Para PHDays 9, el hackathon para desarrolladores se realizó por primera vez como parte de la batalla cibernética The Standoff . Mientras que los defensores y atacantes lucharon por el control de la ciudad durante dos días, los desarrolladores tuvieron que actualizar las aplicaciones preescritas y desplegadas, así como garantizar su buen funcionamiento bajo una ráfaga de ataques. Contamos lo que salió de eso.Solo los proyectos sin fines de lucro presentados por sus autores fueron aceptados para participar en el hackathon. Recibimos solicitudes de cuatro proyectos, pero solo había una selección: bitaps (
bitaps.com ). El equipo se dedica a la analítica de la cadena de bloques de Bitcoin, Ethereum y otras criptomonedas alternativas, lleva a cabo el procesamiento de pagos y desarrolla una billetera de criptomonedas.
Unos días antes del comienzo de la competencia, los participantes recibieron acceso remoto a la infraestructura de juego para instalar su aplicación (se colocó en un segmento desprotegido). Se suponía que los atacantes de Standoff, además de los objetos de infraestructura de la ciudad virtual, atacaban la aplicación y escribían informes de recompensas de errores sobre las vulnerabilidades encontradas. Después de que los organizadores confirmaron la presencia de errores, los desarrolladores pudieron corregirlos a voluntad. Para todas las vulnerabilidades confirmadas, el equipo atacante recibió una recompensa en público (la moneda del juego Standoff), y el equipo de desarrollo fue multado.
Además, de acuerdo con las condiciones de la competencia, los organizadores podrían asignar a los participantes la tarea de finalizar la aplicación: al mismo tiempo, era importante implementar la nueva funcionalidad sin cometer errores que afecten la seguridad del servicio. Por cada minuto del correcto funcionamiento de la aplicación y para la implementación de mejoras, los desarrolladores obtuvieron audiencias preciosas. Si se encontró una vulnerabilidad en el proyecto, así como por cada minuto de inactividad de la aplicación u operación incorrecta, se cancelaron. Nuestros robots observaron de cerca esto: si detectaron un problema, informamos esto al equipo de bitaps, dándoles la oportunidad de solucionar el problema. Si no se eliminó, esto condujo a pérdidas. ¡Todo es como en la vida!
El primer día de la competencia, los atacantes probaron el servicio. Al final del día, recibimos solo unos pocos informes de vulnerabilidades menores en la aplicación, que los chicos de bitaps solucionaron rápidamente. En algún lugar a las 23 en punto, cuando los participantes estaban a punto de aburrirse, recibieron una oferta nuestra para finalizar el software. La tarea no fue fácil. Era necesario, basado en la aplicación de procesamiento de pagos disponible en la aplicación, implementar un servicio que permitiera transferir tokens entre dos billeteras por referencia. El remitente del pago, el usuario del servicio, debe ingresar el monto en una página especial e indicar la contraseña para esta transferencia. El sistema debe generar un enlace único que se envía al beneficiario. El destinatario abre el enlace, ingresa la contraseña para la transferencia e indica su billetera para recibir la cantidad.
Después de recibir la tarea, los chicos revivieron, y para las 4 de la mañana el servicio para traducir tokens por referencia estaba listo. Los atacantes no se hicieron esperar y después de unas horas descubrieron una vulnerabilidad menor de XSS en el servicio creado y nos informaron al respecto. Verificamos y confirmamos su disponibilidad. El equipo de desarrollo lo eliminó con éxito.
El segundo día, los piratas informáticos se centraron en el segmento de oficinas de la ciudad virtual, por lo que no hubo más ataques contra la aplicación, y los desarrolladores finalmente pudieron descansar de una noche de insomnio.
Siguiendo los resultados de la competencia de dos días, presentamos premios conmemorativos al proyecto bitaps.
Como los participantes admitieron después del juego, el hackathon hizo posible probar la fuerza de la aplicación y confirmar su alto nivel de seguridad.
“La participación en un hackathon es una gran oportunidad para probar la seguridad de su proyecto y obtener un examen experto de la calidad del código. Estamos contentos: nos las arreglamos para resistir el ataque de los atacantes .
Alexey Karpov, miembro del equipo de desarrollo de bitaps , compartió sus impresiones
. -
Fue una experiencia inusual, ya que tuvimos que modificar la aplicación en una situación estresante, a gran velocidad. Debe escribir código de alta calidad y, al mismo tiempo, existe un alto riesgo de errores. En tales circunstancias, comienzas a usar todas tus habilidades " .
El año que viene planeamos realizar un hackathon nuevamente. Sigue las noticias!