PRCTICA

APORTE INDIVIDUAL
GRUPO 233004_16

PRESENTADO POR:
JHONATAN FERNANDO VEGA CALDERON
CDIGO: 1117503748

PRESENTADO A:
M.SC. JOHN F. QUINTERO TAMAYO
DIRECTOR DE CURSO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA ECBTI
PROGRAMA INGENIERA DE SISTEMAS
ESPECIALIZACIN SEGURIDAD INFORMTICA
RIESGO Y CONTROL INFORMTICO
NOVIEMBRE DE 2016

TABLA DE CONTENIDO
Pg.
1 PRACTICA RIESGOS Y CONTROL INFORMATICO.........................................................4
1.1 Revisar los aspectos conceptuales sobre Gobierno En Lnea (GEL) y Sistema de
Administracin de la Seguridad (SASIGEL)..............................................................................4
1.1.1
Estrategia de Gobierno en Lnea................................................................................4
1.1.2
Sistema de Administracin de la Seguridad (SASIGEL)..........................................4
1.2 Elegir un portal web de un municipio capital de departamento sobre el cul ser
evaluado la aplicacin de gobierno en lnea y el sistema de seguridad SASIGEL.....................5
1.3 Explorar los mens, funcionalidad y servicios del portal web seleccionado....................5
1.4 Determinar mediante pruebas usando herramientas de software (Matriux, Kali Linux,
otros) las vulnerabilidades, amenazas y riesgos de seguridad de los portales web del municipio
seleccionado.................................................................................................................................5
1.5 De cada falla obtener la evidencia de la misma y describir como se presenta dicha falla7
1.6 Explorar fallas relacionadas con el cumplimiento de gobierno en lnea, y de la seguridad
del portal web de acuerdo al SASIGEL.......................................................................................8
2
REFERENCIAS BIBLIOGRFICAS..................................................................................10

LISTA DE FIGURAS
Figura 1. Organigrama SASIGEL
Figura 2.Mapa del Sitio
Figura 3. Telnet al sitio de la Alcalda de Manizales
Figura 4. Cantidad de Riesgos Encontrados
Figura 5. Distribucin de vulnerabilidades encontradas
Figura 6. Anlisis de Vulnerabilidad con Owasp Zap
Figura 7. Contenido del archivo htaccess.txt
Figura 8. Contenido archivo robots.txt

Pg.
4
5
6
6
7
7
8
8

1
1.1

PRACTICA RIESGOS Y CONTROL INFORMATICO

REVISAR LOS ASPECTOS CONCEPTUALES SOBRE GOBIERNO EN LNEA

(GEL) Y SISTEMA DE ADMINISTRACIN DE LA SEGURIDAD (SASIGEL).

1.1.1

ESTRATEGIA DE GOBIERNO EN LNEA

Luego de varios aos de implementacin de la Estrategia de Gobierno en lnea en Colombia y

reconociendo los significativos avances que en esa materia se han tenido, as como tambin los
resultados y las tendencias mundiales en gobierno electrnico; se hace necesario dar el paso a
una evolucin que permitir a las entidades pblicas adaptarse ms fcilmente a las necesidades
de la ciudadana.
Esta nueva Estrategia, que se plasma en el Decreto nico Reglamentario del Sector de
Tecnologas de la Informacin y las Comunicaciones 1078 de 2015, comprende cuatro grandes
propsitos: lograr que los ciudadanos cuenten con servicios en lnea de muy alta calidad,
impulsar el empoderamiento y la colaboracin de los ciudadanos con el Gobierno, encontrar
diferentes formas para que la gestin en las entidades pblicas sea ptima gracias al uso
estratgico de la tecnologa y garantizar la seguridad y la privacidad de la informacin.
Para cumplir con estos propsitos se han incorporado tres herramientas transversales a la
Estrategia: en primer lugar el sello de excelencia en Gobierno en lnea, que busca generar
confianza de los ciudadanos en el uso de los servicios en lnea que ofrece el gobierno; en
segundo lugar el mapa de ruta, que permitir enfocar y priorizar las acciones de mayor impacto
en la calidad de la relacin del ciudadano con el Estado; en tercer lugar el Marco de Referencia
de Arquitectura Empresarial, que se integra a la Estrategia con el fin de orientar sobre mejores
prcticas, guas y estndares que facilitarn el uso adecuado de la tecnologa para soportar los
diferentes servicios a las entidades y el cumplimiento de su misin. Lo anterior, fundamentado
en los resultados que las entidades han tenido hasta ahora.

