Traducido del inglés al español - www.onlinedoctranslator.

com

Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

Creación de un laboratorio de virus informático seguro

John Aycock y Ken Barker

Departamento de Ciencias de la
Computación Universidad de Calgary

Sobre los autores

John Aycock es profesor asistente en la Universidad de Calgary en el Departamento de Ciencias de la

Computación. Recibió un B.Sc. de la Universidad de Calgary en 1993, y un M.Sc. y doctorado de la Universidad
de Victoria en 1998 y 2001, respectivamente. Sus intereses de investigación incluyen compiladores e
implementación de lenguajes de programación, herramientas de compilación, software de sistema, sistemas
operativos y todo lo relacionado con el bajo nivel. Concibió e impartió el infame curso "Virus informáticos y
software malicioso" de la Universidad.

Ken Barker es profesor de la Universidad de Calgary y director del Departamento de Ciencias de la

Computación. Tiene un B.Sc. y M.Sc. de la Universidad de Calgary y un Ph.D. (1990) de la Universidad de
Alberta. Su principal área de investigación son los sistemas de bases de datos, pero ha publicado en otras
áreas, como seguridad, bioinformática, sistemas distribuidos y redes. También es el Director del
Laboratorio de Aplicaciones y Sistemas Avanzados de Bases de Datos en Calgary, que consta de unos 30
investigadores activos.

Dirección postal: Departamento de Ciencias de la Computación, Universidad de Calgary, 2500 University

Drive NW, Calgary, Alberta, Canadá T2N 1N4; Teléfono: +1 403 210 9409; Correo electrónico:
aycock@cpsc.ucalgary.ca.

Referenciaa, oCitaciónde este documento debe hacerse de la siguiente manera:

Aycock, J. y Barker, K. (2004). Creación de un Laboratorio de Virus Informáticos Seguro (Estudio de
Caso). En UE Gattiker (Ed.),CD-rom de la conferencia EICAR 2004: Mejores actas en papel (ISBN:
87-987271-6-8) 13 páginas. Copenhague: EICAR eV

CASO DE ESTUDIO

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
1
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

Creación de un laboratorio de virus informático seguro

Resumen

Un entorno seguro en el que trabajar con virus informáticos y otro malware no se crea únicamente con medios
técnicos; sin embargo, las especificaciones de laboratorio de virus publicadas rara vez se aventuran en lo no
técnico. Nuestro laboratorio seguro de virus informáticos tiene cinco categorías de salvaguardas: legales,
éticas, sociales, conductuales y técnicas. Estas medidas de seguridad han estado sujetas a una revisión de
seguridad externa e independiente, y las partes han sido revisadas por investigadores antivirus. También se
discute la puesta en marcha, operación y desmantelamiento del laboratorio de virus. Nuestro objetivo es
establecer un estándar de seguridad informática para laboratorios seguros análogo al de los laboratorios de
riesgo biológico.

Descriptores

virus informáticos, seguridad informática, análisis de malware, investigación antivirus, laboratorios de virus,
laboratorios seguros, educación en seguridad informática

Introducción

No es una novedad para nadie en la comunidad antivirus que la Universidad de Calgary ofrezca un curso sobre
virus informáticos y malware. Este curso fue controvertido debido al método de enseñanza que utilizamos, en
el que los estudiantes, entre otras cosas, aprenderían sobre los virus creando uno ellos mismos. Sin embargo,
el tema de los métodos de enseñanza está fuera del alcance de este artículo.

Incluso nuestros críticos más acérrimos estarían de acuerdo en que es necesario un entorno seguro para trabajar de
forma segura con virus y otras formas de malware. Pero, ¿cómo se establece un entorno seguro? El trabajo publicado
actual en esta área detalla los aspectos técnicos de la instalación y configuración del laboratorio, pero esta es solo
una pieza del rompecabezas. Cualquier salvaguarda técnica puede ser eludida por personas, ya sean atacantes
externos o internos. Considere, por ejemplo, una persona que se supone que debe trabajar con virus informáticos en
un laboratorio seguro, pero en cambio trabaja fuera de ese entorno seguro. Ninguna cantidad de magia técnica en el
laboratorio puede evitar esto.

Existe toda una clase de ataques de ingeniería social que explotan las debilidades de la naturaleza humana (Granger,
2001, 2002; Mitnick & Simon, 2002), prueba adicional de las limitaciones de las salvaguardas técnicas. Nos vemos
obligados a concluir que cualquier solución de seguridad informática que no aborde el elemento humano está
condenada al fracaso. Similarmente:

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
2
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

Cualquier laboratorio informático "seguro" que no aborde el elemento

humano no puede considerarse seguro.

