<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Verdana; font-size: 12pt; color: #000000'>Boa Idéia Avelino.<br><br>Podemos criar uma seção - <strong>boas práticas de instalação/manutenção do ambiente</strong> - conforme você sugeriu.&nbsp; Vamos iniciar com essas suas dicas e pedir a colaboração de todos para contribuir. <br><br>Logo que atualizarmos o wiki enviaremos para a LISTA.&nbsp; O pessoal de infraestrutura da BIREME, estará participando para nos apoiar. <br><br>Obrigado novamente, <br><br><span><br><span name="x"></span>Marcos Luis Mori<br>Supervisor <br>RST/MTI<br>BIREME/OPS/OMS<span name="x"></span><br></span><br><hr id="zwchr"><b>De: </b>davelino@fis.grad.ufmg.br<br><b>Para: </b>"Marcos Luis Mori" &lt;marcos.mori@bireme.org&gt;<br><b>Cc: </b>"Fabio Montefuscolo" &lt;fabio.montefuscolo@gmail.com&gt;, "reddes bvs-tech" &lt;reddes.bvs-tech@listas.bireme.br&gt;<br><b>Enviadas: </b>Quinta-feira, 19 de Maio de 2011 8:56:09<br><b>Assunto: </b>Re: [Reddes.bvs-tech] Contacto de BVS - es seguro?<br><br>Marcos,<br><br>Acho a criação do wiki fundamental, mas há que se pensar<br>sobre o tipo de informação que iremos disponibilizar tendo<br>em vista o impacto das mesmas e o tempo de resposta [em caso<br>de incidentes, vulnerabilidades, bugs, etc] por parte da Bireme.<br><br>Numa linha mais imediata, poderíamos iniciar como um guia de <br>boas práticas de instalação/manutenção do ambiente, complementando os documentos<br>"Leiame de instalação" [e.g. http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-leiame]<br>&nbsp;onde poderíamos aproveitar as experiências de modelos adotados pelas várias instituições <br>como forma de nos mantermos alinhados com as soluções adotadas e principalmente, trocarmos <br>experiências sobre implementações mais seguras, objetivo de todos nós.<br><br>Talvez fosse interessante que a equipe de testes da Bireme também participasse, <br>fica a sugestão.<br><br>Abraços,<br><br><br>Avelino, Daniel A.<br><br>LCC - Laboratório de Computação Científica <br>Universidade Federal de Minas Gerais<br><br>+55 31 3409-5391<br><br>-----reddes.bvs-tech-bounces@listas.bireme.br wrote: -----<br><br>To: Fabio Montefuscolo &lt;fabio.montefuscolo@gmail.com&gt;<br>From: Marcos Luis Mori &lt;marcos.mori@bireme.org&gt;<br>Sent by: reddes.bvs-tech-bounces@listas.bireme.br<br>Date: 18/05/2011 10:27PM<br>Cc: reddes bvs-tech &lt;reddes.bvs-tech@listas.bireme.br&gt;<br>Subject: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro?<br><br>Obrigado Fabio, Ernesto e Davelino, <br><br>Importante que os nossos usuários falem e colaborem com as melhorias dos produtos. &nbsp;Quanto ao Lildbi-web, nós nos esforçamos para tirar a questão de vulnerabilidade na importação e upload de documentos. &nbsp;Atualmente todos esses pontos já foram sanados. &nbsp;Quanto ao BVS-site e todos os outros nossos produtos estão sendo avaliados novas tecnologias para atualização das aplicações. Quanto a questão do BVS-SITE, creio que o Fábio respondeu em parte a sua questão.<br><br>Nessa lista vamos tentar comunicar com vocês informando os nossos estudos com o aplicativo dspace para repositórios institucionais, com a linguagem python e os frameworks django, piramide, a base de dados couchdb. &nbsp;Estamos marcando para proximamente uma reunião virtual com um case específico usando essas tecnologias. <br><br>Davelino posso utilizar suas dicas para criar um documento wiki com o tema, por exemplo, Melhorando a segurança dos produtos BVS", Assim, podemos disponibilizar esse documento para a toda rede e poderemos receber &nbsp;contribuições de todos. O que voce acha? <br><br>Estamos trabalhando dentro do conceito/modelo &nbsp;de open source e estamos tentando exercitar essa cultura de contribuição. <br><br>Estamos tentando também melhorar nossa comunicação com os nossos usuários. &nbsp;No site abaixo, existem os produtos e os links para a documentação técnica de desenvolvimento e suporte. &nbsp;Inclusive existe a funcionalidade de ticket para que você possa &nbsp;reportar diretamente os bugs de nossas aplicações. &nbsp; <br><br>http://reddes.bvsalud.org/<br><br>Estamos reavaliando o site, qualquer dica de como melhorar a nossa página estamos abertos a receber sua sugestão.