[Reddes.bvs-tech] Contacto de BVS - es seguro?

davelino at fis.grad.ufmg.br davelino at fis.grad.ufmg.br
Wed May 18 13:59:43 BRST 2011 

Olá Ernesto

Sem querer despertar um clima de histeria na lista,
gostaria de alertá-lo[s] que os aplicativos da Bireme
costumam sofrer de falhas de segurança graves e, desde
que acompanho os projetos [particularmente o Lildbi-WEB]
tenho visto pouco esforço [no meu julgamento] para sanar 
estas falhas. 

O comportamento que você descreve aqui no meu modo de ver precisa
ser avaliado com mais detalhes para que possamos classificar o impacto
do mesmo. No entanto, é um comportamento no mínimo indesejado e existem
sim mecanismos para mitigá-las.

De imediato, você pode analisar a viabilidade de 2 mecanismos interessantes para 
o seu ambiente:

- um proxy de entrada 
- um web application firewall 

Conceitualmente, a idéia destes mecanismos é definir uma lógica
mais acertada para o acesso ao seu ambiente. 

Por exemplo, você poderia filtrar estes padrões estranhos 
[via expressão regular, ou algo do gênero] o que certamente
trará benefícios não apenas para este problema que você apresentou
mas problemas como sqlinjection, acesso indevido, etc.

Coloquei estas duas opções pois, pensando de imediato, elas não necessitam
intervenção direta no código, e devolvem um resultado bastante satisfatório.
Além disto, são mais abrangentes pois permitem tratar outros problemas nos 
produtos da Bireme.

Se você estiver utilizando o Apache como webserver, existe um web application firewall
muito bom para ele, chamado mod-security. 

http://www.modsecurity.org/

No caso do IIS, não me recordo agora uma referência mas coloco aqui na lista assim que lembrar!

No caso do proxy, esta costuma ser uma solução um pouco mais difícil de se implementar por envolver
redirecionamento de pacotes mas é uma alternativa também, principalmente se vocês já utilizam algum
tipo de proxy de entrada. Uma referência neste caso seria utilizando o Squid

http://www.squid-cache.org/ 

aqui a referência propriamente dita:

http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect

Outras sugestões que considero importante:

- Faça uma checagem do código fonte dos produtos da Bireme [alguém da Bireme aqui?]. 
Existem boas ferramentas para automatizar este processo e que - mesmo não sendo perfeitas - 
podem dar uma boa noção sobre os problemas que estamos falando [mais os que comentei aqui].
Uma ferramenta que recomendo é o rats

http://www.fortifysoftware.com/security-resources/rats.jsp

Só para você ter uma idéia, vou te encaminhar o resultado do rats contra o código do 
BVS-Site-5.2.14 [meu email aqui está com problemas para anexar arquivos]

- Teste seu ambiente [Bireme?]
  Se você puder aí, teste seu ambiente com as seguintes ferramentas:

  * nessus - http://www.nessus.org/
  * sqlmap - http://sqlmap.sourceforge.net/
  * w3af   - http://w3af.sourceforge.net/

Se possível, poste os resultados aqui na lista.
 
[Perdoe a resposta em português mas minha escrita em espanhol ainda deixa muito a desejar]

Atenciosamente,


Avelino, Daniel A.

LCC - Laboratório de Computação Científica 
Universidade Federal de Minas Gerais

+55 31 3409-5391

-----reddes.bvs-tech-bounces at listas.bireme.br wrote: -----

To: reddes.bvs-tech at listas.bireme.br
From: spinaker <spinaker at adinet.com.uy>
Sent by: reddes.bvs-tech-bounces at listas.bireme.br
Date: 14/05/2011 09:05AM
Subject: [Reddes.bvs-tech] Contacto de BVS - es seguro?



  

    
  
  
    Prezados

      

      Esta semana hemos comenzado a recibir mails "extraños" a través de
      la función "contacto" de la BVS.

      Analizando el log de apache vemos que alguien (persona o robot)
      está sondeando el Site y usa el "contacto" para enviar mensajes
      extraños, como por ejemplo el que copio (los links fueron
      eliminados por seguridad)

    
    SFprcm icjieucvqwdn,
        [url=http://yxdnrovmkrtf.com/]yxdnrovmkrtf[/url],
        [link=http://pozjvmuzvorp.com/]pozjvmuzvorp[/link],
        http://vklvegyhyztv.com/

    yzrddozdeh <RnXjjMMBSDwXHuBTd>

        67.192.253.140

    
    Ayer viernes hizo por lo menos 6 pruebas en una hora.

      Pregunta:

      El módulo php que atiende esa función tiene indicado la siguiente
      instrucción:

         
        $mail->IsHTML(true);  // set email format to HTML

      ¿Eso significa que alguien puede insertar un mensaje con
      instrucciones html/php y violar la seguridad del sitio?

      ¿No sería mejor poner la función en "false"? Hay algún otro
      mecanismo de filtrar peligros?

      

      Saludos

      Ernesto Spinak

    

      .^.                                .^.
  ( )                                ( )
  ===                                ===
 =[=]================================[=]=
  | |  Ernesto Spinak                | |
  | |  spinaker at adinet.com.uy        | |
  | |  Montevideo, Uruguay           | |
  | |  tel/fax  (598) 2622-3352      | |
  | |  celular  (598) 99612238      | |
 =[=]================================[=]=
  ===                                ===
  ( )                                ( )
   V                                  V 
  

_______________________________________________
Reddes.bvs-tech mailing list
Reddes.bvs-tech at listas.bireme.br
http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech

More information about the Reddes.bvs-tech mailing list