[Reddes.bvs-tech] Contacto de BVS - es seguro?
Marcos Luis Mori
marcos.mori at bireme.org
Thu May 19 00:27:24 BRST 2011
Obrigado Fabio, Ernesto e Davelino,
Importante que os nossos usuários falem e colaborem com as melhorias dos produtos. Quanto ao Lildbi-web, nós nos esforçamos para tirar a questão de vulnerabilidade na importação e upload de documentos. Atualmente todos esses pontos já foram sanados. Quanto ao BVS-site e todos os outros nossos produtos estão sendo avaliados novas tecnologias para atualização das aplicações. Quanto a questão do BVS-SITE, creio que o Fábio respondeu em parte a sua questão.
Nessa lista vamos tentar comunicar com vocês informando os nossos estudos com o aplicativo dspace para repositórios institucionais, com a linguagem python e os frameworks django, piramide, a base de dados couchdb. Estamos marcando para proximamente uma reunião virtual com um case específico usando essas tecnologias.
Davelino posso utilizar suas dicas para criar um documento wiki com o tema, por exemplo, Melhorando a segurança dos produtos BVS ", Assim, podemos disponibilizar esse documento para a toda rede e poderemos receber contribuições de todos. O que voce acha?
Estamos trabalhando dentro do conceito/modelo de open source e estamos tentando exercitar essa cultura de contribuição.
Estamos tentando também melhorar nossa comunicação com os nossos usuários. No site abaixo, existem os produtos e os links para a documentação técnica de desenvolvimento e suporte. Inclusive existe a funcionalidade de ticket para que você possa reportar diretamente os bugs de nossas aplicações.
http://reddes.bvsalud.org/
Estamos reavaliando o site, qualquer dica de como melhorar a nossa página estamos abertos a receber sua sugestão.
E estamos aberto a crítica sim, creio que com a crítica e com a humildade cresceremos e melhoraremos os nossos produtos.
Obrigado a todos e por favor continuem escrevendo e movimentando a lista, porque assim construiremos um espaço de colaboração e transparência.
Abraços a todos,
Marcos Luis Mori
Supervisor
RST/MTI
BIREME/OPS/OMS
De: "Fabio Montefuscolo" <fabio.montefuscolo at gmail.com>
Para: spinaker at adinet.com.uy
Cc: "reddes bvs-tech" <reddes.bvs-tech at listas.bireme.br>
Enviadas: Quarta-feira, 18 de Maio de 2011 14:08:30
Assunto: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro?
Olá,
Nenhum arquivo do tipo Perl é executado. Creio que estes arquivos
poderiam ser removidos do projeto sem maiores problemas e isso já
reduziria pela metade as ocorrências que o "Rats" encontrou. Agora,
funções como 'mail', 'is_file' e 'fopen' são funções básicas do PHP e
são tão seguras quanto a linguagem usada. Talvez o fopen precise
de uma atenção especial, que é verificar se o parâmetro não é um
arquivo do próprio BVS-Site, mas acredito que isto já seja feito.
Fabio,
2011/5/18 spinaker <spinaker at adinet.com.uy>:
> Prezado Avelino
>
> muito obrigado por todas essas dicas, vou a analisar e implementar
> se for bem sucedida vou relatar de volta para la lista
> Concordo que a Bireme tem problemas de segurança, mais isso é comum em
> todas as aplicaçoes de software
> inlcuindo Microsoft.
> Acho que a Bireme deberia fazer sería manter os produtos atualizados,
> porque
> esse é o propósito desta lista técnica
>
> abc
> Ernesto Spinak
>
>
> El 18/05/2011 11:59, davelino at fis.grad.ufmg.br escribió:
>> Olá Ernesto
>>
>> Sem querer despertar um clima de histeria na lista,
>> gostaria de alertá-lo[s] que os aplicativos da Bireme
>> costumam sofrer de falhas de segurança graves e, desde
>> que acompanho os projetos [particularmente o Lildbi-WEB]
>> tenho visto pouco esforço [no meu julgamento] para sanar
>> estas falhas.
>>
>> O comportamento que você descreve aqui no meu modo de ver precisa
>> ser avaliado com mais detalhes para que possamos classificar o impacto
>> do mesmo. No entanto, é um comportamento no mínimo indesejado e existem
>> sim mecanismos para mitigá-las.
>>
>> De imediato, você pode analisar a viabilidade de 2 mecanismos interessantes para
>> o seu ambiente:
>>
>> - um proxy de entrada
>> - um web application firewall
>>
>> Conceitualmente, a idéia destes mecanismos é definir uma lógica
>> mais acertada para o acesso ao seu ambiente.
>>
>> Por exemplo, você poderia filtrar estes padrões estranhos
>> [via expressão regular, ou algo do gênero] o que certamente
>> trará benefícios não apenas para este problema que você apresentou
>> mas problemas como sqlinjection, acesso indevido, etc.
>>
>> Coloquei estas duas opções pois, pensando de imediato, elas não necessitam
>> intervenção direta no código, e devolvem um resultado bastante satisfatório.
>> Além disto, são mais abrangentes pois permitem tratar outros problemas nos
>> produtos da Bireme.
>>
>> Se você estiver utilizando o Apache como webserver, existe um web application firewall
>> muito bom para ele, chamado mod-security.
