ESTG - Mestrado em Cibersegurança e Informática Forense
Permanent URI for this collection
Browse
Recent Submissions
- Deteção Automatizada de Dados Pessoais com Técnicas NERPublication . Rêgo, André Cirilo Lages do; Antunes, Carlos Manuel GonçalvesO reconhecimento de entidades nomeadas (NER) é uma técnica essencial no processamento de linguagem natural (PLN), usada para identificar automaticamente informações importantes, como nomes e moradas, em grandes volumes de texto. A sua relevância cresce à medida que as empresas e organizações lidam com dados textuais não estruturados, tornando a extração automática de informações uma necessidade cada vez mais presente. Este trabalho propõe o desenvolvimento de uma solução NER que permite ao utilizador submeter documentos em diferentes formatos, processando-os para extrair entidades nomeadas, com foco em português europeu. A solução deverá oferecer ao utilizador a possibilidade de escolher a biblioteca de NER e converte os documentos em texto simples, aplicando técnicas de extração e classificando as entidades encontradas. A implementação foi realizada utilizando uma stack tecnológica modular, com Python, FastAPI, spaCy, NLTK e PostgreSQL, permitindo um fluxo eficiente entre o upload, a conversão de documentos e a extração de entidades. O sistema é flexível e escalável, preparado para futuras melhorias. Os testes realizados mostram que a aplicação é capaz de processar documentos de diferentes formatos e extrair entidades com precisão, tornando-se uma ferramenta eficaz para automatizar a extração de dados sensíveis em diversos contextos.
- CRIME SCENE REPORTINGPublication . Ferreira, Teresa Leal; Luz, Sónia Maria Almeida da; Gomes, Ricardo Jorge PereiraO preenchimento de formulários relacionados ao reporte de cenas de crimes é frequentemente um processo longo e sujeito a erros. A crescente necessidade de maior precisão, juntamente com um processo de recolha de dados mais rápido, tornou-se fundamental para incentivar estudos sobre a otimização deste processo. O presente trabalho propõe o desenvolvimento de uma aplicação móvel, projetada para apoiar os investigadores no preenchimento de formulários, contribuindo para tornar o processo mais eficiente e preciso. O objetivo principal deste trabalho é desenvolver uma aplicação capaz de auxiliar os investigadores, facilitando e acelerando o preenchimento dos formulários. Assim, a aplicação tem de ter uma interface amigável e de fácil utilização, permitindo uma recolha de dados rápida e precisa. Antes de desenvolver a aplicação foi realizado um estudo sobre o tema, de modo a recolher o máximo de informação. A aplicação móvel foi desenvolvida no Android Studio, em Java, e conta com um conjunto de bibliotecas e APIs que tornam a aplicação robusta, contando também com uma interface consistente e atraente, para o utilizador. Com este projeto, foi possível concluir que os investigadores despendem menos tempo no preenchimento de formulários, conseguindo dar uma resposta mais rápida e eficiente aos incidentes. Também o facto de a aplicação armazenar todos os dados relativos às investigações, permite que seja mais rápido e fácil consultá-los. Ao longo do tempo, e com o melhoramento da aplicação, podem ser desenvolvidas mais funcionalidades, automatizando assim, ainda mais, este processo.
- Cibersegurança aplicadaPublication . Bento, Rodrigo Oliveira; Monteiro, Marco António de OliveiraEste relatório apresenta o estágio realizado no âmbito do Mestrado em Cibersegurança e Informática Forense. O estágio foi desenvolvido em uma empresa localizada em Leiria, com duração de 175 dias úteis. Durante o estágio, executei diversas tarefas, incluindo a implementação de dois SIEM, monitorização e testagem de backups, monitorização dos sistemas IDS/IPS já implementados, implementação de um IDS/IPS adicional e sua possível integração com os sistemas existentes na empresa, desenvolvimento de um plano de segurança para a empresa, identificação de pontos de ataque e proposição de soluções, além de colaboração com equipas multidisciplinares. Os principais objetivos do estágio eram ganhar experiência no mercado de trabalho na área de cibersegurança, aprender a aplicar os conhecimentos adquiridos durante a formação académica, desenvolver habilidades práticas na resolução de problemas reais, melhorar a capacidade de trabalhar em equipa e compreender as exigências e responsabilidades do ambiente profissional. O estágio contribuiu significativamente para o meu desenvolvimento profissional, proporcionando-me uma compreensão aprofundada das práticas e desafios da cibersegurança no contexto empresarial.
