На PHDays 9 вперше в рамках кібербитви відбувся хакатон для розробників. Поки захисники та атакуючі протягом двох днів боролися за контроль над містом, розробники мали оновлювати заздалегідь написані та розгорнуті додатки, а також забезпечувати їхню безперебійну роботу під шквалом атак. Розповідаємо, що з цього вийшло.
До участі в хакатоні бралися лише некомерційні проекти, які їх автори. Ми отримали заявки від чотирьох проектів, але відбір пройшов лише один — bitaps (). Команда займається аналітикою блокчейна біткойна, ефіріуму та інших альтернативних криптовалют, здійснює процесинг платежів та розробляє криптовалютний гаманець.
За кілька днів до початку змагання учасники отримали віддалений доступ до ігрової інфраструктури для інсталяції своєї програми (вона була розміщена в незахищеному сегменті). На The Standoff нападаючі, крім об'єктів інфраструктури віртуального міста, повинні були атакувати програму та писати звіти bug bounty на знайдені вразливості. Після того, як організатори підтверджували наявність помилок, розробники за бажанням могли їх виправити. За усі підтверджені вразливості команда атакуючих отримувала винагороду в публях (ігрова валюта The Standoff), а команда розробки штрафувалася.
Також за умовами змагання організатори могли ставити учасникам завдання з доопрацювання програми: при цьому важливо було реалізувати нову функціональність, не припустившись помилок, що впливають на безпеку сервісу. За кожну хвилину коректної роботи програми та за реалізацію доопрацювань розробникам нараховувалися дорогоцінні публі. Якщо в проекті було знайдено вразливість, а також за кожну хвилину простою або некоректної роботи програми вони списувалися. За цим уважно стежили наші роботи: якщо вони виявляли проблему, ми повідомляли про це команді bitaps, даючи їм шанс усунути проблему. Якщо вона не усувалась – це призводило до збитків. Все як у житті!
Першого дня змагання атакуючі промацували сервіс. До кінця дня ми отримали лише кілька звітів про незначні вразливості у додатку, які хлопці з bitaps оперативно виправили. Десь о 23-й годині, коли учасники вже зібралися занудьгувати, вони отримали від нас пропозицію щодо доопрацювання ПЗ. Завдання було непростим. Потрібно було на основі наявного у додатку процесингу платежів реалізувати сервіс, який дозволяв би переводити токени між двома гаманцями за посиланням. Відправник платежу – користувач сервісу – на спеціальній сторінці повинен ввести суму та вказати пароль до цього переказу. Система має згенерувати унікальне посилання, яке надсилається одержувачу платежу. Отримувач відкриває посилання, вводить пароль до переказу та вказує свій гаманець для отримання суми.
Отримавши завдання, хлопці пожвавилися, і вже до 4-ї години ранку сервіс з перекладу токенів за посиланням був готовий. Атакуючі не змусили на себе чекати і вже через кілька годин виявили незначну XSS-уразливість у створеному сервісі і повідомили про неї нам. Ми перевірили та підтвердили її наявність. Команда розробки успішно її усунула.
У другий день хакери сконцентрували свою увагу на офісному сегменті віртуального міста, тому більше атак на програму не було, і розробники нарешті могли відпочити від безсонної ночі.
За підсумками дводенного змагання, ми вручили проекту bitaps пам'ятні призи.
Як зізналися учасники після гри, хакатон дозволив перевірити додаток на міцність та підтвердити високий рівень його захищеності. «Участь у хакатоні — це чудовий шанс протестувати свій проект на безпеку та отримати експертизу щодо якості коду. Ми раді: нам вдалося встояти під натиском атакуючих, - Поділився враженнями член команди розробників bitaps Олексій Карпов. - Це був незвичайний досвід, тому що нам довелося доопрацьовувати додаток у стресовій ситуації на швидкість. Потрібно написати якісний код і при цьому високий ризик помилитися. У таких умовах починаєш використовувати усі свої навички».
Наступного року ми плануємо знов провести хакатон. Слідкуйте за новинами!
Джерело: habr.com