[Reddes.bvs-tech] Contacto de BVS - es seguro?

davelino at fis.grad.ufmg.br davelino at fis.grad.ufmg.br
Thu May 19 10:56:09 BRST 2011


Marcos,

Acho a criação do wiki fundamental, mas há que se pensar
sobre o tipo de informação que iremos disponibilizar tendo
em vista o impacto das mesmas e o tempo de resposta [em caso
de incidentes, vulnerabilidades, bugs, etc] por parte da Bireme.

Numa linha mais imediata, poderíamos iniciar como um guia de 
boas práticas de instalação/manutenção do ambiente, complementando os documentos
"Leiame de instalação" [e.g. http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-leiame]
 onde poderíamos aproveitar as experiências de modelos adotados pelas várias instituições 
como forma de nos mantermos alinhados com as soluções adotadas e principalmente, trocarmos 
experiências sobre implementações mais seguras, objetivo de todos nós.

Talvez fosse interessante que a equipe de testes da Bireme também participasse, 
fica a sugestão.

Abraços,


Avelino, Daniel A.

LCC - Laboratório de Computação Científica 
Universidade Federal de Minas Gerais

+55 31 3409-5391

-----reddes.bvs-tech-bounces at listas.bireme.br wrote: -----

To: Fabio Montefuscolo <fabio.montefuscolo at gmail.com>
From: Marcos Luis Mori <marcos.mori at bireme.org>
Sent by: reddes.bvs-tech-bounces at listas.bireme.br
Date: 18/05/2011 10:27PM
Cc: reddes bvs-tech <reddes.bvs-tech at listas.bireme.br>
Subject: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro?

Obrigado Fabio, Ernesto e Davelino, 

Importante que os nossos usuários falem e colaborem com as melhorias dos produtos.  Quanto ao Lildbi-web, nós nos esforçamos para tirar a questão de vulnerabilidade na importação e upload de documentos.  Atualmente todos esses pontos já foram sanados.  Quanto ao BVS-site e todos os outros nossos produtos estão sendo avaliados novas tecnologias para atualização das aplicações. Quanto a questão do BVS-SITE, creio que o Fábio respondeu em parte a sua questão.

Nessa lista vamos tentar comunicar com vocês informando os nossos estudos com o aplicativo dspace para repositórios institucionais, com a linguagem python e os frameworks django, piramide, a base de dados couchdb.  Estamos marcando para proximamente uma reunião virtual com um case específico usando essas tecnologias. 

Davelino posso utilizar suas dicas para criar um documento wiki com o tema, por exemplo, Melhorando a segurança dos produtos BVS", Assim, podemos disponibilizar esse documento para a toda rede e poderemos receber  contribuições de todos. O que voce acha? 

Estamos trabalhando dentro do conceito/modelo  de open source e estamos tentando exercitar essa cultura de contribuição. 

Estamos tentando também melhorar nossa comunicação com os nossos usuários.  No site abaixo, existem os produtos e os links para a documentação técnica de desenvolvimento e suporte.  Inclusive existe a funcionalidade de ticket para que você possa  reportar diretamente os bugs de nossas aplicações.   

http://reddes.bvsalud.org/

Estamos reavaliando o site, qualquer dica de como melhorar a nossa página estamos abertos a receber sua sugestão.

E estamos aberto a crítica sim, creio que com a crítica e com a humildade cresceremos e melhoraremos os nossos produtos.  

Obrigado a todos e por favor continuem escrevendo e movimentando a lista, porque assim construiremos um espaço de colaboração e transparência.

Abraços a todos, 
  

Marcos Luis Mori
Supervisor
RST/MTI
BIREME/OPS/OMS

De: "Fabio Montefuscolo" <fabio.montefuscolo at gmail.com>
Para: spinaker at adinet.com.uy
Cc: "reddes bvs-tech" <reddes.bvs-tech at listas.bireme.br>
Enviadas: Quarta-feira, 18 de Maio de 2011 14:08:30
Assunto: Re: [Reddes.bvs-tech] Contacto de BVS - es seguro?

