Muy buenas,

llevo toda la semana profundizando en el tema de escalación de privilegios y subversión de UAC en Win7/Win8 (x86/x64). Ayer por casualdiad encontré una nueva forma de escalar privilegios (SYSTEM) en Windows 8.1 Pro x64. La técnica es conocida pero fue parcheada hace tiempo. Lo que he logrado es modificar dicho procedimiento así que la escalada de privilegios es viable y no conocida por Microsoft. Básicamente te permite ejecutar un programa como Admin/SYSTEM sin tener privilegios y sin saltar UAC.

He estado leyendo acerca del programa de recompensas de Microsoft y piden firmar un pre-acuerdo -> http://technet.microsoft.com/en-us/security/dn425049
Ahí podeis fijaros en los requisitos previos, pero también dicen que quieren todo tipo de vulnerabilidades, vivas o muertas (0-days o técnicas conocidas).

¿Alguien ha tenido alguna experiencia previa con este tipo de programa? ¿Qué me recomendais hacer? Realmente me gustaría reportarlo y obtener una recompensa. Ayer les envié un mensaje a la dirección del pre-registro, todavía espero su respuesta.

Saludos!

Sí. Si alguna aplicación móvil es presentada se analizará en una máquina virtual y el código será minuciosamente revisado, como en el resto de las aplicaciones.

Saludos!

En España es distinto, vivo en el norte y solo me quisieron atracar una vez, además le salió mal pues el móvil acabó roto

Simplemente brutal aunque si fuese el ladrón y viera la GoPro la reduciría a cenizas... estás tú que te resistes a punta de pistola, la bolsa o la vida.

aunque huele un poco a fake el que no haya violencia ...

Actualizaré el post indiciando la normativa del código, básicamente se le obsequiará al mejor código con un 5% de los votos.

Tendremos en cuenta la estructuración del código, jerarquía de clases (en caso de POO), metodologías y buenas prácticas de programación. Esto está señalado en el post oficial del concurso.

En cuanto al tema de las líneas de código, lo tendremos en cuenta en caso de que uses APIs/Librerías externas o Wrappers para la implementación de tu aplicación, además tendremos en cuenta el lenguaje, por lo que podría haber alguna excepción, pero por lo pronto nos gustaría que la gente se esforzase, realmente hay 30 días por delante y os animo a todos a participar.

Saludos!

Multicast es inviable, pero la típica pregunta que te haces es eso un barrido de IPs para encontrar peers a parte que es muy intrusivo, desde mi punto de vista, malware, hace mucho ruido.

Te suenan las ip .no-ip.org y derivados, realmente es un DNS que apunta a tu IP, deberias de montar un servicio que redirija la resolucion de X nombre de dominio generado cada 10 min al peer correspondiente que actuara como server habiendo mapeado previamente mediante upnp el puerto 80 o el que uses para las conexiones del software, así los peers podrán encontrar a un compañero suyo y empezar a conocerse entre ellos.

Saludos!

Lo mismo me vino a la cabeza cuando investigué este tema, tendrías que ser capaz de hacer multicast a un país entero lol

Podrías montar un servicio DNS redirigirlo al PC host y el resto de personas podrían contactar éste, mediante UPnP mapeas el puerto 80 y ya tienes un server casero, éste pone en contacto a los demás peers y ya tienes hecho el bootstrapping. Cada 10 min levantas una DNS distinta con un algoritmo de generación de DNS. Esto con unos retoques creo que podría llegar a funcionar, ahí es donde me quede.

Aprovecharse de la red kad es otra alternativa, ya que no la van a tumbar. Ojo, yo me situo en puro malware, pero quizá algo de lo que he expuesto sirva.

Cuando contactes peers los almacenas como quieras aquí el criterio de cada uno xD

Saludos!

---

Otro año más arranca la edición del clásico entre los clásicos, Ehn-Dev, donde cada usuario pone a prueba su valía, intelecto y motivación.

En este post encontrarás información útil al respecto, cualquier pregunta o comentario debe de ser posteado aquí.

Para presentar una aplicación y/o revisar las aplicaciones presentadas visitad:

[Ehn-Dev 2014] - Concurso de desarrollo de aplicaciones - Hilo oficial

---

1) ¿Se pueden utilizar repositorios para almacenar el proyecto (github, bitbucket etc)?
- Sí aunque puede que ciertos usuarios no esten familiarizados con el repositorio, por lo que tú aplicación no sería revisada.

