<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Verdana; font-size: 12pt; color: #000000'>Boa Idéia Avelino.<br><br>Podemos criar uma seção - <strong>boas práticas de instalação/manutenção do ambiente</strong> - conforme você sugeriu. Vamos iniciar com essas suas dicas e pedir a colaboração de todos para contribuir. <br><br>Logo que atualizarmos o wiki enviaremos para a LISTA. O pessoal de infraestrutura da BIREME, estará participando para nos apoiar. <br><br>Obrigado novamente, <br><br><span><br><span name="x"></span>Marcos Luis Mori<br>Supervisor <br>RST/MTI<br>BIREME/OPS/OMS<span name="x"></span><br></span><br><hr id="zwchr"><b>De: </b>davelino@fis.grad.ufmg.br<br><b>Para: </b>"Marcos Luis Mori" <marcos.mori@bireme.org><br><b>Cc: </b>"Fabio Montefuscolo" <fabio.montefuscolo@gmail.com>, "reddes bvs-tech" <reddes.bvs-tech@listas.bireme.br><br><b>Enviadas: </b>Quinta-feira, 19 de Maio de 2011 8:56:09<br><b>Assunto: </b>Re: [Reddes.bvs-tech] Contacto de BVS - es seguro?<br><br>Marcos,<br><br>Acho a criação do wiki fundamental, mas há que se pensar<br>sobre o tipo de informação que iremos disponibilizar tendo<br>em vista o impacto das mesmas e o tempo de resposta [em caso<br>de incidentes, vulnerabilidades, bugs, etc] por parte da Bireme.<br><br>Numa linha mais imediata, poderíamos iniciar como um guia de <br>boas práticas de instalação/manutenção do ambiente, complementando os documentos<br>"Leiame de instalação" [e.g. http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-leiame]<br> onde poderíamos aproveitar as experiências de modelos adotados pelas várias instituições <br>como forma de nos mantermos alinhados com as soluções adotadas e principalmente, trocarmos <br>experiências sobre implementações mais seguras, objetivo de todos nós.<br><br>Talvez fosse interessante que a equipe de testes da Bireme também participasse, <br>fica a sugestão.<br><br>Abraços,<br><br><br>Avelino, Daniel A.<br><br>LCC - Laboratório de Computação Científica <br>Universidade Federal de Minas Gerais<br><br>+55 31 3409-5391<br><br>-----reddes.bvs-tech-bounces@listas.bireme.br wrote: -----<br><br>To: Fabio Montefuscolo <fabio.montefuscolo@gmail.com><br>From: Marcos Luis Mori <marcos.mori@bireme.org><br>Sent by: reddes.bvs-tech-bounces@listas.bireme.br<br>Date: 18/05/2011 10:27PM<br>Cc: reddes bvs-tech <reddes.bvs-tech@listas.bireme.br><br>Subject: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro?<br><br>Obrigado Fabio, Ernesto e Davelino, <br><br>Importante que os nossos usuários falem e colaborem com as melhorias dos produtos. Quanto ao Lildbi-web, nós nos esforçamos para tirar a questão de vulnerabilidade na importação e upload de documentos. Atualmente todos esses pontos já foram sanados. Quanto ao BVS-site e todos os outros nossos produtos estão sendo avaliados novas tecnologias para atualização das aplicações. Quanto a questão do BVS-SITE, creio que o Fábio respondeu em parte a sua questão.<br><br>Nessa lista vamos tentar comunicar com vocês informando os nossos estudos com o aplicativo dspace para repositórios institucionais, com a linguagem python e os frameworks django, piramide, a base de dados couchdb. Estamos marcando para proximamente uma reunião virtual com um case específico usando essas tecnologias. <br><br>Davelino posso utilizar suas dicas para criar um documento wiki com o tema, por exemplo, Melhorando a segurança dos produtos BVS", Assim, podemos disponibilizar esse documento para a toda rede e poderemos receber contribuições de todos. O que voce acha? <br><br>Estamos trabalhando dentro do conceito/modelo de open source e estamos tentando exercitar essa cultura de contribuição. <br><br>Estamos tentando também melhorar nossa comunicação com os nossos usuários. No site abaixo, existem os produtos e os links para a documentação técnica de desenvolvimento e suporte. Inclusive existe a funcionalidade de ticket para que você possa reportar diretamente os bugs de nossas aplicações. <br><br>http://reddes.bvsalud.org/<br><br>Estamos reavaliando o site, qualquer dica de como melhorar a nossa página estamos abertos a receber sua sugestão.