El concurso televisivo Gran Hermano ha conseguido superar todos los récords de audiencia en España, pero desgraciadamente en esta ocasión toma protagonismo al verse publicados en una página web todos los datos de las personas que se presentaron a las pruebas de selección. Además según ha podido comprobar Hispasec, Zeppelin TV, la productora del concurso presentaba un gran número de vulnerabilidades en su servidor.
Desde el fin de semana datos personales de los concursantes de Gran Hermano y de todos los que se presentaron a las pruebas de selección del conocido programa de Tele 5, han quedado al descubierto en una página web alojada en Alemania con un mirror en otro dominio portugués. Ambas máquinas , servidores NT Server con múltiples vulnerabilidades, fueron empleadas como meros discos duros donde alojar la información.
El uso de las máquinas para almacenar estas bases de datos, distribuidas en formato Access, hacía que fuera necesario acceder a la página empleando únicamente la direcci¢n IP, (195.145.2.69). En la p gina se pod¡a visualizar el siguiente mensaje: «Gran Timo! Los secretos del Gran Hermano, al descubierto!!! Mostramos que algunos de los personajillos estos est n haciendo lo que les dice que hagan desde la plataforma Zeppelin. Para los fans!!!! Aqu¡ tienen algunos datos de los que han entrado en la casa!!!» (…) «. La p gina aparec¡a firmada por un grupo que se hacen llamar «The evil hackers from the hell».
Estos sistemas aun siguen con las vulnerabilidades comentadas, a trav’s de las cuales se puede: provocar la parada del servidor, utilizarlo como pasarela/proxy para atacar otras m quinas, visualizar el fuente de las paginas ASP, descargar y crear ficheros en cualquier directorio del sistema, leer y modificar los par metros de las bases de datos, y ejecutar c¢digo arbitrario, en resumen, control total de la maquina.
Pero ‘stos no son los onicos problemas que se han encontrado en relaci¢n al pol’mico concurso. El problema puede ir mucho m s lejos, pues segon ha podido comprobar Hispasec el servidor corporativo de Zeppelin TV, la productora del programa y aut’ntica responsable de todo lo referente a ‘l, es toda una fuente de problemas de seguridad.
Este servidor, una m quina con Windows NT 4.0 Server con Internet Information Server, dispone de un servidor de correo a trav’s del cual los empleados env¡an los mensajes y en los cuales consta la IP de dicho servidor. La gravedad del problema radica en que sobre dicha intranet no existe ningon firewall o medida de seguridad que garantice la protecci¢n de los datos que en ‘l se alojan.
Tambi’n parece que el servidor se vi¢ sometido durante todo el transcurso del programa a diferentes tipos de ataques. En una ocasi¢n llegaron a modificar el registro del DNS en network-solutions, hecho que pudo ser solucionado convenientemente antes de que causar mayores problemas gracias al env¡o del mensaje de confirmaci¢n al contacto administrativo. A partir de este hecho, la productora decidi¢ alojar el servidor web del popular concurso (http://www.granhermano.com) al servidor de Terra.
Segon ha podido confirmar Hispasec, Zeppelin TV ya est informada de todos estos problemas, y junto con Secuware est tratando de solucionar en el menor plazo posible todos los problemas de su servidor. En la actualidad, para evitar nuevos problemas, el servidor est desconectado y no responde ninguna petici¢n.
Los supuestos intrusos parecen tener predilecci¢n por las plataformas de Microsoft, ya que tanto los dos servidores donde hospedaron la base de datos sustra¡da como el servidor de Zeppelin TV eran Windows NT. Lo cual indica que conocen perfectamente las vulnerabilidades que pueden presentar este tipo de sistemas y han sabido explotarlas tanto para la sustracci¢n como para el alojamiento de dicha informaci¢n.
Tambi’n resulta reprochable el comportamiento de los sitios donde se aloj¢ la base de datos. A d¡a de hoy, aunque restaurada la p gina y borrada la base de datos, siguen con las mismas vulnerabilidades y cualquiera puede atacarlas con ‘xito de nuevo.
M s informaci¢n:
Secuware:
http://www.secuware.com
Gran Hermano:
http://www.granhermano.com
Zeppelin TV:
http://www.zeppelintv.com
Antonio Ropero
antonior@hispasec.com
