[Reddes.bvs-tech] Contacto de BVS - es seguro?

Marcos Luis Mori marcos.mori at bireme.org
Thu May 19 13:06:15 BRST 2011 

Boa Idéia Avelino. 

Podemos criar uma seção - boas práticas de instalação/manutenção do ambiente - conforme você sugeriu. Vamos iniciar com essas suas dicas e pedir a colaboração de todos para contribuir. 

Logo que atualizarmos o wiki enviaremos para a LISTA. O pessoal de infraestrutura da BIREME, estará participando para nos apoiar. 

Obrigado novamente, 


Marcos Luis Mori 
Supervisor 
RST/MTI 
BIREME/OPS/OMS 


De: davelino at fis.grad.ufmg.br 
Para: "Marcos Luis Mori" <marcos.mori at bireme.org> 
Cc: "Fabio Montefuscolo" <fabio.montefuscolo at gmail.com>, "reddes bvs-tech" <reddes.bvs-tech at listas.bireme.br> 
Enviadas: Quinta-feira, 19 de Maio de 2011 8:56:09 
Assunto: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro? 

Marcos, 

Acho a criação do wiki fundamental, mas há que se pensar 
sobre o tipo de informação que iremos disponibilizar tendo 
em vista o impacto das mesmas e o tempo de resposta [em caso 
de incidentes, vulnerabilidades, bugs, etc] por parte da Bireme. 

Numa linha mais imediata, poderíamos iniciar como um guia de 
boas práticas de instalação/manutenção do ambiente, complementando os documentos 
"Leiame de instalação" [e.g. http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-leiame] 
onde poderíamos aproveitar as experiências de modelos adotados pelas várias instituições 
como forma de nos mantermos alinhados com as soluções adotadas e principalmente, trocarmos 
experiências sobre implementações mais seguras, objetivo de todos nós. 

Talvez fosse interessante que a equipe de testes da Bireme também participasse, 
fica a sugestão. 

Abraços, 


Avelino, Daniel A. 

LCC - Laboratório de Computação Científica 
Universidade Federal de Minas Gerais 

+55 31 3409-5391 

-----reddes.bvs-tech-bounces at listas.bireme.br wrote: ----- 

To: Fabio Montefuscolo <fabio.montefuscolo at gmail.com> 
From: Marcos Luis Mori <marcos.mori at bireme.org> 
Sent by: reddes.bvs-tech-bounces at listas.bireme.br 
Date: 18/05/2011 10:27PM 
Cc: reddes bvs-tech <reddes.bvs-tech at listas.bireme.br> 
Subject: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro? 

Obrigado Fabio, Ernesto e Davelino, 

Importante que os nossos usuários falem e colaborem com as melhorias dos produtos. Quanto ao Lildbi-web, nós nos esforçamos para tirar a questão de vulnerabilidade na importação e upload de documentos. Atualmente todos esses pontos já foram sanados. Quanto ao BVS-site e todos os outros nossos produtos estão sendo avaliados novas tecnologias para atualização das aplicações. Quanto a questão do BVS-SITE, creio que o Fábio respondeu em parte a sua questão. 

Nessa lista vamos tentar comunicar com vocês informando os nossos estudos com o aplicativo dspace para repositórios institucionais, com a linguagem python e os frameworks django, piramide, a base de dados couchdb. Estamos marcando para proximamente uma reunião virtual com um case específico usando essas tecnologias. 

Davelino posso utilizar suas dicas para criar um documento wiki com o tema, por exemplo, Melhorando a segurança dos produtos BVS", Assim, podemos disponibilizar esse documento para a toda rede e poderemos receber contribuições de todos. O que voce acha? 

Estamos trabalhando dentro do conceito/modelo de open source e estamos tentando exercitar essa cultura de contribuição. 

Estamos tentando também melhorar nossa comunicação com os nossos usuários. No site abaixo, existem os produtos e os links para a documentação técnica de desenvolvimento e suporte. Inclusive existe a funcionalidade de ticket para que você possa reportar diretamente os bugs de nossas aplicações. 

http://reddes.bvsalud.org/ 

Estamos reavaliando o site, qualquer dica de como melhorar a nossa página estamos abertos a receber sua sugestão. 

E estamos aberto a crítica sim, creio que com a crítica e com a humildade cresceremos e melhoraremos os nossos produtos. 

Obrigado a todos e por favor continuem escrevendo e movimentando a lista, porque assim construiremos um espaço de colaboração e transparência. 

