Civa PDF

CIVA
UNIVERSIDAD NACIONAL DE INGENIERÍA
FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS
SEGURIDAD INFORMATICA (ST 215 U)
Profesor: bringas Masgo,

Isaac Ernesto
• Ethical Hacking:
“Empresa Civa”
INTEGRANTES:
• Pozo Chinguel, Jhonathan
• Quillay Nazario, Angel
• Rojas Mendoza, Jorge
• Tello Rivera, Erika
• Ynocente Castro, Mario
FECHA DE PRESENTACIÓN: miércoles 25 de abril

del 2012
Seguridad Informática – 1ra Monografía Página 1

CIVA
Capitulo 1
Aspectos generales de la empresa CIVA
1.1. Presentación
Turismo Civa, empresa fundada en la cuidad de Piura, con mas de 40

años en el mercado. Se especializa en el servicio de transporte de
pasajeros, encomiendas y carga. Tiene la mayor cantidad de destinos a
nivel nacional.
Los primeros con una flota completa de buses cama 180 grados, su
servicio Excluciva cuenta con asientos totalmente reclinables y ahora
su nuevo servicio Superciva, únicos con baños para damas y
caballeros.
1.2. Visión
Ser la empresa líder de transporte terrestre interprovincial del Perú

para viajar, enviar y trabajar.
1.3. Misión
Somos una empresa innovadora que está comprometida en brindar un

servicio de calidad, seguridad y comodidad para satisfacer las
necesidades y expectativas de nuestros usuarios. Asimismo, conectar
el mayor número de destinos y ofrecer servicios para nuestros diversos
clientes y así generar bienestar y solidez para la gran Familia Civa.
1.4. Servicios
1.4.1.ExcluCiva
Bus doble piso, cuenta con 32 asientos, 12 asientos cama 160° en el

primer nivel y 20 suites cama 180° en el segundo nivel (asiento 100%
reclinable). Cada suite cuenta con monitores personales donde podrá
disfrutar de las últimas películas o música de su agrado, contamos
también con Wi-Fi abordo para su total entretenimiento. El bus cuenta
con aire acondicionado y calefacción, ambos con control de
temperatura, baño químico ubicado en el 1er nivel y velocímetro para
su tranquilidad. Tendrá la opción de elegir su cena entre agradables
platos basados en pollo, carne, vegetariano o niños. La flota de

CIVA
Excluciva se encuentra monitoreada 24 horas por nuestra central de

GPS para brindarle mayor seguridad durante su viaje.
1.4.2.SuperCiva
Nuevos Marcolopolo G7, buses de doble piso, cuentan con 56 asientos,

12 camas 160° en el primer nivel y semi - camas en el segundo nivel.
Cada bus cuenta con pantallas HD a bordo donde se trasmitiran las
últimas películas. Los buses cuentan con servicio a bordo (tripulante),
luz individual de lectura, aire acondicionado, baño químico en el primer
y segundo nivel (para damas y caballeros). Servicio de desayuno y/o
almuerzo y/o cena. La flota de Superciva se encuentra monitoreada 24
horas por nuestra central de GPS para brindarle mayor seguridad
durante su viaje.
1.4.3.SuperChurre
Bus doble piso, contamos con buses de 56 y 60 asientos, en el primer

nivel tenemos 9 y 12 asientos cama 160° y en el segundo nivel 47 y 48
asientos semi - cama 140°, respectivamente. Cada bus cuenta con
pantallas a bordo, donde se transmiten las últimas películas. Los buses
cuentan
con servicio
a bordo

CIVA
(tripulante), luz individual de lectura, aire acondicionado, baño químico

en el primer nivel. Servicio de desayuno y/o almuerzo y/o cena. La flota
de Super Churre se encuentra monitoreada 24 horas por nuestra
central de GPS para brindarle mayor seguridad durante su viaje.
1.4.4.EconoCiva
Bus de piso y medio con 56 asientos 140° semi - cama. Cada bus
cuenta con pantallas a bordo, donde se transmiten las últimas
películas. Los buses cuentan con luz individual de lectura, baño
químico. El bus hará las respectivas paradas para los servicios de
desayuno, almuerzo o cena. La flota Económica se encuentra
monitoreada 24 horas por nuestra central de GPS para brindarle mayor
seguridad durante su viaje.

