[Reddes.bvs-tech] Contacto de BVS - es seguro?

Fabio Montefuscolo fabio.montefuscolo at gmail.com
Wed May 18 16:08:30 BRST 2011 

Olá,

Nenhum arquivo do tipo Perl é executado. Creio que estes arquivos
poderiam ser removidos do projeto sem maiores problemas e isso já
reduziria pela metade as ocorrências que o "Rats" encontrou. Agora,
funções como 'mail', 'is_file' e 'fopen' são funções básicas do PHP e
são tão seguras quanto a linguagem usada. Talvez o fopen precise
de uma atenção especial, que é verificar se o parâmetro não é um
arquivo do próprio BVS-Site, mas acredito que isto já seja feito.

Fabio,

2011/5/18 spinaker <spinaker at adinet.com.uy>:
> Prezado Avelino
>
> muito obrigado por todas essas dicas, vou a analisar e implementar
> se for bem sucedida vou relatar de volta para la lista
> Concordo que a Bireme tem problemas de segurança, mais isso é comum em
> todas as aplicaçoes de software
> inlcuindo Microsoft.
> Acho que a Bireme deberia fazer sería manter os produtos atualizados,
> porque
> esse é o propósito desta lista técnica
>
> abc
> Ernesto Spinak
>
>
> El 18/05/2011 11:59, davelino at fis.grad.ufmg.br escribió:
>> Olá Ernesto
>>
>> Sem querer despertar um clima de histeria na lista,
>> gostaria de alertá-lo[s] que os aplicativos da Bireme
>> costumam sofrer de falhas de segurança graves e, desde
>> que acompanho os projetos [particularmente o Lildbi-WEB]
>> tenho visto pouco esforço [no meu julgamento] para sanar
>> estas falhas.
>>
>> O comportamento que você descreve aqui no meu modo de ver precisa
>> ser avaliado com mais detalhes para que possamos classificar o impacto
>> do mesmo. No entanto, é um comportamento no mínimo indesejado e existem
>> sim mecanismos para mitigá-las.
>>
>> De imediato, você pode analisar a viabilidade de 2 mecanismos interessantes para
>> o seu ambiente:
>>
>> - um proxy de entrada
>> - um web application firewall
>>
>> Conceitualmente, a idéia destes mecanismos é definir uma lógica
>> mais acertada para o acesso ao seu ambiente.
>>
>> Por exemplo, você poderia filtrar estes padrões estranhos
>> [via expressão regular, ou algo do gênero] o que certamente
>> trará benefícios não apenas para este problema que você apresentou
>> mas problemas como sqlinjection, acesso indevido, etc.
>>
>> Coloquei estas duas opções pois, pensando de imediato, elas não necessitam
>> intervenção direta no código, e devolvem um resultado bastante satisfatório.
>> Além disto, são mais abrangentes pois permitem tratar outros problemas nos
>> produtos da Bireme.
>>
>> Se você estiver utilizando o Apache como webserver, existe um web application firewall
>> muito bom para ele, chamado mod-security.
>>
>> http://www.modsecurity.org/
>>
>> No caso do IIS, não me recordo agora uma referência mas coloco aqui na lista assim que lembrar!
>>
>> No caso do proxy, esta costuma ser uma solução um pouco mais difícil de se implementar por envolver
>> redirecionamento de pacotes mas é uma alternativa também, principalmente se vocês já utilizam algum
>> tipo de proxy de entrada. Uma referência neste caso seria utilizando o Squid
>>
>> http://www.squid-cache.org/
>>
>> aqui a referência propriamente dita:
>>
>> http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect
>>
>> Outras sugestões que considero importante:
>>
>> - Faça uma checagem do código fonte dos produtos da Bireme [alguém da Bireme aqui?].
>> Existem boas ferramentas para automatizar este processo e que - mesmo não sendo perfeitas -
>> podem dar uma boa noção sobre os problemas que estamos falando [mais os que comentei aqui].
>> Uma ferramenta que recomendo é o rats
>>
>> http://www.fortifysoftware.com/security-resources/rats.jsp
>>
>> Só para você ter uma idéia, vou te encaminhar o resultado do rats contra o código do