Esta es la característica clave que distingue a nuestro laboratorio de virus informáticos. No logramos la seguridad a través de
un enfoque limitado en cuestiones técnicas, sino mediante el empleo de una gama mucho más amplia de medidas de
seguridad, que agrupamos en cinco categorías:

1. legales

2. Ética
3. sociales

4. Comportamiento

5. Técnico

Estas salvaguardas han estado sujetas a una revisión de seguridad externa e independiente y a una evaluación de
riesgos. En el resto de este documento, analizamos nuestras medidas de seguridad en detalle, seguidas de nuestros
procedimientos para la puesta en marcha, operación y desmantelamiento de laboratorios. Una discusión de las
mejoras futuras deseadas, el trabajo relacionado y nuestras conclusiones completan el documento. Como nuestro
trabajo ha sido en un entorno universitario, asumimos en todo momento que los usuarios del laboratorio de virus
son estudiantes de posgrado y último año de pregrado.

Descargo de responsabilidad

La información de este documento detalla nuestra experiencia y los procedimientos que seguimos para crear un
laboratorio de virus adecuado para la enseñanza de posgrado y pregrado. Obviamente, no podemos ofrecer ninguna
garantía de seguridad, incluso si nuestros métodos se reproducen, ya que cada entorno es diferente y nuestros
métodos deberían adaptarse adecuadamente.

Garantías Legales

Nuestras garantías legales son dos:

1. Enseñar a los estudiantes las repercusiones legales de la creación y liberación de malware, y

2. Imponer obligaciones legales contractuales a los estudiantes.

Antes de que los estudiantes tuvieran acceso al laboratorio de virus, dedicamos aproximadamente el primer 10 % del
curso a temas legales relacionados con el malware. Esto incluyó discusiones sobre partes relevantes de la ley
canadiense y estadounidense, la Convención del Consejo de Europa sobre Ciberdelincuencia (Consejo de Europa,
2001) y la aplicación de las leyes a través de las fronteras internacionales. Además, se invitó a un abogado en ejercicio
a dar una conferencia como invitado para brindar información legal práctica y fidedigna.

Las obligaciones contractuales se establecían mediante un acuerdo legal redactado por los abogados de la
Universidad. Los estudiantes debían firmar este acuerdo para tomar el curso de virus y tener acceso

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
3
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

al laboratorio de virus. Cabe señalar que los estudiantes fueron informados de este requisito antes del
comienzo del curso, se les dio tiempo suficiente para revisar el acuerdo (con su propio asesor legal si lo
deseaban) y tuvieron la oportunidad de transferirse a cualquier otro curso de Ciencias de la Computación
sin prejuicio si deciden no firmar.

El acuerdo legal incluye, entre otras cosas, la adhesión al protocolo de laboratorio que establecimos (descrito a
continuación) y el uso y manejo adecuados del material del curso. Con respecto al laboratorio de virus, el
“material del curso” no solo cubre el código y la información colocada en el laboratorio por el instructor, sino
también el código que desarrollan los estudiantes y las impresiones que hacen en el laboratorio. Es más,de
rigorpara una sociedad litigiosa, el acuerdo establece responsabilidad e indemnización.

Garantías éticas

Siguiendo temas legales, y también antes de que los estudiantes tuvieran acceso al laboratorio de virus,
dedicamos aproximadamente otro 10% del curso a la ética. En comparación con otras disciplinas,
muchos programas de informática no dedican mucho tiempo a la ética. Por lo tanto, revisamos una gran
cantidad de material fundamental: teorías éticas generales, desarrollo moral y procesos de toma de
decisiones éticas. Luego se consideraron áreas más especializadas, como los códigos de ética para
profesionales de la informática y los códigos de conducta AVIEN y EICAR (AVIEN, 2001; EICAR, 2003). Al
igual que hicimos con los temas legales, se trajo un experto invitado que habló sobre ética profesional.

En un entorno universitario, hablar de ética en relación con el malware es un acto de equilibrio. Nuestro trabajo en una
universidad es seguir siendo objetivos, por lo que los estudiantes no pueden ser adoctrinados con valores específicos; sin
embargo, podemos inculcar en los estudiantes las expectativas que la sociedad tiene de los profesionales de la informática,
en particular los que manejan cosas peligrosas como el malware.

Probamos la ética, en la medida de lo posible, trabajando con ejemplos en conferencias y con una tarea
de ética por escrito.