<br><br>E estamos aberto a crítica sim, creio que com a crítica e com a humildade cresceremos e melhoraremos os nossos produtos. &nbsp;<br><br>Obrigado a todos e por favor continuem escrevendo e movimentando a lista, porque assim construiremos um espaço de colaboração e transparência.<br><br>Abraços a todos, <br>&nbsp;&nbsp;<br><br>Marcos Luis Mori<br>Supervisor<br>RST/MTI<br>BIREME/OPS/OMS<br><br>De: "Fabio Montefuscolo" &lt;fabio.montefuscolo@gmail.com&gt;<br>Para: spinaker@adinet.com.uy<br>Cc: "reddes bvs-tech" &lt;reddes.bvs-tech@listas.bireme.br&gt;<br>Enviadas: Quarta-feira, 18 de Maio de 2011 14:08:30<br>Assunto: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro?<br><br>Olá,<br><br>Nenhum arquivo do tipo Perl é executado. Creio que estes arquivos<br>poderiam ser removidos do projeto sem maiores problemas e isso já<br>reduziria pela metade as ocorrências que o "Rats" encontrou. Agora,<br>funções como 'mail', 'is_file' e 'fopen' são funções básicas do PHP e<br>são tão seguras quanto a linguagem usada. Talvez o fopen precise<br>de uma atenção especial, que é verificar se o parâmetro não é um<br>arquivo do próprio BVS-Site, mas acredito que isto já seja feito.<br><br>Fabio,<br><br>2011/5/18 spinaker &lt;spinaker@adinet.com.uy&gt;:<br>&gt; Prezado Avelino<br>&gt;<br>&gt; muito obrigado por todas essas dicas, vou a analisar e implementar<br>&gt; se for bem sucedida vou relatar de volta para la lista<br>&gt; Concordo que a Bireme tem problemas de segurança, mais isso é comum em<br>&gt; todas as aplicaçoes de software<br>&gt; inlcuindo Microsoft.<br>&gt; Acho que a Bireme deberia fazer sería manter os produtos atualizados,<br>&gt; porque<br>&gt; esse é o propósito desta lista técnica<br>&gt;<br>&gt; abc<br>&gt; Ernesto Spinak<br>&gt;<br>&gt;<br>&gt; El 18/05/2011 11:59, davelino@fis.grad.ufmg.br escribió:<br>&gt;&gt; Olá Ernesto<br>&gt;&gt;<br>&gt;&gt; Sem querer despertar um clima de histeria na lista,<br>&gt;&gt; gostaria de alertá-lo[s] que os aplicativos da Bireme<br>&gt;&gt; costumam sofrer de falhas de segurança graves e, desde<br>&gt;&gt; que acompanho os projetos [particularmente o Lildbi-WEB]<br>&gt;&gt; tenho visto pouco esforço [no meu julgamento] para sanar<br>&gt;&gt; estas falhas.<br>&gt;&gt;<br>&gt;&gt; O comportamento que você descreve aqui no meu modo de ver precisa<br>&gt;&gt; ser avaliado com mais detalhes para que possamos classificar o impacto<br>&gt;&gt; do mesmo. No entanto, é um comportamento no mínimo indesejado e existem<br>&gt;&gt; sim mecanismos para mitigá-las.<br>&gt;&gt;<br>&gt;&gt; De imediato, você pode analisar a viabilidade de 2 mecanismos interessantes para<br>&gt;&gt; o seu ambiente:<br>&gt;&gt;<br>&gt;&gt; - um proxy de entrada<br>&gt;&gt; - um web application firewall<br>&gt;&gt;<br>&gt;&gt; Conceitualmente, a idéia destes mecanismos é definir uma lógica<br>&gt;&gt; mais acertada para o acesso ao seu ambiente.<br>&gt;&gt;<br>&gt;&gt; Por exemplo, você poderia filtrar estes padrões estranhos<br>&gt;&gt; [via expressão regular, ou algo do gênero] o que certamente<br>&gt;&gt; trará benefícios não apenas para este problema que você apresentou<br>&gt;&gt; mas problemas como sqlinjection, acesso indevido, etc.<br>&gt;&gt;<br>&gt;&gt; Coloquei estas duas opções pois, pensando de imediato, elas não necessitam<br>&gt;&gt; intervenção direta no código, e devolvem um resultado bastante satisfatório.<br>&gt;&gt; Além disto, são mais abrangentes pois permitem tratar outros problemas nos<br>&gt;&gt; produtos da Bireme.<br>&gt;&gt;<br>&gt;&gt; Se você estiver utilizando o Apache como webserver, existe um web application firewall<br>&gt;&gt; muito bom para ele, chamado mod-security.