На ПХДаис 9 по први пут као део сајбер битке Одржан је хакатон за програмере. Док су се браниоци и нападачи борили два дана за контролу над градом, програмери су морали да ажурирају унапред написане и распоређене апликације и осигурају да раде несметано суочени са салвом напада. Рећи ћемо вам шта је из тога произашло.
За учешће на хакатону примљени су само некомерцијални пројекти које су пријавили њихови аутори. Добили смо пријаве из четири пројекта, али је изабран само један - битапс (). Тим анализира блоцкцхаин Битцоин, Етхереум и друге алтернативне криптовалуте, обрађује плаћања и развија новчаник за криптовалуте.
Неколико дана пре почетка такмичења, учесници су добили даљински приступ инфраструктури за игре да инсталирају своју апликацију (хостован је у незаштићеном сегменту). На Тхе Стандофф-у, нападачи су, поред инфраструктуре виртуелног града, морали да нападну апликацију и напишу извештаје о грешкама о пронађеним рањивостима. Након што су организатори потврдили присуство грешака, програмери су могли да их исправе ако желе. За све потврђене рањивости, нападачки тим је добио награду у јавности (валута игре Тхе Стандофф), а развојни тим је кажњен.
Такође, према условима конкурса, организатори су учесницима могли да поставе задатке да унапреде апликацију: било је важно имплементирати нову функционалност без грешака које би утицале на безбедност услуге. За сваки минут правилног рада апликације и за имплементацију побољшања, програмерима су додељена драгоцена јавна средства. Ако је пронађена рањивост у пројекту, као и за сваки минут застоја или неисправан рад апликације, они су отписани. Наши роботи су то помно пратили: ако су открили проблем, пријавили смо га битапс тиму, дајући им прилику да реше проблем. Ако се не елиминише, то је довело до губитака. Све је као у животу!
Првог дана такмичења, нападачи су тестирали сервис. До краја дана добили смо само неколико пријава мањих пропуста у апликацији, које су момци из битапса брзо исправили. Око 23 часа, када је учесницима већ требало да досади, добили су од нас предлог за побољшање софтвера. Задатак није био лак. На основу обраде плаћања која је доступна у апликацији, било је неопходно имплементирати услугу која би омогућила пренос токена између два новчаника помоћу везе. Пошиљалац уплате - корисник услуге - мора унети износ на посебној страници и навести лозинку за овај трансфер. Систем мора да генерише јединствену везу која се шаље примаоцу плаћања. Прималац отвара везу, уноси лозинку за трансфер и указује на свој новчаник да прими износ.
Након што су добили задатак, момци су се охрабрили и до 4 сата ујутру сервис за пренос токена преко линка био је спреман. Нападачи нас нису чекали и у року од неколико сати открили су мању КССС рањивост у креираном сервису и пријавили нам је. Проверили смо и потврдили његову доступност. Развојни тим је то успешно поправио.
Другог дана хакери су концентрисали пажњу на канцеларијски сегмент виртуелног града, тако да више није било напада на апликацију, а програмери су коначно могли да се одморе од непроспаване ноћи.
На крају дводневног такмичења, пројекту битапс доделили смо незаборавне награде.
Како су учесници признали после утакмице, хакатон им је омогућио да тестирају снагу апликације и потврде њен висок ниво безбедности. „Учешће у хакатону је одлична прилика да тестирате безбедност свог пројекта и стекнете стручност у квалитету кода. Драго нам је: успели смо да се одупремо налету нападача, — поделио је своје утиске члан развојног тима битапс Алексеј Карпов. - Било је то необично искуство, пошто смо морали да дорадимо апликацију у стресној ситуацији, ради брзине. Морате написати квалитетан код, а истовремено постоји велики ризик од грешке. У таквим условима почињете да користите све своје вештине“..
Планирамо да следеће године поново одржимо хакатон. Пратите вести!
Извор: ввв.хабр.цом