UNIVERSIDADE FEDERAL DE SANTA CATARINA CENTRO TECNOLÓGICO
DEPARTAMENTO DE INFORMÁTICA E ESTATÍSTICA BACHARELADO EM CIÊNCIAS DA COMPUTAÇÃO
MODELAGEM E IMPLEMENTAÇÃO DE SISTEMA SEGURO DE ARMAZENAMENTO DE REGISTROS DE SISTEMA
Relatório de atividades desenvolvidas durante o semestre de 2004-1
ESTE RELATÓRIO TEM COMO OBJETIVO SERVIR DE
INSTRUMENTO DE AVALIAÇÃO DO AUTOR NA OBTENÇÃO DOS CRÉDITOS RELATIVOS A DISCIPLINA DE PROJETO EM CIÊNCIA
DA COMPUTAÇÃO I.
Jean Everson Martina Orientador Ricardo Felipe Custódio
Co-Orientador - Professor Responsável Julio da Silva Dias
Banca
Daniel Santana de Freitas Banca
Apresentação
Este relatório documenta as atividades realizadas durante o semestre 2004-1, em cumprimento ao cronograma e a metodologia estabelecida no projeto proposto como trabalho de conclusão do curso de Bacharel em Ciências da Computação. Tem como objetivo servir de instrumento para avaliação do autor por parte do orientador, do professor responsável e dos membros da banca.
Reuniões
Como resultado das reuniões com o orientador do projeto, foram adotadas algumas diretrizes, listadas e descritas a seguir.
• Realização de ampla pesquisa em busca de artigos e trabalhos científicos
relacionados com o tema, com o objetivo de avaliar a pertinência do projeto. Como base para a pesquisa seriam incluídas obrigatoriamente as publicações do IEEE, da ACM, da ELSEVIER e do CITESSER disponíveis on-line, bem como os trabalhos publicados pela UFSC.
• Elaboração de uma página web para divulgação das atividades realizadas e
disponibilização de documentos.
• Submissão do trabalho em forma de artigo a apreciação do Comitê de
Programa do 6º Simpósio de Segurança em Informática, a realizar-se entre os dias 9 e 12 de novembro de 2004. Contribuiu para esta decisão o resultado da pesquisa preliminar, planejada nas primeiras reuniões e descrita anteriormente como veremos mais adiante.
Mesmo considerando que o artigo produzido, devido a escassez de tempo até a data limite para submissão (30 de julho), possa refletir uma concepção ainda não suficientemente madura do tema, avaliamos que seria interessante tentar. No caso de uma negativa, esperamos aperfeiçoar o trabalho aproveitando como subsídio o parecer do comitê do SSI´2004.
Pesquisa preliminar
Expressões como “forensic sciense”, “evidence recovery”, “secure log”, “computer evidence”, “digital evidence” e palavras como “security”, “logs”, “auditing” e “network”, isoladas e em conjunto, entre outras, foram submetidas aos dispositivos de busca disponíveis para as bases escolhidas. A grande quantidade de documentos obtida foi reduzida após uma rápida leitura, em especial do resumo, da introdução, da conclusão e da bibliografia de cada artigo, usando como critério a afinidade com o tema do nosso trabalho.
Não encontramos nenhum artigo que tratasse especificamente do armazenamento seguro e confiável de registros de sistema. Este fato serviu de estímulo a idéia de submeter o trabalho ao comitê do SSI´2004. O material selecionado servirá, sem dúvida, para que se tenha a exata noção de como os diversos aspectos que envolvem o sistema que estamos concebendo são tratados pela comunidade científica. Além disso, após uma leitura mais apurada, é possível que alguns destes trabalhos sejam incluídos na base bibliográfica que fundamentará a nossa proposta.
A relação encontra-se no final do documento.
Cronograma de Atividades
No projeto inicial havíamos reservado os meses de abril, maio e junho para pesquisa bibliográfica sobre perícia e análise forense, certificação de documentos e sobre timestamp. A definição e validação formal do modelo e do protocolo de comunicação estava prevista para os meses de julho e setembro.
Com a decisão de elaborar o artigo vimo-nos obrigados a apressar a execução do cronograma. Apresentamos a seguir o resumo das atividades realizadas.
Pesquisa sobre perícia e análise forense
Forense computacional é um campo relativamente novo e em franco desenvolvimento, principalmente em função da crescente utilização dos meios eletrônicos como instrumento e/ou alvo da ação criminosa.
Trata do estabelecimento e padronização de procedimentos que permitam a obtenção de evidências úteis nas investigações criminais e que garantam a aceitação destas evidências como prova nos tribunais.
O Brasil, assim como muitos países, ainda não possui uma legislação que trate especificamente dos crimes que surgiram com o desenvolvimento tecnológico, como a invasão de sistemas praticada com o intuito de causar prejuízo (destruição de informações, “pichação” de sites e outros delitos).
No caso dos crimes comuns já previstos na lei, quando praticados no ambiente virtual (como pedofilia, difamação e fraudes em instituições financeiras, por exemplo), a legislação vigente pode perfeitamente ser aplicada desde que haja interesse por parte da vítima. Na prática, devido a falta de padrões e técnicas adequadas para a análise de indícios e obtenção de evidências, há um desestímulo para isto.
É evidente, ainda, a necessidade de desenvolver estes padrões e técnicas de forma que possam ser adotados a nível internacional, já que, devido ás características da internet, um criminoso levado a justiça em um país pode ter deixado evidências do seu crime em outro.