<br>&gt;&gt;<br>&gt;&gt; http://www.modsecurity.org/<br>&gt;&gt;<br>&gt;&gt; No caso do IIS, não me recordo agora uma referência mas coloco aqui na lista assim que lembrar!<br>&gt;&gt;<br>&gt;&gt; No caso do proxy, esta costuma ser uma solução um pouco mais difícil de se implementar por envolver<br>&gt;&gt; redirecionamento de pacotes mas é uma alternativa também, principalmente se vocês já utilizam algum<br>&gt;&gt; tipo de proxy de entrada. Uma referência neste caso seria utilizando o Squid<br>&gt;&gt;<br>&gt;&gt; http://www.squid-cache.org/<br>&gt;&gt;<br>&gt;&gt; aqui a referência propriamente dita:<br>&gt;&gt;<br>&gt;&gt; http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect<br>&gt;&gt;<br>&gt;&gt; Outras sugestões que considero importante:<br>&gt;&gt;<br>&gt;&gt; - Faça uma checagem do código fonte dos produtos da Bireme [alguém da Bireme aqui?].<br>&gt;&gt; Existem boas ferramentas para automatizar este processo e que - mesmo não sendo perfeitas -<br>&gt;&gt; podem dar uma boa noção sobre os problemas que estamos falando [mais os que comentei aqui].<br>&gt;&gt; Uma ferramenta que recomendo é o rats<br>&gt;&gt;<br>&gt;&gt; http://www.fortifysoftware.com/security-resources/rats.jsp<br>&gt;&gt;<br>&gt;&gt; Só para você ter uma idéia, vou te encaminhar o resultado do rats contra o código do<br>&gt;&gt; BVS-Site-5.2.14 [meu email aqui está com problemas para anexar arquivos]<br>&gt;&gt;<br>&gt;&gt; - Teste seu ambiente [Bireme?]<br>&gt;&gt; &nbsp; &nbsp;Se você puder aí, teste seu ambiente com as seguintes ferramentas:<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp;* nessus - http://www.nessus.org/<br>&gt;&gt; &nbsp; &nbsp;* sqlmap - http://sqlmap.sourceforge.net/<br>&gt;&gt; &nbsp; &nbsp;* w3af &nbsp; - http://w3af.sourceforge.net/<br>&gt;&gt;<br>&gt;&gt; Se possível, poste os resultados aqui na lista.<br>&gt;&gt;<br>&gt;&gt; [Perdoe a resposta em português mas minha escrita em espanhol ainda deixa muito a desejar]<br>&gt;&gt;<br>&gt;&gt; Atenciosamente,<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; Avelino, Daniel A.<br>&gt;&gt;<br>&gt;&gt; LCC - Laboratório de Computação Científica<br>&gt;&gt; Universidade Federal de Minas Gerais<br>&gt;&gt;<br>&gt;&gt; +55 31 3409-5391<br>&gt;&gt;<br>&gt;&gt; -----reddes.bvs-tech-bounces@listas.bireme.br wrote: -----<br>&gt;&gt;<br>&gt;&gt; To: reddes.bvs-tech@listas.bireme.br<br>&gt;&gt; From: spinaker&lt;spinaker@adinet.com.uy&gt;<br>&gt;&gt; Sent by: reddes.bvs-tech-bounces@listas.bireme.br<br>&gt;&gt; Date: 14/05/2011 09:05AM<br>&gt;&gt; Subject: [Reddes.bvs-tech] Contacto de BVS - es seguro?<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp;Prezados<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;Esta semana hemos comenzado a recibir mails "extraños" a través de<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;la función "contacto" de la BVS.<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;Analizando el log de apache vemos que alguien (persona o robot)<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;está sondeando el Site y usa el "contacto" para enviar mensajes<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;extraños, como por ejemplo el que copio (los links fueron<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;eliminados por seguridad)<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp;SFprcm icjieucvqwdn,<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;[url=http://yxdnrovmkrtf.com/]yxdnrovmkrtf[/url],<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;[link=http://pozjvmuzvorp.com/]pozjvmuzvorp[/link],<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;http://vklvegyhyztv.com/<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp;yzrddozdeh&lt;RnXjjMMBSDwXHuBTd&gt;<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;67.192.253.140<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp;Ayer viernes hizo por lo menos 6 pruebas en una hora.