Términos y condiciones adicionales: Reconocimiento y exploración de sitios web de Gobierno

servicio-EM

Este documento corresponde a la versión 2024053101 de los Términos y condiciones que gobiernan la prestación del Servicio de reconocimiento y exploración de sitios web de Gobierno, provisto por el CSIRT del Gobierno de Chile.

Este documento es adicional a los Términos y condiciones del sitio web del CSIRT, que pueden ser revisados en https://csirt.gob.cl/terminos-y-condiciones/.

1. Definiciones

Adicionalmente a los términos definidos en los Términos y condiciones del sitio web del CSIRT, para los propósitos de estos Términos y condiciones los siguientes términos tendrán los significados indicados a continuación:

  1. Lista gestionada de sitios web de Gobierno, o Lista gestionada: Se refiere a una lista de URL pertenecientes a instituciones públicas.
  2. Lista de tests: Se refiere a un conjunto de tests automáticos ejecutados por CSIRT sobre la Lista gestionada, descritos en el punto 2.1. de estos Términos y Condiciones.
  3. Servicio de reconocimiento y exploración de sitios web de Gobierno, o simplemente Servicio: Se refiere al servicio prestado por CSIRT, descrito en este documento.
  4. Servidor: Se refiere al computador donde está almacenado y desde donde es ejecutado el sistema de escaneo automático.
  5. Sistema de escaneo automático, o simplemente Sistema: Se refiere al sistema que permite ejecutar la Lista de tests, almacenar sus resultados, y ejecutar una serie de acciones a partir de los hallazgos.
  6. Términos y condiciones: Se refiere a este documento.
  7. Test automático, o simplemente Test: Se refiere a una prueba realizada por un script sobre el código HTML obtenido desde una URL.

2. Descripción del Servicio

2.1. Descripción general

El Servicio consiste en el escaneo de todas y cada una de las URL contenidas en la Lista gestionada, a través de herramientas automáticas diseñadas y escritas por CSIRT, y en la aplicación sobre cada URL de los tests contenidos en la Lista de tests, indicados en el punto 2.2. de estos Términos y Condiciones.

El Servicio tiene dos objetivos:

  1. Encontrar vulnerabilidades, fallos de configuración o problemas comunes en las URL contenidas en la Lista gestionada a través de un sistema que impone una carga mínima a los servidores revisados.
  2. Avisar a los encargados de ciberseguridad para que puedan eliminar o mitigar las vulnerabilidades o fallos de configuración encontrados.

En cada escaneo se visita una URL a través de varios puertos comunes, como por ejemplo 22, 80, 443, y otros; se extraen datos específicos del HTML visitado, como lenguaje utilizado y su versión, y librerías utilizadas y sus versiones; y se ejecuta una Lista de tests en busca de vulnerabilidades comunes y conocidas.

Si como resultado de un Test específico sobre una URL se encuentra una vulnerabilidad o un fallo de configuración, se envía un mensaje al encargado de ciberseguridad de la institución para avisarle del hallazgo, junto con detalles que identifican la vulnerabilidad y el momento en que fue hallada.

2.2. Lista de tests aplicados y su periodicidad

La Lista de tests ha sido diseñada para que la carga que genera sobre un sistema sea similar al de una persona visitando la URL a través de un navegador. La aplicación de la Lista de tests completa sobre una URL depende de los aplicativos y servicios que el servidor exponga a Internet, pero usualmente genera entre 10 y 30 hits (visitas a la URL).

La siguiente es la Lista de tests aplicados:

  1. Detección sitios con versiones de PHP vulnerables.
  2. Detección sitios con versiones de servidor web vulnerables.
  3. Detección de sitios con versiones de Wordpress vulnerables.
  4. Detección sitios vulnerables a Clickjacking (X-Frame-Options).
  5. Detección sitios con versiones expuestas de ASP.NET.
  6. Detección sitios con login y falta de cifrados SSL/TLS.
  7. Detección sitios con cifrados SSL/TLS vulnerables y/o algoritmos obsoletos.
  8. Detección sitios con cifrados SSL/TLS expirados y por expirar.

De la lista anterior:

  1. Los tests 1 al 6, ambos inclusive, se ejecutan todos los días 1 de cada mes, a las 0:00.
  2. Los tests 7 y 8 se ejecutan los días 5 de cada mes, a las 0:00.

Todos los tests se ejecutan a través de un mecanismo de partida automático (crontab) que no requiere de intervención humana.

3. Condiciones de la aplicación de los tests

3.1. Condiciones generales

Los escaneos se realizarán siempre desde una dirección IP fija, dentro de la RCE. Esta dirección IP será publicada visiblemente en el sitio web de CSIRT. Si CSIRT cambia la dirección IP desde donde ejecuta el Servicio, avisará con al menos 14 días de anticipación a los encargados de ciberseguridad.

Los resultados de los Tests son confidenciales, y serán entregados sólo a el o la encargada de ciberseguridad de la institución, o a el o la jefa de servicio, luego de verificada su identidad.

El Servicio es brindado como un servicio de mejor esfuerzo, y no reemplaza las medidas de seguridad que una institución debe tomar para proteger sus activos de información.

Cada institución es responsable de corregir las vulnerabilidades o problemas encontrados y notificados a través del Servicio. CSIRT hará su mejor esfuerzo por entregar orientaciones que permitan al encargado de ciberseguridad, o a quien cumpla su rol, solucionar de forma independiente los problemas notificados.

3.2. Cambios a los tests

CSIRT podrá, a su entero arbitrio:

  1. Cambiar uno o más de los Tests incluidos en la Lista de tests,
  2. Agregar nuevos Tests, o
  3. Eliminar Tests existentes,

cuando sea necesario para corregir errores, para mejorar los Tests existentes, cuando los Tests existentes queden obsoletos, o cuando existan vulnerabilidades urgentes que sea posible diagnosticar de forma automática.

CSIRT realizará su mejor esfuerzo para avisar públicamente y con anticipación a todos los Encargados de ciberseguridad de cualquier cambio en los Tests, y la planificación de la ejecución del Servicio. Sin embargo, por razones de seguridad y de buen servicio, CSIRT no puede garantizar la oportunidad de estos avisos.

3.3. Derechos de los usuarios

El o la encargada de ciberseguridad puede solicitar en cualquier momento, y sin necesidad de una justificación:

  1. Conocer la lista actualizada de URL que pertenecen a la institución, y que están incluidas en la Lista gestionada;
  2. Agregar una URL nueva a la Lista gestionada;
  3. Eliminar una o más URL de la Lista gestionada.

Los solicitudes anteriores deben ser hechas al correo electrónico [email protected]. Las solicitudes serán contestadas en el orden en que lleguen, y serán contestadas en un máximo de 2 días hábiles.

4. Cambios de estos términos y condiciones

Estos Términos y condiciones pueden ser actualizados para reflejar cambios en los servicios provistos por el CSIRT, o para reflejar cambios en las leyes aplicables. Los cambios serán debidamente informados a través del Sitio Web, o a través de correos electrónicos enviados a los encargados de ciberseguridad.