ESTG - Mestrado em Cibersegurança e Informática Forense
Permanent URI for this collection
Browse
Browsing ESTG - Mestrado em Cibersegurança e Informática Forense by Field of Science and Technology (FOS) "Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática"
Now showing 1 - 10 of 62
Results Per Page
Sort Options
- 3PNIF | Private Portable Pentest and Network Information FrameworkPublication . Alves, Cristiano Pereira; Domingues, Patrício RodriguesA segurança da informação exige normas e procedimentos de boas práticas, para todos os que, de algum modo, possuem contacto com as tecnologias e meios de acesso à informação. Existem também mecanismos, equipamentos e aplicações que garantem uma segurança adicional. É possível imaginar um cenário ideal numa Organização com todas as variáveis implementadas, mas nada garante que as ameaças estejam distantes. Compete aos responsáveis da segurança da informação identificar todos os mecanismos de segurança para a realização de uma avaliação de risco. Só assim, é possível garantir se esses mecanismos são eficazes e estão em conformidade com o esperado. As ferramentas atualmente disponíveis para execução desses testes, identificados como testes de penetração ou pentests, são inúmeras para sistemas ou aplicações, focadas em áreas muito específicas, exigindo uma utilização individual e manual, onde o executante deve possuir conhecimentos aprofundados. Com a realização deste projeto, pretende-se elaborar uma plataforma Web do tipo framework, completamente portátil sem necessidade obrigatória de acesso à Internet, com o título "3PNIF | Private Portable Pentest and Network Information Framework", que agrega ferramentas (algumas pré-introduzidas e outras podendo ser adicionadas pelo utilizador) que incidam na realização de testes baseados em modelos, estes constituídos por várias ferramentas. Através das informações obtidas, dos outputs de cada ferramenta, é possível criar um relatório final automático. Desta forma, o 3PNIF ajuda a realizar uma avaliação de risco da segurança da informação e dos sistemas, através da execução de testes contendo ferramentas selecionadas para obter informações e identificação de vulnerabilidades ou falhas de segurança. Através dos resultados e informações obtidas, a avaliação de risco permite aferir se essa segurança está de acordo com a esperada. O projeto está dividido em três tarefas principais: criação do mecanismo para adicionar ferramentas e parâmetros, desenvolvimento de métodos para execução dessas ferramentas e criação do relatório final baseado nos outputs.
- ADITUS : UMA APLICAÇÃO PARA CONTROLO DE ACESSOS NUM ERPPublication . Lourenço, Tiago Gilberto Ribeiro; Grilo, Carlos Fernando de Almeida; Gomes, Ricardo Jorge PereiraNa sociedade atual, onde a tecnologia se faz sentir cada vez mais presente, é imperativo que a segurança dos sistemas de informação seja das principais prioridades para as empresas. Para minimizar riscos de ataques e acessos indevidos é importante que as mesmas cumpram os requisitos de segurança em conformidade com os objetivos corporativos e de acordo com as melhores práticas de mercado para a gestão da segurança dos sistemas de informação. A implementação de sistemas de controlo de acessos adequados à dimensão das empresas é fundamental. No nível mais básico, minimizam o risco de acesso nãoautorizado. Desta forma, crimes como o roubo de dados e os ataques de resgate são mais difíceis de operar, mantendo os dados da empresa, ou dos fornecedores e clientes, mais seguros. Isto é particularmente importante se a organização lidar com dados mais sensíveis como são exemplo os cartões de crédito e outras informações de carácter pessoal. Num mundo em que os ciberataques são cada vez mais comuns, os sistemas de controlo de acesso estão ainda longe de serem completamente à prova de falhas, pelo que requerem uma supervisão regular. Os hackers estão cientes de que, embora as grandes marcas multinacionais possam conter os dados mais valiosos, as empresas mais pequenas têm, tendencialmente, sistemas de segurança com mais fragilidades. Um Enterprise Resource Planning (ERP) permite a uma organização gerir praticamente todos os recursos e operações dentro da sua estrutura de trabalho. A dimensão de dados armazenados nos ERP tem-se demonstrado cada vez maior, sendo, por isso, essencial melhorar continuadamente os sistemas de controlo de acessos a estes dados. Este trabalho teve como objetivo o desenvolvimento de uma aplicação web que suporte a gestão de acessos de forma simplificada e que permita uma auditoria eficaz das funcionalidades disponibilizadas no ERP. A aplicação propõe-se facilitar o processo de gestão de acessos através da implementação de novos conceitos e workflows que, combinados com as ferramentas tecnológicas, resultam na redução de erros e de esforço de recursos humanos.