Virtualizar o prestar en lnea sus servicios.

Lograr una mejor gestin
Mejorar la confianza de los ciudadanos
Avanzar en el cumplimiento de los Objetivos de Desarrollo Sostenible -ODS mediante el uso
efectivo de las TIC.

Figura 1. Modelo GEL

Fuente: http://estrategia.gobiernoenlinea.gov.co/623/articles-7941_manualGEL.pdf

TIC PARA GOBIERNO

ABIERTO
TIC PARA SERVICIOS

TIC PARA LA GESTIN

SEGURIDAD
PRIVACIDAD DE
INFORMACIN

Y
LA

1.1.2

Transparencia
Colaboracin
Participacin
Servicios centrados en el usuario
Sistema integrado de pqrd
Trmites y servicios en lnea
Estrategia de ti
Gobierno de ti
Informacin
Sistemas de informacin
Servicios tecnolgicos
Uso y apropiacin
Capacidades institucionales
Definicin del marco de seguridad y privacidad de
la informacin y de los sistemas de informacin
Implementacin del plan de seguridad y privacidad
de la informacin y de los sistemas de informacin
Monitoreo y mejoramiento continuo

SISTEMA DE ADMINISTRACIN DE LA SEGURIDAD (SASIGEL)

El Modelo de Seguridad de la Informacin para las entidades del Estado, se apoya en la creacin
del Sistema Administrativo de Seguridad de la Informacin para Gobierno en lnea SASIGEL y
en la conformacin de la Comisin de Seguridad de la Informacin para Gobierno en lnea, para
tomar acciones estratgicas y definir los lineamientos que permitan la implementacin,
seguimiento y mantenimiento del Modelo de Seguridad de la Informacin en cada una de las
entidades pblicas de orden nacional y territorial y en las entidades privadas que sean
proveedoras de los servicios de Gobierno en lnea.
La creacin del Sistema Administrativo de Seguridad de la Informacin para Gobierno en lnea,
permite el cumplimiento de los principios definidos en la Ley 1341 de 2009 y en la Estrategia de
Gobierno en lnea, que corresponden a la proteccin de la informacin del individuo y la
credibilidad y confianza en el Gobierno en lnea.

Figura 2. Sistema Administrativo de Seguridad de la Informacin para Gobierno en lnea - SASIGEL

Fuente: http://programa.gobiernoenlinea.gov.co/apc-aafiles/da4567033d075590cd3050598756222c/Modelo_Seguridad_Informacion_2_0.pdf

1.2

ELEGIR UN PORTAL WEB DE UN MUNICIPIO CAPITAL DE DEPARTAMENTO

SOBRE EL CUL SER EVALUADO LA APLICACIN DE GOBIERNO EN
LNEA Y EL SISTEMA DE SEGURIDAD SASIGEL
El sitio seleccionado es el de la Alcalda de Florencia Caqueta, ubicado en la URL:
http://www.florencia-caqueta.gov.co/
Figura 3. Sitio web elegido

Fuente: http://www.florencia-caqueta.gov.co/
1.3

EXPLORAR LOS MENS, FUNCIONALIDAD Y SERVICIOS DEL PORTAL WEB

SELECCIONADO.

Figura 4.Mapa del Sitio

ALCALDIA DE FLORENCIA
PRESENTACION

CONTRATACION

NUESTRA ALCALDIA

NUESTRO MUNICIPIO

PRESUPUESTOS Y FINANZAS

FLORENCIA LE INFORMA

TRMITES Y SERVICIOS

NORMATIVIDAD

PLANEACION Y EJECUCION

SISTEMA GENERAL DE REGALIAS

ATENCION A LA CIUDADANIA

OTRAS ENTIDADES DEL MUNICIPIO

PARTICIPACION

NUESTRA ALCALDIA

INSTANCIAS DE PARTICIPACION
CIUDADANA

ORGANOS DE CONTROL

RENDICION DE CUENTAS

PARA NIOS Y NIAS

LEY DE TRANSPARENCIA
Fuente: http://www.florencia-caqueta.gov.co

1.4

DETERMINAR MEDIANTE PRUEBAS USANDO HERRAMIENTAS DE

SOFTWARE (MATRIUX, KALI LINUX, OTROS) LAS VULNERABILIDADES,
AMENAZAS Y RIESGOS DE SEGURIDAD DE LOS PORTALES WEB DEL
MUNICIPIO SELECCIONADO.