No Brasil, está publicada ainda para consulta pública até o dia 23 de julho, a Medida Provisória nº 2.200, que define os padrões técnicos, operacionais e de segurança para a Infra Estrutura de Chaves Públicas do Brasil. Simultaneamente, está em tramitação no congresso nacional um substitutivo ao projeto de lei 1483-99 inicialmente proposto com o objetivo de regulamentar as transações comerciais realizadas por meio eletrônico. A expectativa é que este projeto continue em tramitação e que as discussões em torno dele aperfeiçoem as medidas que estão entrando em vigor com a publicação da MP 2.200.
Abaixo, material selecionado, até o momento, para embasar o trabalho no que se refere a forense computacional.
Eckert, W. G., editor (1997). Introduction to Forensic Sciences. CRC Press, 2nd edition.
Marcella, A. J. And Grennfield, R. S., editors (2001). Cyber Forensics – A Field Manual for Colletcting, Examining, and Preserving Evidence of Computer Crimes. Auerback Publications
Kruse II, Warren G. e Heiser, Jay G.. Computer Forensics: Incident Response Essentials. Addison-Wesley, Reading, Massachusetts, 2002.
Reis, Marcelo A., Oliveira, Flávio S., Guimarães, Célio C., e Geus, Paulo L. Forense computacional: Aspectos legais e padronização.
Reis, Marcelo A. e Geus, Paulo L. Análise Forense de Intrusões em Sistemas Computacionais: Técnicas, procedimentos e ferramentas.
Chaves, Carolina de A. V. Identificação de Autoria. Revista Evidência Digital, nº 1, 2004.
Blum, Renato O. e Abrusio Juliana C. Crimes Eletrônicos. Revista Evidência Digital, nº 1.
Projeto de Lei nº 4.906 de 2001 Medida Provisória 2.200 de 2004
http://www.ibprasil.com.br http://www.espindula.com.br
Pesquisa sobre a certificação de documentos e PDDE A bibliografia selecionada, até o momento, é a seguinte:
Pasqual, E. S. Idde – uma infra-estrutura segura para a datação de documentos eletrônicos. Master´s thesis, Universidade Federal de Santa Catarina
Costa, V., Custódio, R. F., Dias, J. S., Rolt, C. R. Confiança na Tempestividade dos Documentos Eletrônicos
Dias, J. D. S., Custódio, R. F., Demétrio, D. B. Sincronização Segura de Relógio para Documentos Eletrônicos. In SBRC 2003.
Leitura resultante da pesquisa preliminar
Automated analysis for digital forensic science: semantic integrity checking Stallard, T.; Levitt, K. Computer Security Applications Conference, 2003. Proceedings. 19th Annual , 2003 Pages:160 - 167
Secure Audit Logs Server to support computer forensics in criminal investigations. Jiqiang, L.; Zhen, H. Zengwei, L. TENCON '02. Proceedings. 2002 IEEE Region 10 Conference on Computers, Communications, Control and Power Engineering , Volume: 1 , 28-31 Oct. 2002 Pages:180 - 183 vol.1
Digital evidence: dream and reality. Oppliger, R.; Rytz, R..Security & Privacy Magazine, IEEE , Volume: 1 , Issue: 5 , Sept.-Oct. 2003 Pages:44 - 48
Digital "evidence" and reasonable doubt. Caloyannides, M.A..Security & Privacy Magazine, IEEE , Volume: 1 , Issue: 6 , Nov.-Dec. 2003 Pages:89 - 91 Securing Web servers against insider attack. Jiang, S.; Smith, S.; Minami, K. Computer Security Applications Conference, 2001. ACSAC 2001. Proceedings 17th Annual , 10-14 Dec. 2001 Pages:265 - 276
Adding availability to log services of untrusted machinesArona, A.; Bruschi, D.; Rosti, E.;Computer Security Applications Conference, 1999. (ACSAC '99) Proceedings. 15th Annual , 6-10 Dec. 1999 Pages:199 - 206
The impact of forensic computing on telecommunicationsPatel, A.; Ciardhuain, S.O.;Communications Magazine, IEEE , Volume: 38 , Issue: 11 , Nov. 2000 Pages:64 - 67
Host-based intrusion detection using self-organizing mapsLichodzijewski, P.; Nur Zincir-Heywood, A.; Keywood, M.I.;Neural Networks, 2002. IJCNN '02. Proceedings of the 2002 International Joint Conference on ,Volume: 2 , 12-17 May 2002 Pages:1714 - 17190
Secure audit logs to support computer forensics Bruce Schneier, John Kelsey May 1999 ACM Transactions on Information and System Security (TISSEC), Volume 2 Issue 2
Security watch: On auditing audit trails Rebecca T. Mercuri January 2003 Communications of the ACM, Volume 46 Issue 1
Access Control Models and Mechanisms: Cryptographic access control in a distributed file system Anthony Harrington, Christian Jensen June 2003 Proceedings of the eighth ACM symposium on Access control Models and technologies
Proving the Integrity of Digital Evidence with Time - Hosmer (2002) International Journal of Digital Evidence Spring 2002 Volume 1, Issue 1
The future for the policing of cybercrime. Peter Sommer .Computer Fraud & Security Elsevier Ltd. Volume 2004, Issue 1, Pages 1-20 (January 2004)
Using evidence effectively. Peter Stephenson Computer Fraud & Security
Elsevier Ltd. Volume 2003, Issue 3, Pages 1-20 (March 2003) Computer evidence. Stephen Saxby. Computer Law & Security Report, Volume 3, Issue 1, May-June 1987, Pages 6-9
Principles of digital evidence collection.Dario Forte. Computer Law & Security Report Volume 2003, Issue 12, December 2003, Pages 6-7
The "ART" of log correlation: Part I Dario Forte. Computer Law & Security Report