>> BVS-Site-5.2.14 [meu email aqui está com problemas para anexar arquivos]
>>
>> - Teste seu ambiente [Bireme?]
>>    Se você puder aí, teste seu ambiente com as seguintes ferramentas:
>>
>>    * nessus - http://www.nessus.org/
>>    * sqlmap - http://sqlmap.sourceforge.net/
>>    * w3af   - http://w3af.sourceforge.net/
>>
>> Se possível, poste os resultados aqui na lista.
>>
>> [Perdoe a resposta em português mas minha escrita em espanhol ainda deixa muito a desejar]
>>
>> Atenciosamente,
>>
>>
>> Avelino, Daniel A.
>>
>> LCC - Laboratório de Computação Científica
>> Universidade Federal de Minas Gerais
>>
>> +55 31 3409-5391
>>
>> -----reddes.bvs-tech-bounces at listas.bireme.br wrote: -----
>>
>> To: reddes.bvs-tech at listas.bireme.br
>> From: spinaker<spinaker at adinet.com.uy>
>> Sent by: reddes.bvs-tech-bounces at listas.bireme.br
>> Date: 14/05/2011 09:05AM
>> Subject: [Reddes.bvs-tech] Contacto de BVS - es seguro?
>>
>>
>>
>>
>>
>>
>>
>>
>>      Prezados
>>
>>
>>
>>        Esta semana hemos comenzado a recibir mails "extraños" a través de
>>        la función "contacto" de la BVS.
>>
>>        Analizando el log de apache vemos que alguien (persona o robot)
>>        está sondeando el Site y usa el "contacto" para enviar mensajes
>>        extraños, como por ejemplo el que copio (los links fueron
>>        eliminados por seguridad)
>>
>>
>>      SFprcm icjieucvqwdn,
>>          [url=http://yxdnrovmkrtf.com/]yxdnrovmkrtf[/url],
>>          [link=http://pozjvmuzvorp.com/]pozjvmuzvorp[/link],
>>          http://vklvegyhyztv.com/
>>
>>      yzrddozdeh<RnXjjMMBSDwXHuBTd>
>>
>>          67.192.253.140
>>
>>
>>      Ayer viernes hizo por lo menos 6 pruebas en una hora.
>>
>>        Pregunta:
>>
>>        El módulo php que atiende esa función tiene indicado la siguiente
>>        instrucción:
>>
>>
>>          $mail->IsHTML(true);  // set email format to HTML
>>
>>        ¿Eso significa que alguien puede insertar un mensaje con
>>        instrucciones html/php y violar la seguridad del sitio?
>>
>>        ¿No sería mejor poner la función en "false"? Hay algún otro
>>        mecanismo de filtrar peligros?
>>
>>
>>
>>        Saludos
>>
>>        Ernesto Spinak
>>
>>
>>
>>        .^.                                .^.
>>    ( )                                ( )
>>    ===                                ===
>>   =[=]================================[=]=
>>    | |  Ernesto Spinak                | |
>>    | |  spinaker at adinet.com.uy        | |
>>    | |  Montevideo, Uruguay           | |
>>    | |  tel/fax  (598) 2622-3352      | |
>>    | |  celular  (598) 99612238      | |
>>   =[=]================================[=]=
>>    ===                                ===
>>    ( )                                ( )
>>     V                                  V
>>
>>
>> _______________________________________________
>> Reddes.bvs-tech mailing list
>> Reddes.bvs-tech at listas.bireme.br
>> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>>
>>
>
>
> --
>   .^.                                .^.
>   ( )                                ( )
>   ===                                ===
>  =[=]================================[=]=
>   | |  Ernesto Spinak                | |
>   | |  spinaker at adinet.com.uy        | |
>   | |  Montevideo, Uruguay           | |
>   | |  tel/fax  (598) 2622-3352      | |
>   | |  celular  (598) 99612238      | |
>  =[=]================================[=]=
>   ===                                ===
>   ( )                                ( )
>    V                                  V
>
> _______________________________________________
> Reddes.bvs-tech mailing list
> Reddes.bvs-tech at listas.bireme.br
> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>

More information about the Reddes.bvs-tech mailing list