- Análise de segurança à aplicação Autenticação.govPublication . Silva, Tiago João Rodrigues da; Frade, Miguel Monteiro de SousaNos últimos anos verificou-se um rápido crescimento da transformação digital dos processos das organizações. Atualmente é um facto admitido que os sistemas informáticos estão cada vez mais presentes no dia-a-dia dos cidadãos, tendo assumido um papel fundamental nas suas vidas. O seu constante e rápido crescimento tem-se generalizado através do desenvolvimento de múltiplas aplicações disponíveis na Web ou destinadas a dipositivos móveis, que facilitam as suas tarefas diárias e estabelecem inclusivamente novos meios de interação social. A Administração Pública não podia ficar fora desta evolução das tecnologias de informação e dos sistemas de comunicação, sobretudo num período em que se visa a modernização e a simplificação administrativa. Tornou-se, assim, imprescindível para a Administração Pública evoluir nos serviços prestados ao cidadão adequando-os ao uso das tecnologias, promovendo uma Sociedade de Informação, baseada no desenvolvimento tecnológico. O presente projeto tem como objetivo o estudo da aplicação disponibilizada pela Administração Pública, Autenticação.gov para dispositivos móveis. Através do presente estudo foi possível perceber o comportamento da aplicação Auenticação.gov e efetuar um levantamento das suas vulnerabilidades. O sistema operativo móvel Android foi escolhido para este projeto, pelo domínio que representa no mercado dos dispositivos móveis, sendo o seu estudo importante para determinar a forma de efetuar uma análise às vulnerabilidades numa aplicação móvel. Por fim efetuou-se um estudo sobre a Chave Móvel Digital de modo a perceber o seu funcionamento comparando as suas funcionalidades com as do Cartão de Cidadão. Podemos assim concluir que a aplicação Autenticação.gov apresenta vulnerabilidades. Através da comparação das assinaturas eletrónicas efetuadas com o Cartão de Cidadão e a Chave Móvel Digital constatou-se que estas assinam os documentos de modo diferente.
- ANÁLISE DE SEGURANÇA A PROTOCOLOS DE COMUNICAÇÃO DE ELEVADA LATÊNCIAPublication . Gaspar, Tiago André Santos; Loureiro, Paulo Jorge GonçalvesAs redes de comunicação interplanetárias enfrentam desafios que as redes de comunicação terrestre não enfrentam. Com o evoluir da tecnologia é importante analisar as soluções de segurança e verificar se as mesmas têm impacto na performance da rede. Com este trabalho o objectivo é verificar se a introdução de mecanismos de segurança nas comunicação interplanetárias tem impacto na performance da rede. Para isso foram implementados testes numa rede DTN utilizando a implementação ION com e sem segurança para se conhecer o seu impacto. Com base nos resultados conseguidos foi concluído que o impacto dos mecanismo de segurança na performance da rede se altera consoante o tamanho dos ficheiros transmitidos e sendo que o mecanismo que mais teve influência foi o de verificação de confidencialidade.
- Análise forense de sistemas de infoentretenimento em veículos BMWPublication . Marques, Ricardo Manuel da Costa; Negrão, Miguel Cerdeira MarreirosA Análise forense digital emprega várias técnicas, aplicações e procedimentos para a recolha, preservação e análise de provas digitais em vários dispositivos. Atualmente as aplicações na análise forense digital são imensas e vão desde a análise de um disco rígido até à análise de um smartphone, mas existem outras fontes de provas com muito potencial que são os sistemas in-vehicle infotainment (IVI) presentes nos veículos. A Análise aos sistemas IVI é importante, permite encontrar vários dados importantes para investigar e esclarecer determinados crimes e acidentes de viação. Para efeitos deste projeto optou-se por focar numa das áreas da análise forense digital, os sistemas IVI dos veículos, especificamente os da marca BMW. Estes sistemas IVI possuem muitos dados importantes, como dados de contatos, histórico de chamadas, mensagens, e-mail, dados do Bluetooth, modelos e marca de telefone, dados de navegação GPS, músicas, vídeos e ainda permitem interação do telefone com os sistemas IVI através de aplicações Android Auto e Apple Carplay. Neste sentido, foram analisados vários sistemas IVI da marca BMW. Foi analisado o sistema de ficheiros desse mesmo sistema e quais os dados contidos nas partições que o compõem. Foi analisado as bases de dados SQLite presente nos sistemas IVI BMW, foi estudado quais os dados continham e se eram úteis para analise forense digital. Foram desenvolvidos dois plugins ingest module para a ferramenta Autopsy, para analisar as bases de dados SQLite, que contêm os dados mais importantes para o investigador. Os módulos desenvolvidos permitem recuperar vários dados relevantes nas diversas bases de dados, como históricos de chamadas, contatos, mensagens, histórico da web, dados do Bluetooth, marca e modelo do telefone, gostos musicais e quais os dispositivos foram ligados aos sistemas IVI da BMW.