<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;Pregunta:<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;El módulo php que atiende esa función tiene indicado la siguiente<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;instrucción:<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;$mail-&gt;IsHTML(true); &nbsp;// set email format to HTML<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;¿Eso significa que alguien puede insertar un mensaje con<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;instrucciones html/php y violar la seguridad del sitio?<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;¿No sería mejor poner la función en "false"? Hay algún otro<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;mecanismo de filtrar peligros?<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;Saludos<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;Ernesto Spinak<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; &nbsp; &nbsp; &nbsp; &nbsp;.^. &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;.^.<br>&gt;&gt; &nbsp; &nbsp;( ) &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;( )<br>&gt;&gt; &nbsp; &nbsp;=== &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;===<br>&gt;&gt; &nbsp; =[=]================================[=]=<br>&gt;&gt; &nbsp; &nbsp;| | &nbsp;Ernesto Spinak &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;| |<br>&gt;&gt; &nbsp; &nbsp;| | &nbsp;spinaker@adinet.com.uy &nbsp; &nbsp; &nbsp; &nbsp;| |<br>&gt;&gt; &nbsp; &nbsp;| | &nbsp;Montevideo, Uruguay &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; | |<br>&gt;&gt; &nbsp; &nbsp;| | &nbsp;tel/fax &nbsp;(598) 2622-3352 &nbsp; &nbsp; &nbsp;| |<br>&gt;&gt; &nbsp; &nbsp;| | &nbsp;celular &nbsp;(598) 99612238 &nbsp; &nbsp; &nbsp;| |<br>&gt;&gt; &nbsp; =[=]================================[=]=<br>&gt;&gt; &nbsp; &nbsp;=== &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;===<br>&gt;&gt; &nbsp; &nbsp;( ) &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;( )<br>&gt;&gt; &nbsp; &nbsp; V &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;V<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; _______________________________________________<br>&gt;&gt; Reddes.bvs-tech mailing list<br>&gt;&gt; Reddes.bvs-tech@listas.bireme.br<br>&gt;&gt; http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br>&gt;&gt;<br>&gt;&gt;<br>&gt;<br>&gt;<br>&gt; --<br>&gt; &nbsp; .^. &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;.^.<br>&gt; &nbsp; ( ) &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;( )<br>&gt; &nbsp; === &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;===<br>&gt; &nbsp;=[=]================================[=]=<br>&gt; &nbsp; | | &nbsp;Ernesto Spinak &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;| |<br>&gt; &nbsp; | | &nbsp;spinaker@adinet.com.uy &nbsp; &nbsp; &nbsp; &nbsp;| |<br>&gt; &nbsp; | | &nbsp;Montevideo, Uruguay &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; | |<br>&gt; &nbsp; | | &nbsp;tel/fax &nbsp;(598) 2622-3352 &nbsp; &nbsp; &nbsp;| |<br>&gt; &nbsp; | | &nbsp;celular &nbsp;(598) 99612238 &nbsp; &nbsp; &nbsp;| |<br>&gt; &nbsp;=[=]================================[=]=<br>&gt; &nbsp; === &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;===<br>&gt; &nbsp; ( ) &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;( )<br>&gt; &nbsp; &nbsp;V &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;V<br>&gt;<br>&gt; _______________________________________________<br>&gt; Reddes.bvs-tech mailing list<br>&gt; Reddes.bvs-tech@listas.bireme.br<br>&gt; http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br>&gt;<br>_______________________________________________<br>Reddes.bvs-tech mailing list<br>Reddes.bvs-tech@listas.bireme.br<br>http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br>_______________________________________________<br>Reddes.bvs-tech mailing list<br>Reddes.bvs-tech@listas.bireme.br<br>http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech<br><br></div></body></html>