Salvaguardias Sociales

Socialmente, explotamos la presión de los compañeros para agregar un conjunto adicional de salvaguardas. Los estudiantes
trabajan en tareas de programación en el laboratorio en grupos de dos, y las máquinas del laboratorio están configuradas
de tal manera que no se puede usar una máquina a menos quetodoslos miembros del grupo en un grupo en particular han
iniciado sesión. Hacemos hincapié a los estudiantes, y arraigamos en el protocolo del laboratorio, que son corresponsables
de las acciones realizadas en el laboratorio con estas cuentas.

Este arreglo crea presión social para cumplir con las pautas de seguridad, pero tiene otros dos efectos secundarios.
Primero, agrega un nivel adicional de seguridad en el laboratorio, porque cualquier acción ilegal o poco ética
requeriría la connivencia entre los usuarios. En segundo lugar, protege contra la elusión involuntaria de las
salvaguardas, al establecer un entorno propicio para la programación en pares, una técnica cuya
CD-rom de la conferencia EICAR Editor: Urs E. Gattiker
2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
4
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

los defensores argumentan que aumenta la calidad del software (Beck, 2000). Este último punto ha sido observado de
manera más general por los científicos sociales, quienes notaron mejoras en la calidad del producto en pequeños grupos
cara a cara en comparación con los esfuerzos individuales (Deutsch, 1949; Hammond y Goldman, 1971).

Salvaguardas Técnicas y de Comportamiento

Las salvaguardas de comportamiento regulan la conducta dentro del laboratorio. Esto se establece en un protocolo
de laboratorio formal, que está estrechamente relacionado con las garantías técnicas. Las salvaguardias técnicas, a
su vez, se basan en la especificación del laboratorio y la configuración física. La especificación y el protocolo de
laboratorio descritos en esta sección fueron revisados por nuestro personal técnico e investigadores antivirus,
además de una revisión externa independiente y separada.

Protocolo de laboratorio

Nuestro protocolo de laboratorio para regular el comportamiento en el laboratorio se basó inicialmente

en protocolos de riesgo biológico (Health Canada, 2001); biólogos y químicos tienen décadas de
experiencia trabajando con sustancias peligrosas, y es prudente aprovechar su experiencia. Obviamente,
la analogía se rompe después de cierto punto, pero había una serie de cosas que aprender sobre el
acceso al laboratorio, la operación y la capacitación del personal.

Dado que los contagios de preocupación en el laboratorio de virus informáticos son electrónicos, tuvimos que agregar una
serie de disposiciones con respecto al manejo de medios y cualquier medio de transmisión electrónica, tanto por cable como
inalámbrico. Nuestro pensamiento inicial fue dejar que los estudiantes llevaran mediosdentroel laboratorio, siempre que no
se volviera a publicar, para permitir que se trajera el material investigado en Internet, pero después de los comentarios
negativos de los revisores, descartamos esta idea. Las impresiones también fueron polémicas, de dos maneras: primero,
porque permitíamos que se hicieran; segundo, cómo iban a ser manejados por los estudiantes. Eventualmente, aclaramos el
protocolo para especificar cómo se deben manejar las impresiones, pero aun así permitimos que se hicieran; como mínimo,
las impresiones pueden ser útiles para fines de depuración.

El protocolo de laboratorio final se proporciona en el Apéndice. La disposición que trata de la entrada al laboratorio, donde las
personas tienen que entrar individualmente, se toma de nuestras observaciones de la seguridad del aeropuerto. Deshabilitar el
'tailgating' nos brinda un registro de entrada de clave de tarjeta electrónica para cada persona, en caso de que sea necesaria una
auditoría posterior.

El protocolo de laboratorio incluye la mención del personal técnico y del instructor del curso, y esto es
deliberado. Mientras el laboratorio estuvo activo, incluso estas personas estaban sujetas al protocolo del
laboratorio. Las salvaguardas de comportamiento establecidas por el protocolo de laboratorio no tienen
sentido a menos quetodo el mundose adhiere a ellos. De hecho, el primer autor (como instructor del curso) se
quitó religiosamente el teléfono celular al entrar al laboratorio y los estudiantes vieron que lo hacía. Este tipo
de acciones es vital para subrayar la seriedad del protocolo.