- ANÁLISE FORENSE DIGITAL À APLICAÇÃO MÓVEL MIFITPublication . Francisco, José Carlos Ferreira; Frade, Miguel Monteiro de Sousa; Domingues, Patrício RodriguesMiFit é uma aplicação para smartphone onde os utilizadores podem monitorizar parâmetros relacionados com a saúde e bem estar. Os dados são gerados recorrendo a wearables, onde se incluem relógios e pulseiras inteligentes. Apesar destes wearables possuírem um poder de processamento considerável, o espaço de armazenamento é limitado, havendo a necessidade de exportar dos dados para a aplicação no dispositivo gestor (smartphone). É na aplicação MiFit que são apresentados os dados numa interface gráfica simples e intuitiva, no entanto, nem todos os dados e meta-dados são mostrados ao utilizador final, podendo estes serem relevantes do ponto de vista forense. Por se revelar uma aplicação que é usada em larga escala, no âmbito deste projeto foram estudados os artefactos forenses digitais da aplicação MiFit no dispositivo gestor. A análise estática passou passou pelo escrutínio das bases de dados e Shared Preferences considerados relevantes do ponto de vista forense. Este relatório descreve ainda as principais características e funcionalidades das versões previamente lançadas das pulseiras MiBand, com o intuito de perceber a evolução das mesmas. A pulseira usada foi a MiBand 6, revelando-se ser um wearable bastante completo, capaz de gerar informações sobre batimentos cardíacos, atividades desportivas e respetivas coordenadas Global Positioning System (GPS), monitorização do sono, stress só para enumerar alguns. No decorrer dos trabalhos surgiu a necessidade de implementar uma plataforma, MiFitAnalyzer, que objetiva gerar artefactos forenses de forma automática baseado nos conteúdos da aplicação MiFit ou uma cópia do armazenamento do dispositivo Android. A ferramenta gera um relatório dinâmico, com toda a informação relevante encontrada. Foram ainda implementados dois módulos externos para o software open-source Autopsy, mundialmente usado e reconhecido na temática da análise forense.
- Aplicação centralizada para a gestão e fusão de logsPublication . Dias, Ana Carolina Silvério; Antunes, Mário João GonçalvesDe uma forma geral, os sistemas computacionais modernos, sejam eles de apoio e gestão da infraestrutura ou aplicacionais, produzem informação relevante sobre a sua atividade operacional, que é mantida em ficheiros específicos designados por registos ou ficheiros de log. Estes ficheiros são normalmente produzidos em formato de texto e têm uma formatação especifica para cada aplicação, guardando apenas a informação relevante da sua atividade. Por exemplo, o ficheiro de log que regista a atividade do sistema Linux, mantido pelo serviço rsyslogd, que guarda informação referente ao estado atual ou histórico dos diversos serviços que são realizados no servidor. Um desafio constante que é colocado aos administradores de sistemas, no âmbito das suas funções, consiste em analisar cuidadosamente estes ficheiros, de forma a identificarem potenciais problemas decorrentes da atividade do sistema operativo e/ou dos servidores aplicacionais. Um bom exemplo de utilização deste tipo de registo, ocorre ao nível de segurança através de tentativas de acesso não permitido a servidores. Devido à quantidade de informação gerada, esta análise é dificultada pelo volume de informação detalhada que os ficheiros de log guardam e pela necessidade constante de análise da informação disponibilizada. Neste caso não há mecanismos nativos que permitam a fusão da informação constante dos vários logs, através da sua agregação e sumarização num ficheiro de log agregador, ou “meta-log”. Tal facto permitiria que o administrador de sistemas se focasse apenas na informação relevante, que consta do “meta-log”. Outra dificuldade importante consiste na necessidade de automatizar o tratamento dos logs. Só assim será possível lidar, em tempo útil e com objetividade, com a quantidade de informação que é gerada continuamente. Há várias aplicações que auxiliam a administração de sistemas nestas tarefas, embora nem sempre estejam ao alcance do administrador de sistemas. Algumas aplicações são comerciais e não são flexíveis ao ponto de processar qualquer tipo de log. Há ainda aplicações que estão acessíveis em open source, mas são difíceis de configurar e, por vezes, apresentam falta de suporte profissional, e não possibilitam a flexibilidade necessária na automatização