CIVA
1.4.5.Compra y reserva de pasajes on-line
Terminos y Condiciones del servicio:
El registro del usuario debe contar con una dirección de correo
electrónico en la cual se enviará la conformidad de su transacción
electrónica y un teléfono (opcional). Los teléfonos registrados en las
reservas de los pasajeros deben ser validos. Ya que es la única
forma de contactarse con el cliente en caso de existir alguna
variación en nuestras programaciones.
 Este sistema es exclusivamente para la venta de pasajes.
 El registro del usuario debe contar con una dirección de correo
electrónico en la cual se enviará la conformidad de su transacción
electrónica y un teléfono (opcional).
 Para realizar transacciones, primero deberá registrarse como
usuario del sistema. Dicho registro solo se realizará una sola vez.
Dicha información será confidencial y exclusiva de la empresa
 Las tarjetas aceptadas son tarjetas Visa y Visa Electrón a nivel
nacional e internacional
 Los pasajes solo se podrán comprar en las ubicaciones indicadas
en nuestro sistema
 La compra se realiza en Nuevos Soles, si el cliente tiene una
cuenta diferente se procederá a realizar el tipo de cambio
correspondiente.
 Nuestro sistema de venta por Internet esta permanente
interconectado con todas nuestras sucursales a nivel nacional
1.5. Seguridad
En Turismo Civa estamos comprometidos principalmente en la Seguridad

de nuestros pasajeros. Para ello, hemos desarrollado e implementado
varios sistemas de control que a continuación se describen brevemente:

CIVA
1.5.1.GPS
Somos la primera empresa del Peru en implementar el 100% de nuestra

flota con Monitoreo Satelital GPS. Trabajamos con una de las empresas
proveedoras de GPS más importantes del país: SegurSat.
Tenemos nuestra propia Central de Monitoreo GPS las 24 horas del día.
Controlamos Excesos de Velocidad (de acuerdo a la zona: urbana,
autopista, rural, etc.), Paradas No Autorizadas, Botón de Pánico, Horas de
Manejo de cada conductor. Nuestros operadores están en constante
comunicación con los Pilotos informándoles y advirtiéndoles de posibles
eventos en las carreteras.
En caso de un asalto, el piloto cuenta con un Botón de Pánico para advertir

a la Central de Monitoreo sobre el problema. Contamos con comunicación
directa con la Policía de Carreteras y el apoyo de la Central de Monitoreo
24h de SegurSat.
1.5.2.VELOCIMETRO DIGITAL EN SALON
Todas nuestras unidades cuentan con un Velocímetro Digital en el salón

que muestra la velocidad del bus en tiempo real a todos los pasajeros. Se
conoce la velocidad en todo momento y se puede controlar al piloto en
caso que exceda los límites establecidos.
1.5.3.NUESTROS PILOTOS
Pilotos con gran experiencia en las carreteras del Perú – Tiempo promedio
como Conductores Profesionales: 10 años.

CIVA
Riguroso proceso de Selección de Pilotos. Antes que un piloto ingrese a

Turimo Civa, toma varios exámenes de conocimiento, psicológicos, de
salud y debe realizar pruebas de manejo incluyendo pruebas en ruta.
Son Capacitados constantemente (de acuerdo a una programación

estructurada) en diversos temas:
- Leyes y Normas de Tránsito – Seguridad Vial y Prevención de Accidentes.
- Calidad de Conducción: Cajas de Cambios (Confort Shift, etc), Motores

electrónicos, Los diferentes tipos de frenos disponibles.
- Motivación y Salud personal (servicio de psicología, campeonatos de

futbol, clases de relajación, Yoga, campañas de salud, motivación grupal
mediante expositores).
1.5.4.NUESTROS BUSES
Las mejores marcas del mundo y 100% originales: Volvo, Scania y

Mercedes-Benz. Carrocería Brasilera Marcopolo, Comil, Busscar y
Mascarello.
Vida promedio de nuestros buses: 5 años.
Mantenimientos Preventivos Sistematizados.