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
5
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

Especificaciones y configuración física

Nuestro laboratorio de virus está ubicado físicamente dentro de dos áreas de acceso con llave de tarjeta. Todos los
estudiantes y el personal de informática tienen acceso al área exterior, pero la cerradura con llave de tarjeta para el
laboratorio de virus solo es accesible para usuarios autorizados. El laboratorio es una habitación con paredes de ladrillo y
una entrada, cuya puerta está equipada con un cierrapuertas y una alarma que suena si la puerta está abierta demasiado
tiempo; esta alarma notifica a Seguridad del Campus. En caso de un corte de energía, el bloqueo de la llave de la tarjeta en el
laboratorio pasa por defecto al estado bloqueado (siempre es posible salir del laboratorio por razones de seguridad). Todos
los puertos de red de la sala están deshabilitados y físicamente desconectados.

Dos cámaras están montadas en el techo de la habitación. Se activan por movimiento y envían sus imágenes a
una computadora ubicada fuera del laboratorio; estas dos líneas de video son los únicos cables que salen de la
habitación. Usamos ZoneMinder para administrar las imágenes de la cámara, cuyos campos de visión se
muestran en la Figura 1. El objetivo era tener una cámara mirando la puerta y la otra el gabinete cerrado
donde estaba instalado el servidor del laboratorio y el equipo de red. Los puntos ciegos en los campos de
visión no fueron críticos, porque las imágenes capturadas proporcionaron un registro de quién estaba en el
laboratorio y cuándo, información suficiente para una investigación si surgiera la necesidad.

ordenadores

cámara servidor

gabinete

impresora

archivador

estantería

cámara

medios de comunicación puerta

línea

Figura 1. Plano de planta de nuestro laboratorio de virus. Las líneas discontinuas indican el campo de visión de las cámaras.

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
6
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

El servidor que usamos fue un Sun Blade 100 (que tiene una arquitectura SPARC) con discos RAID que ejecutan Solaris. Tenía
una configuración de sistema operativo simplificada, básicamente solo ejecutaba Samba y sincronizarservidores. El servidor
estaba conectado a las otras máquinas de laboratorio a través de un conmutador de red, cuyos puertos estaban bloqueados
a las direcciones MAC de las máquinas de laboratorio.

Las máquinas de laboratorio que usaron los estudiantes estaban basadas en x86 (específicamente, P4 Xeons de 1,4
GHz) con al menos 256 M de RAM y al menos un disco duro de 10 G. Todos ejecutaron Red Hat Linux 9, con VMware
Workstation en cada uno, y FreeBSD 4.9 se ejecutó dentro de VMware. El entorno Linux se configuró para que solo se
pudiera ejecutar VMware al iniciar sesión.

La E/S de la máquina de laboratorio se limitaba a un teclado y un mouse PS/2, un monitor de video, una red y una unidad de
CD-ROM de solo lectura. Todo lo demás se desconectó físicamente si fue posible, pero las máquinas modernas tienen varios
puertos de E/S montados directamente en la placa base, que deshabilitamos en el BIOS de las máquinas. También se
bloquearon otras configuraciones del BIOS, incluida la habilitación de la contraseña de configuración del BIOS y la detección
de intrusión en el chasis. Físicamente, se desalentó la intrusión en el chasis cerrando con candado las máquinas de
laboratorio a sus mesas asociadas.

Para demarcar claramente dónde podían y no podían estar los dispositivos y medios electrónicos externos, colocamos una
"línea de medios" en el laboratorio junto a la puerta, literalmente una línea marcada en el piso con cinta de colores brillantes.
Un área dentro del laboratorio, pero sin cruzar la línea de los medios, se equipó con un librero para brindar a los usuarios
del laboratorio un lugar seguro para dejar los artículos restringidos.

Las impresiones se realizaron utilizando una impresora PostScript en red. La eliminación segura de las impresiones consistía en un
archivador cerrado con una ranura cortada en la parte superior para insertar el papel.

Garantías Técnicas

Desde el punto de vista técnico, no solo teníamos que garantizar la seguridad física del laboratorio y sus máquinas, sino
también la seguridad electrónica. Claramente, la restricción de E/S, la configuración del BIOS y el entorno de inicio de sesión
contribuyen en gran medida a la seguridad electrónica. En un nivel más alto, queríamos una barrera virtual para el escape de
malware, un objetivo alcanzado mediante el uso de la máquina virtual x86 que proporciona VMware.

También queríamos evitar un monocultivo de software o hardware, para reducir el riesgo de propagación de
malware en el improbable caso de que algún código malicioso escapara de su prisión de VMware. El grado de
heterogeneidad en los sistemas operativos de las máquinas de laboratorio y en las arquitecturas entre las
máquinas de laboratorio y el servidor es intencional.

