Für PHDays 9 fand der Hackathon für Entwickler zum ersten Mal im Rahmen des Cyber-Kampfes The Standoff statt . Während die Verteidiger und Angreifer zwei Tage lang um die Kontrolle über die Stadt kämpften, mussten die Entwickler vorab geschriebene und bereitgestellte Anwendungen aktualisieren und ihren reibungslosen Betrieb unter einer Flut von Angriffen sicherstellen. Wir erzählen, was daraus geworden ist.Nur von ihren Autoren eingereichte gemeinnützige Projekte wurden zur Teilnahme am Hackathon zugelassen. Wir haben Bewerbungen aus vier Projekten erhalten, aber es gab nur eine Auswahl - Bitaps (
bitaps.com ). Das Team befasst sich mit der Analyse der Bitcoin-Blockchain, des Ethereum und anderer alternativer Kryptowährungen, führt die Zahlungsabwicklung durch und entwickelt eine Kryptowährungsbrieftasche.
Einige Tage vor Beginn des Wettbewerbs erhielten die Teilnehmer Fernzugriff auf die Spielinfrastruktur, um ihre Anwendung zu installieren (sie wurde in ein ungeschütztes Segment gestellt). Die Standoff-Angreifer sollten zusätzlich zu den Objekten der virtuellen Stadtinfrastruktur die Anwendung angreifen und Fehlerberichte über die gefundenen Sicherheitslücken schreiben. Nachdem die Organisatoren das Vorhandensein von Fehlern bestätigt hatten, konnten die Entwickler diese nach Belieben korrigieren. Für alle bestätigten Schwachstellen erhielt das angreifende Team eine Belohnung in der Öffentlichkeit (The Standoff-Spielwährung), und das Entwicklungsteam wurde mit einer Geldstrafe belegt.
Entsprechend den Wettbewerbsbedingungen konnten die Organisatoren den Teilnehmern auch die Aufgabe stellen, die Anwendung fertigzustellen: Gleichzeitig war es wichtig, die neue Funktionalität zu implementieren, ohne Fehler zu machen, die die Sicherheit des Dienstes beeinträchtigen. Für jede Minute des korrekten Betriebs der Anwendung und für die Implementierung von Verbesserungen erhielten die Entwickler ein wertvolles Publikum. Wenn im Projekt eine Sicherheitsanfälligkeit festgestellt wurde sowie für jede Minute der Ausfallzeit oder des fehlerhaften Betriebs der Anwendung, wurden diese abgeschrieben. Unsere Roboter haben dies genau beobachtet: Wenn sie ein Problem entdeckt haben, haben wir dies dem Bitaps-Team gemeldet, damit sie das Problem beheben können. Wenn es nicht beseitigt wurde, führte dies zu Verlusten. Alles ist wie im Leben!
Am ersten Tag des Wettbewerbs untersuchten Angreifer den Dienst. Am Ende des Tages erhielten wir nur wenige Berichte über kleinere Schwachstellen in der Anwendung, die die Jungs von Bitaps schnell behoben hatten. Irgendwann um 23 Uhr, als sich die Teilnehmer langweilen wollten, erhielten sie von uns ein Angebot, die Software fertigzustellen. Die Aufgabe war nicht einfach. Basierend auf der in der Anwendung verfügbaren Zahlungsverarbeitungsanwendung musste ein Dienst implementiert werden, mit dem Token als Referenz zwischen zwei Brieftaschen übertragen werden können. Der Absender der Zahlung - der Benutzer des Dienstes - muss den Betrag auf einer speziellen Seite eingeben und das Passwort für diese Überweisung angeben. Das System muss einen eindeutigen Link generieren, der an den Zahlungsempfänger gesendet wird. Der Empfänger öffnet den Link, gibt das Passwort für die Überweisung ein und gibt seine Brieftasche an, um den Betrag zu erhalten.
Nachdem sie den Auftrag erhalten hatten, belebten sich die Jungs wieder und um 4 Uhr morgens war der Service für die Übersetzung von Token als Referenz fertig. Die Angreifer ließen sich nicht warten und entdeckten nach einigen Stunden eine geringfügige XSS-Sicherheitslücke im erstellten Dienst und informierten uns darüber. Wir haben die Verfügbarkeit überprüft und bestätigt. Das Entwicklungsteam hat es erfolgreich beseitigt.
Am zweiten Tag konzentrierten sich Hacker auf das Bürosegment der virtuellen Stadt, sodass es keine Angriffe mehr auf die Anwendung gab und die Entwickler sich endlich von einer schlaflosen Nacht erholen konnten.
Nach den Ergebnissen des zweitägigen Wettbewerbs haben wir dem Bitaps-Projekt Gedenkpreise verliehen.
Wie die Teilnehmer nach dem Spiel zugaben, ermöglichte der Hackathon es, die Anwendung auf Stärke zu testen und ihr hohes Sicherheitsniveau zu bestätigen.
„Die Teilnahme an einem Hackathon ist eine großartige Gelegenheit, Ihr Projekt auf Sicherheit zu testen und die Qualität des Codes von Experten prüfen zu lassen. Wir sind froh: Wir haben es geschafft, dem Ansturm der Angreifer zu widerstehen. -
Alexey Karpov, Mitglied des Bitaps-Entwicklungsteams , teilte seine Eindrücke mit
. -
Es war eine ungewöhnliche Erfahrung, da wir die Anwendung in einer stressigen Situation schnell ändern mussten. Sie müssen qualitativ hochwertigen Code schreiben, und gleichzeitig besteht ein hohes Fehlerrisiko. Unter solchen Umständen beginnen Sie, alle Ihre Fähigkeiten einzusetzen .
“Nächstes Jahr planen wir wieder einen Hackathon. Folgen Sie den Nachrichten!