Tese de mestrado em Engenharia Informática (Arquitetura, Sistemas e Redes de Computadores), apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2013A análise forense de computadores lida com a recolha de provas digitais de vários tipos de dispositivos eletrónicos. Esta ciência está diretamente ligada à captura, análise e reconstrução¸ ao de atividades do sistema a fim de averiguar, a posteriori, o método do atacante ou uma possível avaria. Os logs são uma parte importante de qualquer sistema computacional seguro, uma vez que registam a sua atividade. Com esse registo temos uma boa visão de todo sistema. Quando a última barreira de segurança é ultrapassada e ocorre um ataque ou há uma falha de um componente, os registos são um dos poucos recursos para entender o que se sucedeu. Por outro lado, os logs encontram-se entre os alvos preferidos de alguém que quer penetrar num sistema, por dois motivos: em primeiro lugar, os logs têm pistas importantes sobre o sistema em causa e a sua segurança. Por outro lado, ao adulterá-los, é possível impedir que um administrador veja a sua atividade no sistema [33]. O objetivo deste trabalho é criar um sistema de logs centralizado para sistemas distribuídos, utilizando um modelo de faltas híbrido. Visto do exterior, o sistema é composto apenas por uma máquina, contudo no seu interior está uma estrutura complexa, replicada e tolerante a faltas. Este sistema garante segurança para os logs em trânsito e em repouso. Por forma a que o sistema permaneça correto a longo termo, são utilizadas técnicas como a recuperação pró-ativa e reativa e para não se perderem os logs já armazenados, utiliza-se um disco Write Once Read Many (WORM). Para que a informação dos logs permaneça secreta, o sistema perde o controlo sobre o conteúdo dos logs, isto é, quando um log dá entrada no sistema é cifrado com recurso a um esquema de chave pública e só o detentor da chave privada poderá aceder ao seu conteúdo. Normalmente, o detentor dessa chave privada é o administrador ou uma entidade de auditoria.Forensic analysis of computers deals with the collection of digital evidence of several types of electronic devices. This science is directly linked to the capture, analysis, and reconstruction of system activities which investigate, a posteriori, the hacker’s method or a possible system failure. Logs are an important part of any secure computer system because they record the activity performed by and in the system, allowing one to obtain a good view of the whole system and its individual parts. For instance, when the last barrier of the system has been broken and an attack has happened or if there has been a failure in one component of a large-scale system, logs are one of the few resources through which one can know what occurred. Logs are also one of the most wanted targets for someone who wants to penetrate in a system for two reasons: first, logs have important clues about the system and their safety; second, to prevent an administrator to see their activity on the system [33]. The objective of this work is to create a centralized logging system for distributed systems using a hybrid fault model. From an outsider’s point of view, the system is just a machine, however in its inside there is a complex, replicated and fault tolerant structure. This structure provides a robust log system which secures the logs in transit and at rest. To ensure that the system keeps its long-term correctness it may be used proactive and reactive recovery. To avoid losing logs it will be used a Write Once Read Many (WORM) disk. In order to guarantee that the logs’ information remains secret, the system loses control over the content of the logs, i.e., when a log enters the system it is encrypted using a public key and only the private key owner can access its content. Usually, the owner of this private key is the administrator or an audit entity
