[Reddes.bvs-tech] Contacto de BVS - es seguro?

spinaker spinaker at adinet.com.uy
Wed May 18 14:15:37 BRST 2011


Prezado Avelino

muito obrigado por todas essas dicas, vou a analisar e implementar
se for bem sucedida vou relatar de volta para la lista
Concordo que a Bireme tem problemas de segurança, mais isso é comum em 
todas as aplicaçoes de software
inlcuindo Microsoft.
Acho que a Bireme deberia fazer sería manter os produtos atualizados, 
porque
esse é o propósito desta lista técnica

abc
Ernesto Spinak


El 18/05/2011 11:59, davelino at fis.grad.ufmg.br escribió:
> Olá Ernesto
>
> Sem querer despertar um clima de histeria na lista,
> gostaria de alertá-lo[s] que os aplicativos da Bireme
> costumam sofrer de falhas de segurança graves e, desde
> que acompanho os projetos [particularmente o Lildbi-WEB]
> tenho visto pouco esforço [no meu julgamento] para sanar
> estas falhas.
>
> O comportamento que você descreve aqui no meu modo de ver precisa
> ser avaliado com mais detalhes para que possamos classificar o impacto
> do mesmo. No entanto, é um comportamento no mínimo indesejado e existem
> sim mecanismos para mitigá-las.
>
> De imediato, você pode analisar a viabilidade de 2 mecanismos interessantes para
> o seu ambiente:
>
> - um proxy de entrada
> - um web application firewall
>
> Conceitualmente, a idéia destes mecanismos é definir uma lógica
> mais acertada para o acesso ao seu ambiente.
>
> Por exemplo, você poderia filtrar estes padrões estranhos
> [via expressão regular, ou algo do gênero] o que certamente
> trará benefícios não apenas para este problema que você apresentou
> mas problemas como sqlinjection, acesso indevido, etc.
>
> Coloquei estas duas opções pois, pensando de imediato, elas não necessitam
> intervenção direta no código, e devolvem um resultado bastante satisfatório.
> Além disto, são mais abrangentes pois permitem tratar outros problemas nos
> produtos da Bireme.
>
> Se você estiver utilizando o Apache como webserver, existe um web application firewall
> muito bom para ele, chamado mod-security.
>
> http://www.modsecurity.org/
>
> No caso do IIS, não me recordo agora uma referência mas coloco aqui na lista assim que lembrar!
>
> No caso do proxy, esta costuma ser uma solução um pouco mais difícil de se implementar por envolver
> redirecionamento de pacotes mas é uma alternativa também, principalmente se vocês já utilizam algum
> tipo de proxy de entrada. Uma referência neste caso seria utilizando o Squid
>
> http://www.squid-cache.org/
>
> aqui a referência propriamente dita:
>
> http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect
>
> Outras sugestões que considero importante:
>
> - Faça uma checagem do código fonte dos produtos da Bireme [alguém da Bireme aqui?].
> Existem boas ferramentas para automatizar este processo e que - mesmo não sendo perfeitas -
> podem dar uma boa noção sobre os problemas que estamos falando [mais os que comentei aqui].
> Uma ferramenta que recomendo é o rats
>
> http://www.fortifysoftware.com/security-resources/rats.jsp
>
> Só para você ter uma idéia, vou te encaminhar o resultado do rats contra o código do
> BVS-Site-5.2.14 [meu email aqui está com problemas para anexar arquivos]
>
> - Teste seu ambiente [Bireme?]
>    Se você puder aí, teste seu ambiente com as seguintes ferramentas:
>
>    * nessus - http://www.nessus.org/
>    * sqlmap - http://sqlmap.sourceforge.net/
>    * w3af   - http://w3af.sourceforge.net/
>
> Se possível, poste os resultados aqui na lista.
>
> [Perdoe a resposta em português mas minha escrita em espanhol ainda deixa muito a desejar]
>
> Atenciosamente,
>
>
> Avelino, Daniel A.
>
> LCC - Laboratório de Computação Científica
> Universidade Federal de Minas Gerais
>
> +55 31 3409-5391
>
> -----reddes.bvs-tech-bounces at listas.bireme.br wrote: -----
>
> To: reddes.bvs-tech at listas.bireme.br
> From: spinaker<spinaker at adinet.com.uy>
> Sent by: reddes.bvs-tech-bounces at listas.bireme.br
> Date: 14/05/2011 09:05AM
> Subject: [Reddes.bvs-tech] Contacto de BVS - es seguro?
>
>
>
>
>
>
>
>
>      Prezados
>
>
>
>        Esta semana hemos comenzado a recibir mails "extraños" a través de
>        la función "contacto" de la BVS.
>
>        Analizando el log de apache vemos que alguien (persona o robot)
>        está sondeando el Site y usa el "contacto" para enviar mensajes
>        extraños, como por ejemplo el que copio (los links fueron
>        eliminados por seguridad)
>
>
>      SFprcm icjieucvqwdn,
>          [url=http://yxdnrovmkrtf.com/]yxdnrovmkrtf[/url],
>          [link=http://pozjvmuzvorp.com/]pozjvmuzvorp[/link],
>          http://vklvegyhyztv.com/
>
>      yzrddozdeh<RnXjjMMBSDwXHuBTd>
>
>          67.192.253.140
>
>
>      Ayer viernes hizo por lo menos 6 pruebas en una hora.
>
>        Pregunta:
>
>        El módulo php que atiende esa función tiene indicado la siguiente
>        instrucción:
>
>
>          $mail->IsHTML(true);  // set email format to HTML
>
>        ¿Eso significa que alguien puede insertar un mensaje con
>        instrucciones html/php y violar la seguridad del sitio?
>
>        ¿No sería mejor poner la función en "false"? Hay algún otro
>        mecanismo de filtrar peligros?
>
>
>
>        Saludos
>
>        Ernesto Spinak
>
>
>
>        .^.                                .^.
>    ( )                                ( )
>    ===                                ===
>   =[=]================================[=]=
>    | |  Ernesto Spinak                | |
>    | |  spinaker at adinet.com.uy        | |
>    | |  Montevideo, Uruguay           | |
>    | |  tel/fax  (598) 2622-3352      | |
>    | |  celular  (598) 99612238      | |
>   =[=]================================[=]=
>    ===                                ===
>    ( )                                ( )
>     V                                  V
>
>
> _______________________________________________
> Reddes.bvs-tech mailing list
> Reddes.bvs-tech at listas.bireme.br
> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>
>


-- 
   .^.                                .^.
   ( )                                ( )
   ===                                ===
  =[=]================================[=]=
   | |  Ernesto Spinak                | |
   | |  spinaker at adinet.com.uy        | |
   | |  Montevideo, Uruguay           | |
   | |  tel/fax  (598) 2622-3352      | |
   | |  celular  (598) 99612238      | |
  =[=]================================[=]=
   ===                                ===
   ( )                                ( )
    V                                  V



More information about the Reddes.bvs-tech mailing list