كيف كان أول hackathon في مأزق

في يوم الجمعة التاسع ، تم عقد الاختراق للمطورين لأول مرة كجزء من معركة الإنترنت الاحتياطية . بينما كان المدافعون والمهاجمون يناضلون لمدة يومين للسيطرة على المدينة ، كان على المطورين تحديث التطبيقات المكتوبة مسبقًا والموزعة ، بالإضافة إلى ضمان حسن سير عملياتهم في ظل موجة من الهجمات. نقول ما جاء منه.

تم قبول المشروعات غير الهادفة للربح المقدمة من مؤلفيها للمشاركة في hackathon. تلقينا طلبات من أربعة مشاريع ، ولكن كان هناك اختيار واحد فقط - bitaps ( bitaps.com ). يشارك الفريق في تحليلات عملات Bitcoin blockchain و Ethereum وغيرها من العملات المشفرة البديلة ، ويقوم بمعالجة الدفع ويقوم بتطوير محفظة عملة مشفرة.

قبل أيام قليلة من بدء المسابقة ، تلقى المشاركون الوصول عن بُعد إلى البنية الأساسية للألعاب لتثبيت تطبيقهم (تم وضعه في شريحة غير محمية). كان من المفترض أن يقوم مهاجمو المواجهة ، بالإضافة إلى كائنات البنية التحتية للمدينة الافتراضية ، بمهاجمة التطبيق وكتابة تقارير عن الأخطاء عن الثغرات الموجودة. بعد أن أكد المنظمون وجود أخطاء ، يمكن للمطورين تصحيحها في الإرادة. بالنسبة لجميع نقاط الضعف المؤكدة ، تلقى الفريق المهاجم مكافأة في الجمهور (عملة لعبة المواجهة) ، وتم تغريم فريق التطوير.

أيضًا ، وفقًا لشروط المسابقة ، يمكن للمنظمين تعيين المشاركين على مهمة وضع اللمسات الأخيرة على التطبيق: في الوقت نفسه ، كان من المهم تنفيذ الوظيفة الجديدة دون ارتكاب الأخطاء التي تؤثر على أمان الخدمة. لكل دقيقة من التشغيل الصحيح للتطبيق ولتنفيذ التحسينات ، تم منح المطورين جماهير ثمينة. إذا تم العثور على ثغرة أمنية في المشروع ، وكذلك في كل دقيقة من توقف التطبيق أو التشغيل غير الصحيح ، فسيتم شطبها. راقبت روبوتاتنا عن كثب هذا: إذا اكتشفوا مشكلة ، فقد أبلغنا فريق bitaps بذلك ، ومنحهم فرصة لإصلاح المشكلة. إذا لم يتم القضاء عليه ، فقد أدى ذلك إلى خسائر. كل شيء كما في الحياة!

في اليوم الأول من المسابقة ، بحث المهاجمون في الخدمة. بحلول نهاية اليوم ، تلقينا فقط عددًا قليلاً من التقارير عن الثغرات الطفيفة في التطبيق ، والتي تم إصلاحها من قِبل اللاعبين من bitaps بسرعة. في تمام الساعة 23:00 ، عندما كان المشاركون على وشك الشعور بالملل ، تلقوا عرضًا منا للانتهاء من البرنامج. المهمة لم تكن سهلة. كان من الضروري ، استنادًا إلى تطبيق معالجة الدفع المتاح في التطبيق ، تنفيذ خدمة تسمح بنقل الرموز بين محفظتين بالرجوع إليها. يجب على مرسل الدفع - مستخدم الخدمة - إدخال المبلغ على صفحة خاصة والإشارة إلى كلمة المرور لهذا النقل. يجب على النظام إنشاء رابط فريد يتم إرساله إلى المستفيد. يفتح المستلم الرابط ، ويدخل كلمة المرور للنقل ويشير إلى محفظته لاستلام المبلغ.

بعد تلقي المهمة ، أحيا الرجال ، وبحلول الساعة الرابعة صباحًا كانت خدمة ترجمة الرموز بالرجوع جاهزة. لم يحتفظ المهاجمون بأنفسهم في الانتظار وبعد بضع ساعات اكتشفوا ثغرة أمنية طفيفة في XSS في الخدمة التي تم إنشاؤها وأبلغونا بها. فحصنا وأكدت توافره. نجح فريق التطوير في القضاء عليه.

في اليوم الثاني ، ركز المتسللون على قطاع المكاتب في المدينة الافتراضية ، لذلك لم تحدث المزيد من الهجمات على التطبيق ، ويمكن للمطورين أن يستريحوا في النهاية من ليلة بلا نوم.



بعد نتائج المسابقة التي استمرت يومين ، قدمنا ​​جوائز تذكارية لمشروع bitaps.
كما اعترف المشاركون بعد اللعبة ، فإن hackathon جعل من الممكن اختبار التطبيق للتأكد من قوتها وتأكيد مستوى الأمان العالي. "تعد المشاركة في hackathon فرصة عظيمة لاختبار مشروعك بحثًا عن الأمان والحصول على فحص خبير لجودة الشفرة. نحن سعداء: لقد تمكنا من مقاومة هجمة المهاجمين ، - شارك أليكسي كاربوف ، عضو فريق تطوير bitaps ، انطباعاته . - لقد كانت تجربة غير عادية ، حيث كان علينا تعديل التطبيق في موقف مرهق ، في السرعة. تحتاج إلى كتابة رمز عالي الجودة ، وفي الوقت نفسه هناك خطر كبير من الأخطاء. في مثل هذه الظروف ، تبدأ في استخدام كل مهاراتك . "

في العام المقبل نخطط لعقد hackathon مرة أخرى. اتبع الأخبار!