Puesta en marcha, operación y desmantelamiento

Las salvaguardias y las especificaciones no son las únicas preocupaciones involucradas en la creación de un laboratorio de
virus. Puesta en marchael laboratorio incluye los pasos tomados para verificar la seguridad y el enlace con

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
7
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

organizaciones antes de que el laboratorio entre en funcionamiento;operaciónes el conjunto de procedimientos normales de

mantenimiento; desmantelamientodescribe cómo se cierra y descontamina el laboratorio.

Puesta en marcha

Después de que el personal técnico había configurado el hardware y el software del laboratorio, se verificó el
cumplimiento de la especificación original y las formas de mal uso de las computadoras, especialmente los usos
indebidos que podrían resultar en el incumplimiento de las medidas de seguridad. Se cita a Kernighan diciendo:
"Cada nuevo usuario de un nuevo sistema descubre una nueva clase de errores" (Bentley, 1988, p. 60). Teniendo esto
en cuenta, el primer autor1– no el personal técnico que instaló las máquinas – realizó la verificación. Se examinó el
funcionamiento de la computadora desde el arranque inicial hasta la ejecución de VMware y el cierre de sesión, se
verificaron todas las configuraciones del BIOS en todas las máquinas y se eligieron dos máquinas al azar y se
desarmaron físicamente para inspeccionar las conexiones internas. Los pocos problemas menores observados
fueron corregidos por el personal técnico y revisados antes de que el laboratorio entrara en funcionamiento.

Campus Infrastructure también emitió una orden de "no limpiar" para el laboratorio, para evitar que cualquier
personal de cuidado ansioso intente ingresar al laboratorio, y nos reunimos con Campus Security para aclarar su
papel en caso de que fueran llamados al laboratorio. Esencialmente, se utilizaría personal de seguridad para
asegurar el sitio del laboratorio, dejando todo en un estado adecuado para la informática forense (NHTCU, 2003).

Finalmente, se habilitó el acceso de los estudiantes a la cerradura con tarjeta del laboratorio y se notificó a todas las personas
apropiadas que el protocolo del laboratorio estaba en pleno efecto.

Operación

La operación de laboratorio no fue complicada. Nos deteníamos varias veces a la semana para inspeccionar las
instalaciones, y periódicamente vaciábamos el archivador de copias impresas y las destruíamos. El puñado de
problemas menores de mantenimiento que surgieron (ninguno de los cuales estaba relacionado con la seguridad)
fueron manejados por el personal técnico.

Desmantelamiento

La sala que ocupa nuestro laboratorio de virus se utilizará para un curso diferente este próximo semestre, por lo que
también pudimos experimentar el proceso completo de desmantelamiento. El acceso a la tarjeta de acceso de los
estudiantes se eliminó inmediatamente después de la fecha de vencimiento de su asignación de programación final,
y todos los materiales en papel se retiraron del salón.

El personal técnico desinfectó los discos duros de las máquinas de laboratorio según las especificaciones RCMP TSSIT
(1997, Apéndice OPS-II). El software utilizado para la limpieza no se ejecuta en la arquitectura SPARC.

Este autor tiene experiencia en administración de sistemas.

1

CD-rom de la conferencia EICAR 2004 ISBN: 87-987271-6-8 Editor: Urs E. Gattiker

Copyright © 2004 por EICAR eV
8
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

usos del servidor de laboratorio, pero las unidades del servidor se conectaron a una de las máquinas del laboratorio y se
desinfectaron allí. Como precaución adicional, también se borró la NVRAM de la impresora PostScript.

Las imágenes de la cámara tomadas durante el funcionamiento del laboratorio se grabaron en DVD y se conservan, junto
con los acuerdos legales firmados por los estudiantes, durante un período razonable en la caja fuerte del departamento. Al
igual que con la puesta en marcha, el paso final fue notificar a las personas adecuadas que el laboratorio ya no estaba en
uso y que se había levantado el protocolo del laboratorio.

Mejoras futuras

Un área que nos preocupa es que nuestro plan de contingencia para el escape de malware del laboratorio se limita
únicamente a la informática forense. Por supuesto, intentaríamos notificar a las empresas antivirus sobre cualquier
incumplimiento, pero en este momento no podemos estar seguros de que podamos contactar a las personas
adecuadas de manera oportuna. Es necesario establecer canales de comunicación de emergencia desde laboratorios
como el nuestro hacia la industria. Desde el punto de vista de la seguridad, también sería útil probar y medir la
eficacia de las salvaguardas no técnicas.