e sumarização das mensagens de log. Por exemplo, a aplicação Nagios é uma solução de monitorização open source, que necessita de algumas configurações para obtermos informação centralizada sobre a infraestrutura, enquanto que a solução comercial System Center Operation Manager (SCOM) requere um esforço menor de configuração na monitorização da infraestrutura, redes e aplicações. Neste projeto desenvolveu-se uma solução de fusão de logs alimentada pelos sistemas operativos e aplicações. Desta forma pretende-se contribuir para a melhoria no tratamento automático dos ficheiros de log. A solução proposta é composta por cinco blocos principais, designadamente o pré-processamento dos ficheiros de log; o processamento de ficheiros de log de acordo com um template pré-definido; a produção de um meta-log com a informação mais importante que foi selecionada durante a fase de pré-processamento; a correlação das entradas do ficheiro resultante com as entradas dos ficheiros de log originais e, por último, a visualização do “meta-log” resultante e dos correspondentes registos originais. A aplicação foi desenvolvida em PERL, onde se realizaram testes de aceitação da solução e, comprovadas no presente projeto. A prova de conceito foi realizada com ficheiros de log provenientes do sistema operativo Windows e aplicações, tendo sido utilizados 430 logs com criticidade dos tipos “erro” e “informativo”. Com os resultados obtidos conclui-se que a solução proposta permite reduzir o número de campos analisados nos logs, assim como o tamanho do ficheiro utilizado para análise.
- APLICAÇÃO PARA DETEÇÃO AUTOMÁTICA DE DISCURSO DE ÓDIO EM LÍNGUA PORTUGUESA RECORRENDO A APRENDIZAGEMCOMPUTACIONALPublication . Neves, Luis Henrique Pereira; Antunes, Mário João GonçalvesAssistimos a uma massificação da utilização das tecnologias da informação sem qualquer diferenciação de idade, nem tão pouco requerendo qualquer conhecimento aprofundado de informática, independentemente do tipo de equipamento utilizado (dispositivos móveis, computadores ou até eletrodomésticos equipados com conectividade à Internet). O crescente aumento de utilizadores no ciberespaço tornou-o um local de partilha de informação pessoal e alojamento de documentos pessoais e/ou profissionais, reunindo assim todas as condições para se tornar um meio de diminuição da distância física, através da utilização copiosa das redes sociais. A utilização massificada da Internet e do ciberespaço potenciou o aparecimento de utilizadores mal-intencionados, cuja motivação principal é a prática de cibercrimes. As principais atividades ilícitas exercidas no ciberespaço e que constituem a prática de crime variam, desde o acesso a dados de forma ilegal, apropriação de contas de utilizadores nas mais diversas plataformas, até à invasão de privacidade (física e virtual). A utilização das redes sociais e a partilha de conteúdos que aí é feita potencia a prática de crimes relacionados com a invasão de privacidade, onde se destacam o cyberbullying, a perseguição digital (cyberstalking), a exposição pública na Internet de conteúdos digitais íntimos, sem o consentimento da pessoa visada (revenge porn) e a troca intencional e abusiva de mensagens de cariz sexual (sexting). A proliferação, diversidade e heterogeneidade das redes sociais existentes tem ampliado a prática deste tipo de crimes, com consequências diretas para as vítimas. Por outro lado, o volume de dados a analisar requerem a implementação de aplicações que processem automaticamente as publicações nas redes sociais, com vista à identificação automática e em tempo real de potenciais atividades genericamente associadas à disseminação de discurso de ódio. O panorama em Portugal está em linha com o que se passa globalmente em todo o mundo, tendo as autoridades nacionais registado um aumento substancial de crimes relacionados com o cyberbullying e a utilização indiscriminada do discurso de ódio. A implementação de aplicações para a deteção automática deste tipo de comportamento em publicações nas redes sociais reveste-se assim da maiorportuguesa, tendo em conta o elevado número de utilizadores, os trabalhos existentes são escassos e direcionados para algumas variantes, como o português do Brasil. Neste projeto apresenta-se um protótipo de aplicação para a deteção automática de texto que inclua discurso de ódio. Esta aplicação poderá, por exemplo, ser utilizada para analisar, em tempo real, as publicações