<br><br>E estamos aberto a crítica sim, creio que com a crítica e com a humildade cresceremos e melhoraremos os nossos produtos. <br><br>Obrigado a todos e por favor continuem escrevendo e movimentando a lista, porque assim construiremos um espaço de colaboração e transparência.<br><br>Abraços a todos, <br> <br><br>Marcos Luis Mori<br>Supervisor<br>RST/MTI<br>BIREME/OPS/OMS<br><br>De: "Fabio Montefuscolo" <fabio.montefuscolo@gmail.com><br>Para: spinaker@adinet.com.uy<br>Cc: "reddes bvs-tech" <reddes.bvs-tech@listas.bireme.br><br>Enviadas: Quarta-feira, 18 de Maio de 2011 14:08:30<br>Assunto: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro?<br><br>Olá,<br><br>Nenhum arquivo do tipo Perl é executado. Creio que estes arquivos<br>poderiam ser removidos do projeto sem maiores problemas e isso já<br>reduziria pela metade as ocorrências que o "Rats" encontrou. Agora,<br>funções como 'mail', 'is_file' e 'fopen' são funções básicas do PHP e<br>são tão seguras quanto a linguagem usada. Talvez o fopen precise<br>de uma atenção especial, que é verificar se o parâmetro não é um<br>arquivo do próprio BVS-Site, mas acredito que isto já seja feito.<br><br>Fabio,<br><br>2011/5/18 spinaker <spinaker@adinet.com.uy>:<br>> Prezado Avelino<br>><br>> muito obrigado por todas essas dicas, vou a analisar e implementar<br>> se for bem sucedida vou relatar de volta para la lista<br>> Concordo que a Bireme tem problemas de segurança, mais isso é comum em<br>> todas as aplicaçoes de software<br>> inlcuindo Microsoft.<br>> Acho que a Bireme deberia fazer sería manter os produtos atualizados,<br>> porque<br>> esse é o propósito desta lista técnica<br>><br>> abc<br>> Ernesto Spinak<br>><br>><br>> El 18/05/2011 11:59, davelino@fis.grad.ufmg.br escribió:<br>>> Olá Ernesto<br>>><br>>> Sem querer despertar um clima de histeria na lista,<br>>> gostaria de alertá-lo[s] que os aplicativos da Bireme<br>>> costumam sofrer de falhas de segurança graves e, desde<br>>> que acompanho os projetos [particularmente o Lildbi-WEB]<br>>> tenho visto pouco esforço [no meu julgamento] para sanar<br>>> estas falhas.<br>>><br>>> O comportamento que você descreve aqui no meu modo de ver precisa<br>>> ser avaliado com mais detalhes para que possamos classificar o impacto<br>>> do mesmo. No entanto, é um comportamento no mínimo indesejado e existem<br>>> sim mecanismos para mitigá-las.<br>>><br>>> De imediato, você pode analisar a viabilidade de 2 mecanismos interessantes para<br>>> o seu ambiente:<br>>><br>>> - um proxy de entrada<br>>> - um web application firewall<br>>><br>>> Conceitualmente, a idéia destes mecanismos é definir uma lógica<br>>> mais acertada para o acesso ao seu ambiente.<br>>><br>>> Por exemplo, você poderia filtrar estes padrões estranhos<br>>> [via expressão regular, ou algo do gênero] o que certamente<br>>> trará benefícios não apenas para este problema que você apresentou<br>>> mas problemas como sqlinjection, acesso indevido, etc.<br>>><br>>> Coloquei estas duas opções pois, pensando de imediato, elas não necessitam<br>>> intervenção direta no código, e devolvem um resultado bastante satisfatório.<br>>> Além disto, são mais abrangentes pois permitem tratar outros problemas nos<br>>> produtos da Bireme.<br>>><br>>> Se você estiver utilizando o Apache como webserver, existe um web application firewall<br>>> muito bom para ele, chamado mod-security.<br>>><br>>> http://www.modsecurity.org/<br>>><br>>> No caso do IIS, não me recordo agora uma referência mas coloco aqui na lista assim que lembrar!<br>>><br>>> No caso do proxy, esta costuma ser uma solução um pouco mais difícil de se implementar por envolver<br>>> redirecionamento de pacotes mas é uma alternativa também, principalmente se vocês já utilizam algum<br>>> tipo de proxy de entrada. Uma referência neste caso seria utilizando o Squid<br>>><br>>> http://www.squid-cache.org/<br>>><br>>> aqui a referência propriamente dita:<br>>><br>>> http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect<br>>><br>>> Outras sugestões que considero importante:<br>>><br>>> - Faça uma checagem do código fonte dos produtos da Bireme [alguém da Bireme aqui?].