La prevención activa del uso de equipos electrónicos inalámbricos en el laboratorio podría ser una
adición útil. Actualmente, abordamos el problema al no permitir equipos inalámbricos en el protocolo de
laboratorio, asegurar las máquinas físicamente y deshabilitar puertos no críticos en las máquinas.
Bloquear las señales inalámbricas sería un método más directo, pero sería necesario examinar la
protección que proporciona.

Anticipamos hacer algunos ajustes en el entorno del laboratorio en función de nuestra experiencia y los
comentarios de los estudiantes. En particular, queremos permitir que VMware arranque desde un conjunto de
imágenes del sistema, de modo que se puedan usar varios sistemas operativos para el trabajo de laboratorio y
permitir que los estudiantes personalicen su entorno de trabajo de manera persistente. También hemos tenido
algunos problemas técnicos con Samba y FreeBSD, y buscaremos alternativas para ellos en futuras instancias
del laboratorio de virus.

Trabajo relacionado

Se han descrito otras configuraciones de laboratorio en la literatura y se dividen en dos grupos: las diseñadas
específicamente para el manejo de malware y las destinadas a una instrucción de seguridad informática más general.
Curiosamente, ninguno de los grupos parece hacer referencia al trabajo de los demás.

Las configuraciones específicas de malware abarcan un amplio rango. En un extremo está Ludwig, quien
simplemente advierte que se tenga cuidado (1998, p. 20), lo que no es una solución muy satisfactoria. Cohen
describe brevemente las especificaciones técnicas y el funcionamiento de su “Red de Investigación de Virus”,
utilizada para experimentar con virus en las redes (1994, pp. 218-221). Más recientemente, Schšldstršm (2002)
describió un laboratorio portátil, destinado a demostraciones educativas de virus; Skoudis y Zeltser (2004) dan
varias configuraciones para un "Laboratorio de Análisis de Malware", uno de
CD-rom de la conferencia EICAR Editor: Urs E. Gattiker
2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
9
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

que también es portátil. Ninguna de estas configuraciones de laboratorio específicas de malware tiene en cuenta problemas
no técnicos.

El trabajo en los laboratorios generales de seguridad informática se puede dividir aún más. Un cuerpo de
trabajo utiliza redes físicamente aisladas para experimentos (Bishop y Heberlein, 1996; Hill, Carver,
Humphries y Pooch, 2001; Mateti, 2003), mientras que el otro se basa en mecanismos no físicos para
evitar que el tráfico del laboratorio se filtre y planteando una amenaza (Padman, Memon, Frankl y
Naumovich, 2003). Clasificamos a Mayo y Kearns (1999) en este último grupo, aunque se centran más en
el desarrollo de sistemas que en la seguridad.

Mirando aspectos no técnicos, Bishop y Heberlein (1996) mencionan de pasada mecanismos de seguridad
“procesales”, que equipararíamos a nuestro protocolo de laboratorio. Mateti (2003) señala que
aproximadamente el 20 % de su curso de seguridad está dedicado a cuestiones éticas y legales, pero esta
capacitación es una meta de su curso más que una parte integral de la seguridad de su laboratorio. En
términos más generales, ha habido muchos llamados a la formación en ética informática (Currie Little et al.,
1999; Martin & Holz, 1992; Martin & Weltz, 1999), incluso desde la infancia (Gordon, 1995).

Conclusión

Solo teniendo en cuenta los aspectos humanos no técnicos junto con los aspectos técnicos podemos llegar a un
laboratorio de virus verdaderamente seguro. Simplemente, hay demasiadas formas en que los humanos pueden
vencer las salvaguardas solo técnicas para ser ignoradas. Hemos abordado este problema empleando cinco
categorías de salvaguardas en nuestro laboratorio de virus: legal, ético, social, conductual y técnico. Esperamos que
otras instituciones que construyan laboratorios similares encuentren útil nuestra experiencia.

Expresiones de gratitud

Muchas personas ayudaron a armar y mantener el laboratorio. Queremos agradecer a nuestro personal
técnico, especialmente a Tim Bliek, Darcy Grant, Shaun Laing, Brian Scowcroft, Jennifer Walker y Erik
Williamson. Varias personas revisaron nuestras especificaciones de laboratorio y protocolo de laboratorio para
ayudar a garantizar la seguridad; Randy Abrams, Brad Arlt, Fred Cohen, Sarah Gordon y Darcy Grant brindaron
valiosos comentarios. Gracias también a Gerry Bliss y Sid Tolchinsky de SPIE por su revisión independiente y
evaluación de riesgos. Stephen Jenuth y Ken Chapman dieron conferencias a los invitados sobre derecho y
ética, respectivamente. Shannon Jaeger corrigió un borrador de este documento. Nuestras disculpas a
cualquiera cuya contribución hayamos omitido aquí sin darnos cuenta.