e correspondentes comentários de um feed de uma rede social, detetando discurso de ódio, possibilitando assim uma intervenção célere, como o bloqueio do utilizador ou a remoção da publicação. Foi igualmente desenvolvida uma extensão para o navegador Google Chrome, que permite detetar o discurso de ódio numa página web, facilitando assim a sua utilização no contexto da navegação web. No desenvolvimento do protótipo foram utilizados e testados vários métodos de aprendizagem computacional (machine learning), designadamente Naïve Bayes, SVM, kNN, Random Forest e Neural Network. Ainda no âmbito deste projeto foi criado um dataset anotado e classificado, contendo 354 publicações retiradas da obra de "Para cima de puta"da autora Ferreira, 2021 e de redes sociais como o Facebook, o Twitter e o Youtube, com exemplos reais de texto legítimo e de conteúdos associados a cyberbullying e discurso de ódio. Os testes realizados com os métodos Naïve Bayes, SVM, kNN, Random Forest, Neural Network e ainda combinações entre os métodos anteriores, permitiram obter um valor de F-score de 73% e um precisão de 78%, resultados provenientes da combinação dos algoritmos kNN & Neural Network. importância. Em língua inglesa há várias aplicações, mas no contexto da língua
- APPLICATION SECURITY TESTINGPublication . Welling, Tomas Avila; Monteiro, Marco António de OliveiraThis report describes the work that was done throughout the internship at VOID software to finish the Master’s degree in Cybersecurity and Digital Forensics. During this internship two main projects were implemented: the first one had to do with the development of a new Graphical User Interface for the Wazuh system and the modification of its architecture by replacing the components that belong to the Elastic stack; the second one was related to setting up the Wazuh system within the VOID headquarters to monitor some of the servers which are used for the projects in development. The main goals of these projects were to learn about the Wazuh system, develop a Graphical User Interface for this system and to setup and use the Wazuh system to monitor hosts that belong to the organisation. By the end of this internship a Graphical User Interface (GUI) was developed and the Wazuh system was deployed and is currently working within the VOID organisation.
- Aprendizagem Computacional aplicada à Deteção de Intrusões - Efeito das Técnicas de Balanceamento de DadosPublication . Almeida, Hugo Pedro Bessa; Grilo, Carlos Fernando de AlmeidaA cibersegurança tem vindo a ganhar cada vez mais importância. Atualmente, as redes computacionais profissionais e domésticas estão expostas a um grande número de ataques maliciosos. Todo este crescimento e evolução torna cada vez mais complexa e pertinente a deteção e prevenção destas ameaças. Umas das áreas que tem sido preponderante nesta tarefa é a aprendizagem computacional. No entanto, grande parte dos trabalhos existentes nesta área concentra-se na realização de experiências com novos algoritmos de classificação, sendo o efeito das operações de limpeza, pré-processamento e balanceamento dos dados relegados para segundo plano. Isto é particularmente importante visto que, um dos problemas comuns em conjuntos de dados reais e, em particular, nos conjuntos de dados de tráfego de rede, é a falta de balanceamento dos dados. O objetivo deste trabalho consiste em estudar os efeitos de duas técnicas de balanceamento dos dados opostas no processo da aprendizagem computacional, a saber, o Random UnderSampling e o Random OverSampling. Para tal, foi escolhido o conjunto de dados CSE-CIC-IDS-2018, cujo conteúdo tende a simular o tráfego passível de ser encontrado numa rede computacional empresarial. Para atingir o objetivo proposto foram aplicadas várias técnicas de limpeza e de pré-processamento, foram também criadas várias versões de conjuntos de dados para treino, aplicados métodos de seleção de atributos e algoritmos de classificação. Os resultados dos testes realizados permitem formular as seguintes conclusões: 1) existe um melhoramento dos resultados até um determinado nível de undersampling mas, para além desse limite, a redução da quantidade de dados leva a uma deterioração dos resultados; 2) o efeito do operador de oversampling Random OverSampling é muito pouco significativo; 3) estas conclusões mantêm-se quando se utilizam conjuntos de dados sobre os quais foram realizadas operações de seleção de atributos.