Olá,

Nenhum arquivo do tipo Perl é executado. Creio que estes arquivos
poderiam ser removidos do projeto sem maiores problemas e isso já
reduziria pela metade as ocorrências que o "Rats" encontrou. Agora,
funções como 'mail', 'is_file' e 'fopen' são funções básicas do PHP e
são tão seguras quanto a linguagem usada. Talvez o fopen precise
de uma atenção especial, que é verificar se o parâmetro não é um
arquivo do próprio BVS-Site, mas acredito que isto já seja feito.

Fabio,

2011/5/18 spinaker <spinaker at adinet.com.uy>:
> Prezado Avelino
>
> muito obrigado por todas essas dicas, vou a analisar e implementar
> se for bem sucedida vou relatar de volta para la lista
> Concordo que a Bireme tem problemas de segurança, mais isso é comum em
> todas as aplicaçoes de software
> inlcuindo Microsoft.
> Acho que a Bireme deberia fazer sería manter os produtos atualizados,
> porque
> esse é o propósito desta lista técnica
>
> abc
> Ernesto Spinak
>
>
> El 18/05/2011 11:59, davelino at fis.grad.ufmg.br escribió:
>> Olá Ernesto
>>
>> Sem querer despertar um clima de histeria na lista,
>> gostaria de alertá-lo[s] que os aplicativos da Bireme
>> costumam sofrer de falhas de segurança graves e, desde
>> que acompanho os projetos [particularmente o Lildbi-WEB]
>> tenho visto pouco esforço [no meu julgamento] para sanar
>> estas falhas.
>>
>> O comportamento que você descreve aqui no meu modo de ver precisa
>> ser avaliado com mais detalhes para que possamos classificar o impacto
>> do mesmo. No entanto, é um comportamento no mínimo indesejado e existem
>> sim mecanismos para mitigá-las.
>>
>> De imediato, você pode analisar a viabilidade de 2 mecanismos interessantes para
>> o seu ambiente:
>>
>> - um proxy de entrada
>> - um web application firewall
>>
>> Conceitualmente, a idéia destes mecanismos é definir uma lógica
>> mais acertada para o acesso ao seu ambiente.
>>
>> Por exemplo, você poderia filtrar estes padrões estranhos
>> [via expressão regular, ou algo do gênero] o que certamente
>> trará benefícios não apenas para este problema que você apresentou
>> mas problemas como sqlinjection, acesso indevido, etc.
>>
>> Coloquei estas duas opções pois, pensando de imediato, elas não necessitam
>> intervenção direta no código, e devolvem um resultado bastante satisfatório.
>> Além disto, são mais abrangentes pois permitem tratar outros problemas nos
>> produtos da Bireme.
>>
>> Se você estiver utilizando o Apache como webserver, existe um web application firewall
>> muito bom para ele, chamado mod-security.
>>
>> http://www.modsecurity.org/
>>
>> No caso do IIS, não me recordo agora uma referência mas coloco aqui na lista assim que lembrar!
>>
>> No caso do proxy, esta costuma ser uma solução um pouco mais difícil de se implementar por envolver
>> redirecionamento de pacotes mas é uma alternativa também, principalmente se vocês já utilizam algum
>> tipo de proxy de entrada. Uma referência neste caso seria utilizando o Squid
>>
>> http://www.squid-cache.org/
>>
>> aqui a referência propriamente dita:
>>
>> http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect
>>
>> Outras sugestões que considero importante:
>>
>> - Faça uma checagem do código fonte dos produtos da Bireme [alguém da Bireme aqui?].
>> Existem boas ferramentas para automatizar este processo e que - mesmo não sendo perfeitas -
>> podem dar uma boa noção sobre os problemas que estamos falando [mais os que comentei aqui].
>> Uma ferramenta que recomendo é o rats
>>
>> http://www.fortifysoftware.com/security-resources/rats.jsp
>>
>> Só para você ter uma idéia, vou te encaminhar o resultado do rats contra o código do
>> BVS-Site-5.2.14 [meu email aqui está com problemas para anexar arquivos]
>>
>> - Teste seu ambiente [Bireme?]
>>    Se você puder aí, teste seu ambiente com as seguintes ferramentas:
>>
>>    * nessus - http://www.nessus.org/