Abraços a todos, 


Marcos Luis Mori 
Supervisor 
RST/MTI 
BIREME/OPS/OMS 

De: "Fabio Montefuscolo" <fabio.montefuscolo at gmail.com> 
Para: spinaker at adinet.com.uy 
Cc: "reddes bvs-tech" <reddes.bvs-tech at listas.bireme.br> 
Enviadas: Quarta-feira, 18 de Maio de 2011 14:08:30 
Assunto: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro? 

Olá, 

Nenhum arquivo do tipo Perl é executado. Creio que estes arquivos 
poderiam ser removidos do projeto sem maiores problemas e isso já 
reduziria pela metade as ocorrências que o "Rats" encontrou. Agora, 
funções como 'mail', 'is_file' e 'fopen' são funções básicas do PHP e 
são tão seguras quanto a linguagem usada. Talvez o fopen precise 
de uma atenção especial, que é verificar se o parâmetro não é um 
arquivo do próprio BVS-Site, mas acredito que isto já seja feito. 

Fabio, 

2011/5/18 spinaker <spinaker at adinet.com.uy>: 
> Prezado Avelino 
> 
> muito obrigado por todas essas dicas, vou a analisar e implementar 
> se for bem sucedida vou relatar de volta para la lista 
> Concordo que a Bireme tem problemas de segurança, mais isso é comum em 
> todas as aplicaçoes de software 
> inlcuindo Microsoft. 
> Acho que a Bireme deberia fazer sería manter os produtos atualizados, 
> porque 
> esse é o propósito desta lista técnica 
> 
> abc 
> Ernesto Spinak 
> 
> 
> El 18/05/2011 11:59, davelino at fis.grad.ufmg.br escribió: 
>> Olá Ernesto 
>> 
>> Sem querer despertar um clima de histeria na lista, 
>> gostaria de alertá-lo[s] que os aplicativos da Bireme 
>> costumam sofrer de falhas de segurança graves e, desde 
>> que acompanho os projetos [particularmente o Lildbi-WEB] 
>> tenho visto pouco esforço [no meu julgamento] para sanar 
>> estas falhas. 
>> 
>> O comportamento que você descreve aqui no meu modo de ver precisa 
>> ser avaliado com mais detalhes para que possamos classificar o impacto 
>> do mesmo. No entanto, é um comportamento no mínimo indesejado e existem 
>> sim mecanismos para mitigá-las. 
>> 
>> De imediato, você pode analisar a viabilidade de 2 mecanismos interessantes para 
>> o seu ambiente: 
>> 
>> - um proxy de entrada 
>> - um web application firewall 
>> 
>> Conceitualmente, a idéia destes mecanismos é definir uma lógica 
>> mais acertada para o acesso ao seu ambiente. 
>> 
>> Por exemplo, você poderia filtrar estes padrões estranhos 
>> [via expressão regular, ou algo do gênero] o que certamente 
>> trará benefícios não apenas para este problema que você apresentou 
>> mas problemas como sqlinjection, acesso indevido, etc. 
>> 
>> Coloquei estas duas opções pois, pensando de imediato, elas não necessitam 
>> intervenção direta no código, e devolvem um resultado bastante satisfatório. 
>> Além disto, são mais abrangentes pois permitem tratar outros problemas nos 
>> produtos da Bireme. 
>> 
>> Se você estiver utilizando o Apache como webserver, existe um web application firewall 
>> muito bom para ele, chamado mod-security. 
>> 
>> http://www.modsecurity.org/ 
>> 
>> No caso do IIS, não me recordo agora uma referência mas coloco aqui na lista assim que lembrar! 
>> 
>> No caso do proxy, esta costuma ser uma solução um pouco mais difícil de se implementar por envolver 
>> redirecionamento de pacotes mas é uma alternativa também, principalmente se vocês já utilizam algum 
>> tipo de proxy de entrada. Uma referência neste caso seria utilizando o Squid 
>> 
>> http://www.squid-cache.org/ 
>> 
>> aqui a referência propriamente dita: 
>> 
>> http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect 
>> 
>> Outras sugestões que considero importante: 
>> 
>> - Faça uma checagem do código fonte dos produtos da Bireme [alguém da Bireme aqui?]. 
>> Existem boas ferramentas para automatizar este processo e que - mesmo não sendo perfeitas - 
>> podem dar uma boa noção sobre os problemas que estamos falando [mais os que comentei aqui]. 
