čakati in so v nekaj urah odkrili manjšo ranljivost XSS v ustvarjeni storitvi in nam jo prijavili. Preverili smo in potrdili njegovo razpoložljivost. Razvojna ekipa je to uspešno popravila.
Drugi dan so se hekerji osredotočili na pisarniški segment virtualnega mesta, tako da napadov na aplikacijo ni bilo več, razvijalci pa so si lahko končno oddahnili od neprespane noči.
Ob zaključku dvodnevnega tekmovanja smo podelili nepozabne nagrade projektu bitaps.
Kot so udeleženci priznali po igri, jim je hekaton omogočil preizkus moči aplikacije in potrditev njene visoke stopnje varnosti. »Sodelovanje v hackathonu je odlična priložnost, da preizkusite varnost svojega projekta in pridobite strokovno znanje o kakovosti kode. Veseli smo: uspelo nam je upreti nalet napadalcev, - je delil svoje vtise član razvojne ekipe bitaps Alexey Karpov. - Bila je nenavadna izkušnja, saj smo morali aplikacijo dodelovati v stresni situaciji, zaradi hitrosti. Napisati morate kakovostno kodo, hkrati pa obstaja veliko tveganje za napake. V takih razmerah začneš uporabljati vse svoje sposobnosti.".
Naslednje leto načrtujemo ponovno izvedbo hackathona. Spremljajte novice!
Vir: www.habr.com