CIVA
Utilizamos Repuestos y Materiales Originales y de Calidad, de prestigiosas

marcas de nivel mundial.
Sistemas de Freno separados:
Retardador Hidráulico - Voith (componente de frenado electro-hidráulico

que trabaja independientemente en la cardán del bus frenando el eje
motriz)
Freno Motor (estrangulador de gases de escape en el motor)
Freno Servicio (de disco ó tambor, dependiendo del modelo. Algunos

buses cuentan con sistema anti-bloqueo ABS)
Freno Emergencia (bloquea el eje motriz)
Revisión y Mantenimiento constante en sistemas de Iluminación para que

la visibilidad del piloto sea la mejor posible.
Suspensión Neumática con Bolsas de Aire: mejoran la tracción y

comodidad del bus.
Trabajamos únicamente con prestigiosas comercializadoras que ofrecen

respaldo y garantía de los productos que adquirimos.
Capitulo 2
Etapas del Ethical Hacking
2.1. Reconocimiento
El reconocimiento se refiere a la fase preparatoria donde el atacante

obtiene toda la información necesaria de su objetivo o victima
antes de lanzar el ataque. Esta fase también puede incluir el

CIVA
escaneo de la red que el Hacker quiere atacar no importa si el ataque va a

ser interno o externo. Esta fase le permite al atacante crear una estrategia
para su ataque.
Esta fase puede incluir la Ingeniería Social, buscar en la basura

(Dumpsterdiving),
buscar que tipo de sistema operativo y aplicaciones usa el objetivo o

víctima, cuales
son los puertos que están abiertos, donde están localizados los routers
(enrutadores),
cuales son los host (terminales, computadoras) más accesibles, buscar en

las bases de
datos del Internet (Whois) información como direcciones de Internet (IP),

nombres de
dominios, información de contacto, servidores de email y toda la

información que se
pueda extraer de los DNS (DomainName Server).
Esta fase le puede tomar bastante tiempo al Hacker ya que tiene que
analizar toda la
información que ha obtenido para lanzar el ataque con mayor precisión.
2.1.1.Herramientas para el Reconocimiento
• GOOGLE: Mediante este buscador se encuentra la URL de la

empresa a analizar, a partir de ahí podemos comenzar a seguir
reconociendo datos importantes de la empresa.
• DNSSTUFF: Mediante esta herramienta se determinara

información relacionada con el nombre de dominio de
Internet de la empresa.
• IPTOOLS : ofrece varios utilitarios TCP/IP en un solo programa. Este

programa ganador de varios premios puede trabajar bajo Windows 98/ME,
Windows NT 4.0, Windows 2000/XP/2003 y Windows Vista, y resulta
indispensable para cualquiera que utiliza Internet o Intranet
2.1.2.Herramientas Utilizadas

CIVA
2.1.2.1. Google para la búsqueda general de información
Primero, realizamos un ping al dominio de www.civa.com.pe para que

el servidor DNS nos de la dirección ip de Civa

CIVA
Luego usando Google nos llevara a la web de CIVA
2.1.2.2. Utilizando IP-TOOLS
IP-Tools ofrece varios utilitarios TCP/IP en un solo

programa. Este programa ganador de varios premios puede trabajar
bajo Windows NT 4.0, Windows 2000/XP/Vista y Windows Server
2003/2008, y resulta indispensable para cualquiera que utiliza
Internet o Intranet.
Para el uso de esta herramienta, escribimos sobre Domain Info el

dominio civa.com.pe

CIVA
La información proporcionada por la herramienta, es la

mostrada a continuación. Datos como el status, nombre del
servidor, el contacto, entre otros.
2.2. Escaneo
Esta es la fase que el atacante realiza antes de la lanzar un ataque a la

red (network).
En el escaneo el atacante utiliza toda la información que obtuvo

en la Fase del
Reconocimiento (Fase 1) para identificar vulnerabilidades específicas. Por

ejemplo, si
en la Fase 1 el atacante descubrió que su objetivo o su víctima usa el

sistema operativo
Windows XP entonces él buscara vulnerabilidades específicas que

tenga ese sistema operativo para saber por dónde atacarlo.
También hace un escaneo de puertos para ver cuáles son los

puertos abiertos para saber por cual puerto va entrar y usa
herramientas automatizadas para escanear la red y los host en busca de
mas vulnerabilidades que le permitan el acceso al sistema.