>> Uma ferramenta que recomendo é o rats 
>> 
>> http://www.fortifysoftware.com/security-resources/rats.jsp 
>> 
>> Só para você ter uma idéia, vou te encaminhar o resultado do rats contra o código do 
>> BVS-Site-5.2.14 [meu email aqui está com problemas para anexar arquivos] 
>> 
>> - Teste seu ambiente [Bireme?] 
>> Se você puder aí, teste seu ambiente com as seguintes ferramentas: 
>> 
>> * nessus - http://www.nessus.org/ 
>> * sqlmap - http://sqlmap.sourceforge.net/ 
>> * w3af - http://w3af.sourceforge.net/ 
>> 
>> Se possível, poste os resultados aqui na lista. 
>> 
>> [Perdoe a resposta em português mas minha escrita em espanhol ainda deixa muito a desejar] 
>> 
>> Atenciosamente, 
>> 
>> 
>> Avelino, Daniel A. 
>> 
>> LCC - Laboratório de Computação Científica 
>> Universidade Federal de Minas Gerais 
>> 
>> +55 31 3409-5391 
>> 
>> -----reddes.bvs-tech-bounces at listas.bireme.br wrote: ----- 
>> 
>> To: reddes.bvs-tech at listas.bireme.br 
>> From: spinaker<spinaker at adinet.com.uy> 
>> Sent by: reddes.bvs-tech-bounces at listas.bireme.br 
>> Date: 14/05/2011 09:05AM 
>> Subject: [Reddes.bvs-tech] Contacto de BVS - es seguro? 
>> 
>> 
>> 
>> 
>> 
>> 
>> 
>> 
>> Prezados 
>> 
>> 
>> 
>> Esta semana hemos comenzado a recibir mails "extraños" a través de 
>> la función "contacto" de la BVS. 
>> 
>> Analizando el log de apache vemos que alguien (persona o robot) 
>> está sondeando el Site y usa el "contacto" para enviar mensajes 
>> extraños, como por ejemplo el que copio (los links fueron 
>> eliminados por seguridad) 
>> 
>> 
>> SFprcm icjieucvqwdn, 
>> [url=http://yxdnrovmkrtf.com/]yxdnrovmkrtf[/url], 
>> [link=http://pozjvmuzvorp.com/]pozjvmuzvorp[/link], 
>> http://vklvegyhyztv.com/ 
>> 
>> yzrddozdeh<RnXjjMMBSDwXHuBTd> 
>> 
>> 67.192.253.140 
>> 
>> 
>> Ayer viernes hizo por lo menos 6 pruebas en una hora. 
>> 
>> Pregunta: 
>> 
>> El módulo php que atiende esa función tiene indicado la siguiente 
>> instrucción: 
>> 
>> 
>> $mail->IsHTML(true); // set email format to HTML 
>> 
>> ¿Eso significa que alguien puede insertar un mensaje con 
>> instrucciones html/php y violar la seguridad del sitio? 
>> 
>> ¿No sería mejor poner la función en "false"? Hay algún otro 
>> mecanismo de filtrar peligros? 
>> 
>> 
>> 
>> Saludos 
>> 
>> Ernesto Spinak 
>> 
>> 
>> 
>> .^. .^. 
>> ( ) ( ) 
>> === === 
>> =[=]================================[=]= 
>> | | Ernesto Spinak | | 
>> | | spinaker at adinet.com.uy | | 
>> | | Montevideo, Uruguay | | 
>> | | tel/fax (598) 2622-3352 | | 
>> | | celular (598) 99612238 | | 
>> =[=]================================[=]= 
>> === === 
>> ( ) ( ) 
>> V V 
>> 
>> 
>> _______________________________________________ 
>> Reddes.bvs-tech mailing list 
>> Reddes.bvs-tech at listas.bireme.br 
>> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech 
>> 
>> 
> 
> 
> -- 
> .^. .^. 
> ( ) ( ) 
> === === 
> =[=]================================[=]= 
> | | Ernesto Spinak | | 
> | | spinaker at adinet.com.uy | | 
> | | Montevideo, Uruguay | | 
> | | tel/fax (598) 2622-3352 | | 
> | | celular (598) 99612238 | | 
> =[=]================================[=]= 
> === === 
> ( ) ( ) 
> V V 
> 
> _______________________________________________ 
> Reddes.bvs-tech mailing list 
> Reddes.bvs-tech at listas.bireme.br 
> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech 
> 
_______________________________________________ 
Reddes.bvs-tech mailing list 
Reddes.bvs-tech at listas.bireme.br 
http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech 
_______________________________________________ 
Reddes.bvs-tech mailing list 
Reddes.bvs-tech at listas.bireme.br 
http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://listas.bireme.br/pipermail/reddes.bvs-tech/attachments/20110519/88d565bd/attachment-0001.html

More information about the Reddes.bvs-tech mailing list