Para os PHDays 9, a hackathon para desenvolvedores foi realizada pela primeira vez como parte da batalha cibernética The Standoff . Enquanto os defensores e atacantes lutaram pelo controle da cidade por dois dias, os desenvolvedores tiveram que atualizar aplicativos pré-escritos e implantados, além de garantir seu bom funcionamento sob uma enxurrada de ataques. Contamos o que aconteceu.Somente projetos sem fins lucrativos enviados por seus autores foram aceitos para participação no hackathon. Recebemos inscrições de quatro projetos, mas havia apenas uma seleção - bitaps (
bitaps.com ). A equipe está envolvida nas análises da blockchain Bitcoin, Ethereum e outras criptomoedas alternativas, realiza o processamento de pagamentos e desenvolve uma carteira de criptomoeda.
Alguns dias antes do início da competição, os participantes receberam acesso remoto à infraestrutura de jogos para instalar seu aplicativo (ele foi colocado em um segmento desprotegido). Os atacantes do Standoff, além dos objetos de infraestrutura da cidade virtual, deveriam atacar o aplicativo e escrever relatórios de recompensas de bugs sobre as vulnerabilidades encontradas. Depois que os organizadores confirmarem a presença de erros, os desenvolvedores poderão corrigi-los à vontade. Por todas as vulnerabilidades confirmadas, a equipe atacante recebeu uma recompensa em público (moeda do jogo Standoff) e a equipe de desenvolvimento foi multada.
Além disso, de acordo com as condições da competição, os organizadores poderiam definir aos participantes a tarefa de finalizar a inscrição: ao mesmo tempo, era importante implementar a nova funcionalidade sem cometer erros que afetassem a segurança do serviço. Para cada minuto de operação correta do aplicativo e para a implementação de melhorias, os desenvolvedores recebiam audiências preciosas. Se uma vulnerabilidade foi encontrada no projeto, bem como para cada minuto de tempo de inatividade do aplicativo ou operação incorreta, elas foram eliminadas. Nossos robôs observaram de perto: se detectaram um problema, relatamos isso à equipe de bitaps, dando a eles a chance de resolver o problema. Se não fosse eliminado, isso levaria a perdas. Tudo é como na vida!
No primeiro dia da competição, os atacantes investigaram o serviço. No final do dia, recebemos apenas alguns relatórios de pequenas vulnerabilidades no aplicativo, que os caras do bitaps corrigiram rapidamente. Em algum lugar às 23 horas, quando os participantes estavam prestes a ficar entediados, eles receberam uma oferta nossa para finalizar o software. A tarefa não foi fácil. Era necessário, com base no aplicativo de processamento de pagamento disponível no aplicativo, implementar um serviço que permitisse transferir tokens entre duas carteiras por referência. O remetente do pagamento - o usuário do serviço - deve inserir o valor em uma página especial e indicar a senha dessa transferência. O sistema deve gerar um link exclusivo que é enviado ao beneficiário. O destinatário abre o link, digita a senha da transferência e indica sua carteira para receber o valor.
Depois de terem recebido a tarefa, os caras reviveram e, às 4 horas da manhã, o serviço de tradução de tokens por referência estava pronto. Os invasores não ficaram esperando e depois de algumas horas descobriram uma pequena vulnerabilidade XSS no serviço criado e nos informaram sobre isso. Verificamos e confirmamos sua disponibilidade. A equipe de desenvolvimento eliminou com sucesso.
No segundo dia, os hackers se concentraram no segmento de escritórios da cidade virtual, para que não houvesse mais ataques ao aplicativo e os desenvolvedores pudessem finalmente descansar de uma noite sem dormir.
Após os resultados da competição de dois dias, apresentamos prêmios comemorativos ao projeto bitaps.
Como os participantes admitiram após o jogo, o hackathon tornou possível testar o pedido de força e confirmar seu alto nível de segurança.
“A participação em um hackathon é uma ótima chance de testar a segurança do seu projeto e obter um exame especializado da qualidade do código. Estamos felizes: conseguimos resistir ao ataque dos agressores -
Alexey Karpov, membro da equipe de desenvolvimento do bitaps , compartilhou suas impressões
. -
Foi uma experiência incomum, pois tivemos que modificar o aplicativo em uma situação estressante, com rapidez. Você precisa escrever um código de alta qualidade e, ao mesmo tempo, há um alto risco de erros. Em tais circunstâncias, você começa a usar todas as suas habilidades .
”No próximo ano, planejamos realizar um hackathon novamente. Acompanhe as novidades!