CIVA
2.2.1.Objetivos:
• Detectar sistemas vivos en la red
• Descubrir puertos activos
• Descubrir el sistema operativo
• Descubrir los servicios ejecutándose y presentes en el sistema
• Descubrir direcciones ip’s

CIVA
2.2.2.Herramientas Utilizadas
• Nmap : Nmap (‘Network Mapper’), es una herramienta open

source, diseñada para explorar y para realizar auditorias de
seguridad en una red de computadoras. Esta herramienta puede
ser utilizada para realizar auditorias de seguridad en una red,
pero también puede ser utilizada para fines delictivos, ya que
esta herramienta pone al descubierto, puertos abiertos en las
computadoras de una red, así como también es posible conocer
como se encuentra organizada, y de cuantas computadoras
consta una red.
• Zenmap: Zenmap es el oficial de Nmap Security Scanner interfaz

gráfica de usuario. Se trata de una multi-plataforma (Linux,
Windows, Mac OS X, BSD, etc) la aplicación libre y de
código abierto que tiene como objetivo hacer Nmap
fácil de usar para principiantes, mientras que
proporciona características avanzadas para usuarios
experimentados de Nmap.
Análisis de uso frecuente se pueden guardar como

perfiles para que sean fáciles de ejecutar en varias
ocasiones. Un creador de comandos interactiva permite la
creación de líneas de comandos de Nmap. Los
resultados del análisis pueden ser guardados para su
posterior revisión.
Guardados los resultados del análisis pueden

compararse entre sí para ver en qué se diferencian.
Los resultados de los análisis recientes se almacenan
en una base de datos.
Usando esta herramienta, escribimos el nombre de

dominio en Target (blanco) y elegimos un tipo de profile
(Intense scan).

CIVA
También podemos poner un rango como por ejemplo

10.0.0.1-255 . En este caso Zemnap barrería todo el conjunto de direcciones
que va desde el 10.0.0.1 hasta el 10.0.0.255.
Donde dice “Perfil” tiene un menú desplegable que les permite hacer
distintos tipos de escaneo. Si no quieren complicarse lo mejor es
poner “Regular scan” que es un escaneo sin opciones y le agregamos las
opciones a mano. La aplicación también les permite crear sus
propios perfiles entre muchas otras opciones.
Donde dice “orden” se puede agregar o quitar variables del escaneo o

directamente podremos poner alguna personalizada. Luego cada una de las
pestañas mostrara distintos tipos de información de forma más ordenada que
ejecutando comandos desde la consola.

CIVA

CIVA
Aquí tenemos la información general del escaneo

CIVA

CIVA

CIVA

CIVA

CIVA

CIVA

CIVA

CIVA

CIVA
NESSUS
Primero ejecutamos Nessus start, y entramos a la dirección

127.0.0.1:8834
Acá nos conectamos con el usuario que hemos creado

CIVA
Vamos crear un nuevo scaneo en www.civa.com.pe

CIVA
Nos aparecerá que el scaneo se está ejecutando y se irán detectando los

puertos que están habilitados

CIVA

CIVA
Luego que se concluye el scaneo podremos ver el total de

vulnerabilidades y nessus nos la clasifica en niveles de alerta bajo, medio
y alto. También podemos ver esto especificado por cada puerto.

CIVA
Vemos las vulnerabilidades del puerto 80 que es el que tiene 3 alertas

altas.

CIVA
Lo que nos describen estas vulnerabilidades es que la versión de PHP que

se usa tiene ciertas vulnerabilidades de seguridad conocidas.

CIVA
NIKTO

CIVA

CIVA
Conclusiones
• El objetivo principal de las herramientas Ethical Hacking es prevenir

a las empresas de los ataques que pueda sufrir debido a las
vulnerabilidades que presente su red informática.
• El Wireshark es utilizado para analizar el tráfico de Red interno y

permite encontrar el usuario y contraseña cuando no hay seguridad
respecto a esto en la página web
• Existen herramientas de ethical hacking en la web para identificar

los puertos e ip de las páginas Web como IPTools.
• El Nmap pudo ayudarnos a identificar desde los puertos y servicios

que corresponden a estos hasta para verificar la presencia de
posibles aplicaciones no autorizadas
• El Nessus nos permitió identificar que la página web de la Empresa

Civa presentaba algunas vulnerabilidades consideradas altas
respecto a su codificación en PHP

CIVA
• El Nikto no ayuda a identificar errores de configuración como la

siguiente ‘PHP reveals potentially sensitive information via certain
QUERY strings
Recomendaciones
Para que el que quiera entrenarse en el uso de las prácticas de Ethical