2) ¿Qué ocurrirá con la aplicación ganadora una vez termine el concurso?
- Se le hará mención en el hilo oficial del concurso así como en la página oficial de elhacker.net. El código fuente de la aplicación será accesible desde dichos medios.

3) ¿Existe algún tipo de requisito/perfil para los usuarios del foro?
- No. Cualquier usuario del foro y de cualquier país puede participar.

4) ¿Puedo modificar el post elaborado al presentar mi aplicación dentro del plazo de validez del concurso?
- Sí, tantas veces como quieras.

5) ¿Puedo modificar el post elaborado al presentar mi aplicación una vez terminado el concurso?
- Sí. Debes de ponerte en contacto con un moderador global o encargado del subforo.

6) ¿Puedo modificar mi aplicación una vez presentada?
- Depende. Si el concurso no ha finalizado entonces se permite la modificación, en caso de haber finalizado el concurso, no está permitida la modificación. Para ello debes de ponerte en contacto directamente con los organizadores del concurso.

7) ¿Puedo presentar una aplicación y después cambiarla?
- Al momento de presentar una aplicación está quedará ligada al concurso por lo que queda prohibida la sustitución de una aplicación por otra.

8) La aplicación de otra persona no funciona como es debido
- La causa más probable es que el desarrolador de dicha aplicación no haya incluido las librerías o paquetes necesarios para su correcto funcionamiento. En tal caso notíficalo cuanto antes.

9) ¿Se puede hacer publicidad de nuestro proyecto cuando esté acabado para así tener más posibilidades de tener más votos?
- Aquí en el foro puedes presentar tu aplicación en el subforo Software o en el subforo del lenguaje en el que este desarrollada (siempre aportando el source). Puedes ponerlo sin ningún problema en otros sitios pero no les fuerces a votar tu app.

10) ¿Es necesario registrar mi aplicación bajo una licencia?
- Lo recomendamos pero no es obligatorio. De esta forma los programadores más noveles no tendrán que preocuparse por las licencias y se centrarán en participar y presentar sus creaciones. Aun así recomendamos registrarlo bajo una licencia GPL.

11) ¿Mi programa tiene que correr bajo linux tambien por que solo corre en windows nomas?
- No es obligatorio que sea multiplatforma pero ayuda a ganar votos. Puede correr solo en Windows como puede correr solo en Linux.

12) ¿Se pueden poner enlaces tipo ultrashare o mediafire?
- Si, se pueden poner de esa forma.

13) ¿Exactamente cuándo termina el plazo de entrega?
- La presentación de aplicaciones termina exactamente el día 30 de Octubre de 2014 a las 23:59 tiempo España (península). Cualquier aplicación presentada después de esa hora limite sera descartada.

14) ¿Cuando conoceremos al ganador?
- Una vez finalizado el concurso se concederá un periodo de dos semanas (14 días) en los que los usuarios del foro podrán revisar y votar las aplicaciones presentadas.

15) ¿Cuanta información debo aportar sobre mi aplicación?
- La máxima que puedas, desde aquí os recomendamos crear un archivo README con la máxima información de uso posible, cabe destacar que esto nos ayudará en la etapa de revisión facilitándonos nuestro trabajo así que lo tendremos en cuenta.

---

Ediciones anteriores del concurso:

[Ehn-Dev 2013] - Concurso de desarrollo de aplicaciones - Hilo oficial

Estaría bien multarlo aunque si sigue haciendo el payaso, poco tardará en ocurrir o algo peor, ya que a cualquier h4x0r se le pilla fácilmente, antes de atacar, saber defenderse, strategy amigo estrategia!

Si hay caza de brujas yo me apunto ssshhhh!

Típico Script-Kiddie tocapelotas con mala ortografía y con fondo anonymouser en el escritorio, seguramente controla una botnet que ni el mismo ha programado, porque estos tipos no saben ni declarar variables, sino cuidarian más sus formas.

Jajaja me hace gracia cuando dice que aquí se deberían de enseñar actividades ílicitas para generar beneficios

Saludos!