>>
>> http://www.modsecurity.org/
>>
>> No caso do IIS, não me recordo agora uma referência mas coloco aqui na lista assim que lembrar!
>>
>> No caso do proxy, esta costuma ser uma solução um pouco mais difícil de se implementar por envolver
>> redirecionamento de pacotes mas é uma alternativa também, principalmente se vocês já utilizam algum
>> tipo de proxy de entrada. Uma referência neste caso seria utilizando o Squid
>>
>> http://www.squid-cache.org/
>>
>> aqui a referência propriamente dita:
>>
>> http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect
>>
>> Outras sugestões que considero importante:
>>
>> - Faça uma checagem do código fonte dos produtos da Bireme [alguém da Bireme aqui?].
>> Existem boas ferramentas para automatizar este processo e que - mesmo não sendo perfeitas -
>> podem dar uma boa noção sobre os problemas que estamos falando [mais os que comentei aqui].
>> Uma ferramenta que recomendo é o rats
>>
>> http://www.fortifysoftware.com/security-resources/rats.jsp
>>
>> Só para você ter uma idéia, vou te encaminhar o resultado do rats contra o código do
>> BVS-Site-5.2.14 [meu email aqui está com problemas para anexar arquivos]
>>
>> - Teste seu ambiente [Bireme?]
>> Se você puder aí, teste seu ambiente com as seguintes ferramentas:
>>
>> * nessus - http://www.nessus.org/
>> * sqlmap - http://sqlmap.sourceforge.net/
>> * w3af - http://w3af.sourceforge.net/
>>
>> Se possível, poste os resultados aqui na lista.
>>
>> [Perdoe a resposta em português mas minha escrita em espanhol ainda deixa muito a desejar]
>>
>> Atenciosamente,
>>
>>
>> Avelino, Daniel A.
>>
>> LCC - Laboratório de Computação Científica
>> Universidade Federal de Minas Gerais
>>
>> +55 31 3409-5391
>>
>> -----reddes.bvs-tech-bounces at listas.bireme.br wrote: -----
>>
>> To: reddes.bvs-tech at listas.bireme.br
>> From: spinaker<spinaker at adinet.com.uy>
>> Sent by: reddes.bvs-tech-bounces at listas.bireme.br
>> Date: 14/05/2011 09:05AM
>> Subject: [Reddes.bvs-tech] Contacto de BVS - es seguro?
>>
>>
>>
>>
>>
>>
>>
>>
>> Prezados
>>
>>
>>
>> Esta semana hemos comenzado a recibir mails "extraños" a través de
>> la función "contacto" de la BVS.
>>
>> Analizando el log de apache vemos que alguien (persona o robot)
>> está sondeando el Site y usa el "contacto" para enviar mensajes
>> extraños, como por ejemplo el que copio (los links fueron
>> eliminados por seguridad)
>>
>>
>> SFprcm icjieucvqwdn,
>> [url=http://yxdnrovmkrtf.com/]yxdnrovmkrtf[/url],
>> [link=http://pozjvmuzvorp.com/]pozjvmuzvorp[/link],
>> http://vklvegyhyztv.com/
>>
>> yzrddozdeh<RnXjjMMBSDwXHuBTd>
>>
>> 67.192.253.140
>>
>>
>> Ayer viernes hizo por lo menos 6 pruebas en una hora.
>>
>> Pregunta:
>>
>> El módulo php que atiende esa función tiene indicado la siguiente
>> instrucción:
>>
>>
>> $mail->IsHTML(true); // set email format to HTML
>>
>> ¿Eso significa que alguien puede insertar un mensaje con
>> instrucciones html/php y violar la seguridad del sitio?
>>
>> ¿No sería mejor poner la función en "false"? Hay algún otro
>> mecanismo de filtrar peligros?
>>
>>
>>
>> Saludos
>>
>> Ernesto Spinak
>>
>>
>>
>> .^. .^.
>> ( ) ( )
>> === ===
>> =[=]================================[=]=
>> | | Ernesto Spinak | |
>> | | spinaker at adinet.com.uy | |
>> | | Montevideo, Uruguay | |
>> | | tel/fax (598) 2622-3352 | |
>> | | celular (598) 99612238 | |
>> =[=]================================[=]=
>> === ===
>> ( ) ( )
>> V V
>>
>>
>> _______________________________________________
>> Reddes.bvs-tech mailing list
>> Reddes.bvs-tech at listas.bireme.br
>> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>>
>>
>
>
> --
> .^. .^.
> ( ) ( )
> === ===
> =[=]================================[=]=
> | | Ernesto Spinak | |
> | | spinaker at adinet.com.uy | |
> | | Montevideo, Uruguay | |
> | | tel/fax (598) 2622-3352 | |
> | | celular (598) 99612238 | |
> =[=]================================[=]=
> === ===
> ( ) ( )
> V V
>
> _______________________________________________
> Reddes.bvs-tech mailing list
> Reddes.bvs-tech at listas.bireme.br
> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>
_______________________________________________
Reddes.bvs-tech mailing list
Reddes.bvs-tech at listas.bireme.br
http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://listas.bireme.br/pipermail/reddes.bvs-tech/attachments/20110518/d407e929/attachment-0001.html
More information about the Reddes.bvs-tech
mailing list