<br>>> Existem boas ferramentas para automatizar este processo e que - mesmo não sendo perfeitas -<br>>> podem dar uma boa noção sobre os problemas que estamos falando [mais os que comentei aqui].<br>>> Uma ferramenta que recomendo é o rats<br>>><br>>> http://www.fortifysoftware.com/security-resources/rats.jsp<br>>><br>>> Só para você ter uma idéia, vou te encaminhar o resultado do rats contra o código do<br>>> BVS-Site-5.2.14 [meu email aqui está com problemas para anexar arquivos]<br>>><br>>> - Teste seu ambiente [Bireme?]<br>>> Se você puder aí, teste seu ambiente com as seguintes ferramentas:<br>>><br>>> * nessus - http://www.nessus.org/<br>>> * sqlmap - http://sqlmap.sourceforge.net/<br>>> * w3af - http://w3af.sourceforge.net/<br>>><br>>> Se possível, poste os resultados aqui na lista.<br>>><br>>> [Perdoe a resposta em português mas minha escrita em espanhol ainda deixa muito a desejar]<br>>><br>>> Atenciosamente,<br>>><br>>><br>>> Avelino, Daniel A.<br>>><br>>> LCC - Laboratório de Computação Científica<br>>> Universidade Federal de Minas Gerais<br>>><br>>> +55 31 3409-5391<br>>><br>>> -----reddes.bvs-tech-bounces@listas.bireme.br wrote: -----<br>>><br>>> To: reddes.bvs-tech@listas.bireme.br<br>>> From: spinaker<spinaker@adinet.com.uy><br>>> Sent by: reddes.bvs-tech-bounces@listas.bireme.br<br>>> Date: 14/05/2011 09:05AM<br>>> Subject: [Reddes.bvs-tech] Contacto de BVS - es seguro?<br>>><br>>><br>>><br>>><br>>><br>>><br>>><br>>><br>>> Prezados<br>>><br>>><br>>><br>>> Esta semana hemos comenzado a recibir mails "extraños" a través de<br>>> la función "contacto" de la BVS.<br>>><br>>> Analizando el log de apache vemos que alguien (persona o robot)<br>>> está sondeando el Site y usa el "contacto" para enviar mensajes<br>>> extraños, como por ejemplo el que copio (los links fueron<br>>> eliminados por seguridad)<br>>><br>>><br>>> SFprcm icjieucvqwdn,<br>>> [url=http://yxdnrovmkrtf.com/]yxdnrovmkrtf[/url],<br>>> [link=http://pozjvmuzvorp.com/]pozjvmuzvorp[/link],<br>>> http://vklvegyhyztv.com/<br>>><br>>> yzrddozdeh<RnXjjMMBSDwXHuBTd><br>>><br>>> 67.192.253.140<br>>><br>>><br>>> Ayer viernes hizo por lo menos 6 pruebas en una hora.<br>>><br>>> Pregunta:<br>>><br>>> El módulo php que atiende esa función tiene indicado la siguiente<br>>> instrucción:<br>>><br>>><br>>> $mail->IsHTML(true); // set email format to HTML<br>>><br>>> ¿Eso significa que alguien puede insertar un mensaje con<br>>> instrucciones html/php y violar la seguridad del sitio?<br>>><br>>> ¿No sería mejor poner la función en "false"? Hay algún otro<br>>> mecanismo de filtrar peligros?<br>>><br>>><br>>><br>>> Saludos<br>>><br>>> Ernesto Spinak<br>>><br>>><br>>><br>>> .^. .^.<br>>> ( ) ( )<br>>> === ===<br>>> =[=]================================[=]=<br>>> | | Ernesto Spinak | |<br>>> | | spinaker@adinet.com.uy | |<br>>> | | Montevideo, Uruguay | |<br>>> | | tel/fax (598) 2622-3352 | |<br>>> | | celular (598) 99612238 | |<br>>> =[=]================================[=]=<br>>> === ===<br>>> ( ) ( )<br>>> V V<br>>><br>>><br>>> _______________________________________________<br>>> Reddes.bvs-tech mailing list<br>>> Reddes.bvs-tech@listas.bireme.br<br>>> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br>>><br>>><br>><br>><br>> --<br>> .^. .^.<br>> ( ) ( )<br>> === ===<br>> =[=]================================[=]=<br>> | | Ernesto Spinak | |<br>> | | spinaker@adinet.com.uy | |<br>> | | Montevideo, Uruguay | |<br>> | | tel/fax (598) 2622-3352 | |<br>> | | celular (598) 99612238 | |<br>> =[=]================================[=]=<br>> === ===<br>> ( ) ( )<br>> V V<br>><br>> _______________________________________________<br>> Reddes.bvs-tech mailing list<br>> Reddes.bvs-tech@listas.bireme.br<br>> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br>><br>_______________________________________________<br>Reddes.bvs-tech mailing list<br>Reddes.bvs-tech@listas.bireme.br<br>http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br>_______________________________________________<br>Reddes.bvs-tech mailing list<br>Reddes.bvs-tech@listas.bireme.br<br>http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br><br></div></body></html>