Hacking se recomienda analizar de preferencia páginas que tengan
servidores físicos, que tengan login para analizar la vulnerabilidad en el
acceso.
Para verificar la presencia de posibles aplicaciones no autorizadas se podría

ejecutar el Nmap en el servidor de la red a analizar.
Se recomienda tomar en cuenta las soluciones que describe el Nessus como

resultado de la identificación de las vulnerabilidades detectadas.
Estas herramientas sólo deberían ser lanzadas contra máquinas ajenas

cuando sus responsables nos hayan autorizado a ello

Civa PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Civa PDF

Cargado por

Copyright:

Formatos disponibles

CIVA

UNIVERSIDAD NACIONAL DE INGENIERÍA

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

SEGURIDAD INFORMATICA (ST 215 U)

Profesor: bringas Masgo,

• Pozo Chinguel, Jhonathan

• Quillay Nazario, Angel

• Rojas Mendoza, Jorge

• Tello Rivera, Erika

• Ynocente Castro, Mario

FECHA DE PRESENTACIÓN: miércoles 25 de abril

Seguridad Informática – 1ra Monografía Página 1

Aspectos generales de la empresa CIVA

Turismo Civa, empresa fundada en la cuidad de Piura, con mas de 40

Ser la empresa líder de transporte terrestre interprovincial del Perú

Somos una empresa innovadora que está comprometida en brindar un

Bus doble piso, cuenta con 32 asientos, 12 asientos cama 160° en el

Seguridad Informática – 1ra Monografía Página 2

Excluciva se encuentra monitoreada 24 horas por nuestra central de

Nuevos Marcolopolo G7, buses de doble piso, cuentan con 56 asientos,

Bus doble piso, contamos con buses de 56 y 60 asientos, en el primer

Seguridad Informática – 1ra Monografía Página 3

(tripulante), luz individual de lectura, aire acondicionado, baño químico

Seguridad Informática – 1ra Monografía Página 4

1.4.5.Compra y reserva de pasajes on-line

Terminos y Condiciones del servicio:

En Turismo Civa estamos comprometidos principalmente en la Seguridad

Seguridad Informática – 1ra Monografía Página 5

Somos la primera empresa del Peru en implementar el 100% de nuestra

En caso de un asalto, el piloto cuenta con un Botón de Pánico para advertir

1.5.2.VELOCIMETRO DIGITAL EN SALON

Todas nuestras unidades cuentan con un Velocímetro Digital en el salón

Seguridad Informática – 1ra Monografía Página 6

Riguroso proceso de Selección de Pilotos. Antes que un piloto ingrese a

Son Capacitados constantemente (de acuerdo a una programación

- Leyes y Normas de Tránsito – Seguridad Vial y Prevención de Accidentes.

- Calidad de Conducción: Cajas de Cambios (Confort Shift, etc), Motores

- Motivación y Salud personal (servicio de psicología, campeonatos de

Las mejores marcas del mundo y 100% originales: Volvo, Scania y

Vida promedio de nuestros buses: 5 años.

Mantenimientos Preventivos Sistematizados.

Seguridad Informática – 1ra Monografía Página 7

Utilizamos Repuestos y Materiales Originales y de Calidad, de prestigiosas

Sistemas de Freno separados:

Retardador Hidráulico - Voith (componente de frenado electro-hidráulico

Freno Motor (estrangulador de gases de escape en el motor)

Freno Servicio (de disco ó tambor, dependiendo del modelo. Algunos

Freno Emergencia (bloquea el eje motriz)

Revisión y Mantenimiento constante en sistemas de Iluminación para que

Suspensión Neumática con Bolsas de Aire: mejoran la tracción y

Trabajamos únicamente con prestigiosas comercializadoras que ofrecen

Etapas del Ethical Hacking

El reconocimiento se refiere a la fase preparatoria donde el atacante

Seguridad Informática – 1ra Monografía Página 8

escaneo de la red que el Hacker quiere atacar no importa si el ataque va a

Esta fase puede incluir la Ingeniería Social, buscar en la basura

buscar que tipo de sistema operativo y aplicaciones usa el objetivo o

cuales son los host (terminales, computadoras) más accesibles, buscar en

datos del Internet (Whois) información como direcciones de Internet (IP),

dominios, información de contacto, servidores de email y toda la

pueda extraer de los DNS (DomainName Server).

información que ha obtenido para lanzar el ataque con mayor precisión.

2.1.1.Herramientas para el Reconocimiento