Haciendo telnet al servidor alcaldiamanizales.gov.co a travs del puerto 80 y enviando un

comando HEAD para ver la cabecera del servidor se puede determinar que es un servidor nginx
versin 1.10.2
Nmap 7.01 ( https://nmap.org )
Usage: nmap [Scan Type(s)] [Options] {target specification}
Starting Nmap 7.01 ( https://nmap.org ) at 2016-11-29 11:31 COT
NSE: Loaded 132 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 11:31
Completed NSE at 11:31, 0.00s elapsed
Initiating NSE at 11:31
Completed NSE at 11:31, 0.00s elapsed
Initiating Ping Scan at 11:31
Scanning www.florencia-caqueta.gov.co (190.7.108.22) [4 ports]
Completed Ping Scan at 11:31, 0.04s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 11:31
Completed Parallel DNS resolution of 1 host. at 11:31, 0.06s elapsed
Initiating SYN Stealth Scan at 11:31
Scanning www.florencia-caqueta.gov.co (190.7.108.22) [1000 ports]
Discovered open port 25/tcp on 190.7.108.22
Discovered open port 443/tcp on 190.7.108.22
Discovered open port 22/tcp on 190.7.108.22
Discovered open port 80/tcp on 190.7.108.22
Discovered open port 5555/tcp on 190.7.108.22
Uptime guess: 47.764 days (since Wed Oct 12 17:13:22 2016)
Network Distance: 7 hops
TCP Sequence Prediction: Difficulty=261 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Host: web2.synapsis.com.co; OS: Unix
TRACEROUTE (using port 1720/tcp)
HOP RTT
ADDRESS
1
35.92 ms 192.168.3.1
2
...
3
64.45 ms 10.7.70.53
4
...
5
99.01 ms diveo-nap.ccit.org.co (206.223.124.137)
6
76.02 ms 200.31.85.37
7
77.10 ms 190.7.108.22
Final times for host: srtt: 51822 rttvar: 18321 to: 125106
NSE: Script Post-scanning.
NSE: Starting runlevel 1 (of 2) scan.
Initiating NSE at 11:34
NSE: Starting ssh-hostkey.
NSE: Finished ssh-hostkey.
Completed NSE at 11:34, 0.00s elapsed
NSE: Starting runlevel 2 (of 2) scan.
Initiating NSE at 11:34
Completed NSE at 11:34, 0.00s elapsed
Read from /usr/bin/../share/nmap: nmap-os-db nmap-payloads nmap-service-probes nmap-services.
OS
and
Service
detection
performed.
Please
report
any
incorrect
results
https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 137.47 seconds
Raw packets sent: 1432 (64.892KB) | Rcvd: 1085 (44.928KB)
root@Kali-Linux-x64:~# nmap -v -A www.florencia-caqueta.gov.co

Utilizando Owasp Zap en Kali se obtiene el siguiente resultado:

at

Figura 1. Anlisis de Vulnerabilidad con Owasp Zap

Fuente: El autor

1.5

DE CADA FALLA OBTENER LA EVIDENCIA DE LA MISMA Y DESCRIBIR

COMO SE PRESENTA DICHA FALLA

PROBLEMA
CROSS
REQUEST
FALSIFICACIN
(CSRF)

SCRIPTING (XSS)

1.6

DESCRIPCION
SITE

El origen de la consulta HTTP no est marcada. Por lo tanto,

un atacante puede crear una pgina HTML que contiene una
imagen cuyo URI es un comando OpenCA. Cuando el
administrador mostrar esta pgina HTML, el comando se
ejecutar durante el juicio la carga de imgenes.
Permite a atacantes remotos inyectar secuencias de
comandos web o HTML a travs de los campos de entrada
de formulario.

EXPLORAR FALLAS RELACIONADAS CON EL CUMPLIMIENTO DE

GOBIERNO EN LNEA, Y DE LA SEGURIDAD DEL PORTAL WEB DE
ACUERDO AL SASIGEL.

Para realizar la verificacin se usa la herramienta Instrumento de evaluacin MSPI 2016.xlsx

PORTADA

MADUREZ DE MSPI 2016

REFERENCIAS BIBLIOGRFICAS

Conoce la Estrategia de Gobierno en Lnea, disponible en lnea,

http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html

Cross-site Scripting (XSS), disponible en lnea, https://www.owasp.org/index.php/Crosssite_Scripting_(XSS)

Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea 2.0,

disponible en lnea, http://programa.gobiernoenlinea.gov.co/apc-aafiles/da4567033d075590cd3050598756222c/Modelo_Seguridad_Informacion_2_0.pdf