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
10
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

Referencias

AVIEN. (2001). Código de conducta de la red de intercambio de información antivirus. Disponible:

http://www.avi-ews.org/codeconduct.html.

Beck, K. (2000).Programación extrema explicada . Boston, MA: Addison-Wesley.

Bentley, J. (1988).Más perlas de programación . Reading, MA: Addison-Wesley.

Bishop, M. y Heberlein, LT (1996). Una red aislada para la investigación. EnActas de la

19.ª conferencia nacional de seguridad de sistemas de información NIST-NCSC (págs. 349-360).

Cohen, FB (1994).Un breve curso sobre virus informáticos. (2ª ed.). Nueva York: Wiley.

Consejo Europeo. (2001). Convenio sobre ciberdelincuencia (ETS No. 185). Disponible:
http://convenciones.coe.int.

Currie Little, J., Granger, MJ, Boyle, R., Gerhardt-Powals, J., Impagliazzo, J., Janik, C.,
Kubilus, NJ, Lippert, SK, McCracken, WM, Paliwoda, G. y Soja, P. (1999). Integrar el
profesionalismo y los problemas del lugar de trabajo en el plan de estudios de informática y
tecnología de la información.Informes del grupo de trabajo ITiCSE '99 ,31 (4): 106-120.

Deutsch, M. (1949). Un estudio experimental de los efectos de la cooperación y la competencia sobre

proceso de grupo.Relaciones humanas,2(3): 199-231.

EICAR. (2003). Código de conducta EICAR. Disponible: http://www.eicar.org/code_of_conduct.htm.

gordon, S. (1995). Ético Informática. Disponible:

http://www.commandsoftware.com/virus/ethics.html.

Granger, S. (2001). Fundamentos de Ingeniería Social, Parte I: Tácticas de Hacker.Enfoque de seguridad .

Disponible: http://www.securityfocus.com/infocus/1527.

Granger, S. (2002). Fundamentos de Ingeniería Social, Parte II: Estrategias de Combate.Seguridad

Enfoque . Disponible: http://www.securityfocus.com/infocus/1533.

Hammond, LK y Goldman, M. (1971). Competencia y no competencia y su relación

a la productividad individual y grupal. En BL Hinton y HJ Reitz (Eds.),Grupos y organizaciones:
lecturas integradas en el análisis del comportamiento social(págs. 339-348). Belmont, CA:
Wadsworth.

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
11
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

Salud Canadá. (2001).Las pautas de bioseguridad en el laboratorio (3ª ed., borrador). M. Best y M. Heisz,
eds. Disponible: http://www.hc-sc.gc.ca/pphb-dgspsp/ols-bsl/lbg-ldmbl/index.html.

Hill, JMD, Carver Jr., CA, Humphries, JW y Pooch, UW (2001). Usando un aislado
laboratorio de redes para enseñar redes avanzadas y seguridad. EnActas del 32º Simposio técnico
SIGCSE sobre enseñanza de las ciencias de la computación (págs. 36-40).

Luis, M. (1998).El libro negro gigante de los virus informáticos . Mostrar bajo, AZ: estadounidense
Publicaciones Águila.

Martín, CD y Holz, HJ (1992). Integrar el impacto social y las cuestiones éticas en todo el
currículo de informática. En Educación y Sociedad: Tratamiento de la Información 92 (Vol. II, pp.
137-143).

Martín, CD y Weltz, EY (1999). De la conciencia a la acción: integrando la ética y lo social

responsabilidad en el currículo de ciencias de la computación.ACM SIGCAS Informática y Sociedad ,
29 (2): 6-14.

Mateti, P. (2003). Un curso de laboratorio sobre seguridad en Internet. EnActas del 34

Simposio técnico SIGCSE sobre enseñanza de las ciencias de la computación (págs. 252-256).

Mayo, J. y Kearns, P. (1999). Un laboratorio de sistemas avanzados seguro y sin restricciones. En

Actas del 30º Simposio técnico SIGCSE sobre enseñanza de las ciencias de la computación (págs.
165-169).