>>    * sqlmap - http://sqlmap.sourceforge.net/
>>    * w3af   - http://w3af.sourceforge.net/
>>
>> Se possível, poste os resultados aqui na lista.
>>
>> [Perdoe a resposta em português mas minha escrita em espanhol ainda deixa muito a desejar]
>>
>> Atenciosamente,
>>
>>
>> Avelino, Daniel A.
>>
>> LCC - Laboratório de Computação Científica
>> Universidade Federal de Minas Gerais
>>
>> +55 31 3409-5391
>>
>> -----reddes.bvs-tech-bounces at listas.bireme.br wrote: -----
>>
>> To: reddes.bvs-tech at listas.bireme.br
>> From: spinaker<spinaker at adinet.com.uy>
>> Sent by: reddes.bvs-tech-bounces at listas.bireme.br
>> Date: 14/05/2011 09:05AM
>> Subject: [Reddes.bvs-tech] Contacto de BVS - es seguro?
>>
>>
>>
>>
>>
>>
>>
>>
>>      Prezados
>>
>>
>>
>>        Esta semana hemos comenzado a recibir mails "extraños" a través de
>>        la función "contacto" de la BVS.
>>
>>        Analizando el log de apache vemos que alguien (persona o robot)
>>        está sondeando el Site y usa el "contacto" para enviar mensajes
>>        extraños, como por ejemplo el que copio (los links fueron
>>        eliminados por seguridad)
>>
>>
>>      SFprcm icjieucvqwdn,
>>          [url=http://yxdnrovmkrtf.com/]yxdnrovmkrtf[/url],
>>          [link=http://pozjvmuzvorp.com/]pozjvmuzvorp[/link],
>>          http://vklvegyhyztv.com/
>>
>>      yzrddozdeh<RnXjjMMBSDwXHuBTd>
>>
>>          67.192.253.140
>>
>>
>>      Ayer viernes hizo por lo menos 6 pruebas en una hora.
>>
>>        Pregunta:
>>
>>        El módulo php que atiende esa función tiene indicado la siguiente
>>        instrucción:
>>
>>
>>          $mail->IsHTML(true);  // set email format to HTML
>>
>>        ¿Eso significa que alguien puede insertar un mensaje con
>>        instrucciones html/php y violar la seguridad del sitio?
>>
>>        ¿No sería mejor poner la función en "false"? Hay algún otro
>>        mecanismo de filtrar peligros?
>>
>>
>>
>>        Saludos
>>
>>        Ernesto Spinak
>>
>>
>>
>>        .^.                                .^.
>>    ( )                                ( )
>>    ===                                ===
>>   =[=]================================[=]=
>>    | |  Ernesto Spinak                | |
>>    | |  spinaker at adinet.com.uy        | |
>>    | |  Montevideo, Uruguay           | |
>>    | |  tel/fax  (598) 2622-3352      | |
>>    | |  celular  (598) 99612238      | |
>>   =[=]================================[=]=
>>    ===                                ===
>>    ( )                                ( )
>>     V                                  V
>>
>>
>> _______________________________________________
>> Reddes.bvs-tech mailing list
>> Reddes.bvs-tech at listas.bireme.br
>> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>>
>>
>
>
> --
>   .^.                                .^.
>   ( )                                ( )
>   ===                                ===
>  =[=]================================[=]=
>   | |  Ernesto Spinak                | |
>   | |  spinaker at adinet.com.uy        | |
>   | |  Montevideo, Uruguay           | |
>   | |  tel/fax  (598) 2622-3352      | |
>   | |  celular  (598) 99612238      | |
>  =[=]================================[=]=
>   ===                                ===
>   ( )                                ( )
>    V                                  V
>
> _______________________________________________
> Reddes.bvs-tech mailing list
> Reddes.bvs-tech at listas.bireme.br
> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>
_______________________________________________
Reddes.bvs-tech mailing list
Reddes.bvs-tech at listas.bireme.br
http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
_______________________________________________
Reddes.bvs-tech mailing list
Reddes.bvs-tech at listas.bireme.br
http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech



More information about the Reddes.bvs-tech mailing list