Mitnick, KD y Simon, WL (2002).El arte del engaño: controlar el elemento humano de

seguridad . Indianápolis, IN: Wiley.

NHTCU: Unidad Nacional de Delitos de Alta Tecnología. (2003). Guía de buenas prácticas para computadora
evidencia electrónica (2ª ed.).

Padman, V., Memon, N., Frankl, P. y Naumovich, G. (2003). Diseño e implementación de un

laboratorio de seguridad de la información.Revista de guerra de información ,2 (3).

Real Policía Montada de Canadá. (1997). Norma técnica de seguridad de la información

tecnología (TSSIT).

Schšldstršm, K. (2002). Cómo utilizar virus vivos como herramienta educativa. EnActas de la
duodécima conferencia internacional Virus Bulletin (págs. 251-261).

Skoudis, E. y Zeltser, L. (2004).Malware: lucha contra el código malicioso . Upper Saddle River, Nueva Jersey:
Prentice Hall.

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
12
Autores: Aycock, J. y Barker, K. CD-rom de la conferencia EICAR 2004: Mejores actas en papel

Apéndice

CPSC 599.48/601.92: Virus informáticos y malware

Protocolo de laboratorio (otoño de 2003)

Trabajar con software malicioso conlleva una gran responsabilidad, a diferencia de cualquier otra área de la
informática. El siguiente protocolo de laboratorioDEBERcumplirse estrictamente para garantizar la seguridad.

• Cualquier accidente o violación del protocolo de laboratorio debe informarse por escrito al instructor del curso y al
jefe de departamento lo antes posible.
• Las personas deben ingresar al laboratorio de forma individual, utilizando su propia tarjeta llave.

• El acceso al laboratorio está restringido únicamente a personas autorizadas: estudiantes en CPSC 599.48/601.92,
personal de soporte técnico de informática y el instructor del curso. Si hay personas no autorizadas en el
laboratorio, se debe notificar a Seguridad del Campus (220-5333).
• La puerta del laboratorio está equipada con un cierrapuertas. La puerta no puede mantenerse abierta de ninguna manera.

• No debe haber ninguna conexión electrónica entre el interior del laboratorio y el exterior del laboratorio. La red
cableada del laboratorio no se puede cambiar ni manipular.
• En el laboratorio, está prohibido utilizar cualquier equipo electrónico aparte del equipo de laboratorio
designado. Esto incluye, entre otros, dispositivos de red inalámbrica, IR, PDA, cámaras digitales,
computadoras portátiles y teléfonos celulares.
• Al ingresar al laboratorio, hay una "línea de medios". Ningún dispositivo electrónico puede cruzar esta línea, incluso
si está apagado. Ningún medio electrónico pasivo, como disquetes, CD-ROM y unidades USB, tampoco puede
cruzar esta línea.
• El código de asignación puedede ninguna maneraser trabajado fuera del laboratorio o almacenado
electrónicamente fuera de las máquinas del laboratorio.
• Hay una impresora en el laboratorio. Todas las impresiones relacionadas con tareas deben hacerse con esta
impresora. Las impresiones deben guardarse de forma segura, es decir, no deben salir del laboratorio. Si
descubre que una copia impresa ha salido accidentalmente, debe guardarla en un lugar seguro y devolverla al
laboratorio para su eliminación segura lo antes posible.
• Las impresiones no deseadas deben colocarse en la caja cerrada con llave en el laboratorio para su eliminación segura.

• En las máquinas de laboratorio, el código solo se puede trabajar en el entorno informático especificado.
• Todo software malicioso, o software de autopropagación, creado en el laboratorio debe contener uno o más mecanismos
de seguridad que impidan su funcionamiento si se utiliza fuera de las máquinas del laboratorio, o después de diciembre
de 2003.
• Las contraseñas de todos los miembros de un grupo deben ingresarse en una máquina de laboratorio para iniciar sesión; todos los
miembros del grupo son responsables del trabajo realizado o las acciones realizadas en esa sesión de inicio de sesión.
• Hay cámaras no monitoreadas en el laboratorio que graban imágenes periódicas; no pueden ser
manipulados de ninguna manera.
• El transporte de equipos electrónicos y medios electrónicos a través de la línea de medios sólo podrá ser realizado
por personal de soporte técnico informático autorizado y/o por el instructor del curso. Deben asegurarse de que
se observen los procedimientos adecuados de etiquetado y descontaminación.

CD-rom de la conferencia EICAR Editor: Urs E. Gattiker

2004 ISBN: 87-987271-6-8 Copyright © 2004 por EICAR eV
13