- RELATÓRIO DE ESTÁGIO - SIBS MULTICERTPublication . Silva, Ricardo Tiago Gregório da; Costa, Paulo Manuel AlmeidaO presente relatório tem como objetivo apresentar o trabalho desenvolvido no âmbito do estágio curricular que decorreu na empresa "SIBS Multicert - Serviços de Certificados Eletrónica S.A., localizada em Lisboa, Portugal. A área de inserção deste relatório é a cibersegurança, nomeadamente, na resposta a incidentes. A área de resposta a incidentes é crucial no quotidiano de um profissional da área de cibersegurança, pois a crescente sofisticação dos ataques, exige uma resposta rápida e eficaz das organizações. Neste contexto, os documentos DFIR emergem como ferramentas indispensáveis para responder aos incidentes, juntamente com a necessidade de existirem laboratórios digitais equipados com ferramentas adequadas, sendo um meio fundamental para o aperfeiçoamento dos métodos de resposta abordados nos documentos DFIR, como também para treinar os profissionais de cibersegurança. Relativamente aos tópicos abordados, este relatório inicia-se com a contextualização do ambiente em que este estágio decorreu. De seguida é exposto o trabalho que foi realizado, nomeadamente, as tarefas propostas, as mudanças necessárias e as tomadas de decisões. Ainda, são detalhadas todas as tarefas e entregáveis inerentes a este estágio bem como as dificuldades sentidas ao longo da sua execução. Por último, são apresentadas as conclusões retiradas com o trabalho realizado e a bibliografia consultada.
- PLANO DE IMPLEMENTAÇÃO DE UM SGSI, BASEADO NO QNRCS, EM MUNICÍPIOS DE PEQUENA E MÉDIA DIMENSÃOPublication . Marques, Pedro Miguel Gonçalves; Santos, Leonel Filipe Simões; Antunes, Carlos Manuel GonçalvesOs municípios de pequena e média dimensão, bem como grande parte das organizações de menor dimensão, enfrentam desafios significativos na proteção dos respetivos ativos de informação devido a diversos fatores, como veremos ao longo desta dissertação. Esta dissertação propõe, para esses municípios, um plano de implementação de um Sistema de Gestão da Segurança da Informação (SGSI), baseado no Quadro Nacional de Referência para a Cibersegurança (QNRCS), estruturado em várias linhas de ação, que abordam temas essenciais para a execução do plano. Inicialmente, é efetuada a caraterização dos municípios de pequena e média dimensão, onde se incluem referências às suas particularidades. Em seguida, discutese a norma ISO/IEC 27001 e o QNRCS e ferramentas associadas, com referência a conceitos essenciais relacionados com a Segurança da Informação, bem como a temática de Gestão de Ativos de Informação, processo de definição do Contexto e o processo de Análise de Riscos. São também revistas as normas, regulamentos e legislação aplicável à realidade específica dos municípios. Deste estudo resultou a criação de um roadmap detalhado e personalizado para a implementação do SGSI nos municípios de pequena e média dimensão, descrevendose processos como, Estratégia para gestão do SGSI, Gestão dos Ativos de Informação, Análise de Risco, Políticas, Procedimentos e Controlos de Segurança de Informação e, por fim, a estrutura documental para o SGSI. A adoção da proposta de estrutura documental apresentada, que inclui, Política Geral de Segurança da Informação, Política de Uso Aceitável (PUA) para os recursos de TI, Plano de Resposta a Incidentes, Playbook para incidente de Phishing, entre outros documentos, representa um passo importante para os municípios de pequena e média dimensão assegurarem a conformidade com os padrões de cibersegurança.
- DESENVOLVIMENTO DE FERRAMENTAS E PRÁTICAS PARA UMA IMPLEMENTAÇÃO EFETIVA DE DEVSECOPSPublication . Bernardino, Nuno André Faustino; Neves, Filipe dos SantosCom o rápido avanço da tecnologia e a adoção generalizada de metodologias ágeis, a integração da segurança — conhecida como DevSecOps — tornou-se essencial para assegurar a integridade e a segurança do software. Esta mudança de paradigma centra-se na incorporação de testes de segurança ao longo de todo o ciclo de vida do desenvolvimento de software, promovendo a realização de testes de segurança contínuos (Continuous Security Testing), em vez de os adiar para fases posteriores. Neste documento, são descritas três ferramentas personalizadas, adaptadas a fases específicas do ciclo de desenvolvimento. Através da utilização destas ferramentas, as organizações podem reforçar as suas práticas de segurança e garantir a integridade do software ao longo do processo de desenvolvimento. É apresentada uma análise preliminar destas ferramentas, com o objetivo de melhorar a segurança da informação nas organizações. Este trabalho oferece um contributo valioso ao documentar e avaliar o impacto de ferramentas tecnológicas no ambiente organizacional, destacando a importância de soluções personalizadas para uma maior eficiência interna. Além das ferramentas, foi também realizada uma outra atividade durante o estágio curricular: a execução de testes de complexidade de palavras-passe em duas das redes internas da organização, o que contribui igualmente para o fortalecimento da segurança da organização. Em conclusão, o impacto positivo das ferramentas exploradas nesta tese reforça a necessidade de um investimento contínuo em tecnologias de suporte organizacional, oferecendo insights úteis para futuras implementações e melhorias.
- INTEL ANALYSIS - APLICAÇÃO PARA ANÁLISE DE DADOS DE SEGURANÇAPublication . Gonçalves, Martinho José Ferreira; Antunes, Carlos Manuel GonçalvesAs crescentes necessidades das organizações aplicarem planos e soluções a cibersegurança tem-se revelado um problema difícil de gerir, principalmente para as pequenas e médias organizações. Estas organizações tem pouca capacidade financeira tanto para a aquisição de sistemas adequados para a segurança da organização como para a contratação de mão de obra especializada no tema da cibersegurança. Esta responsabilidade recai nas equipas de informática destas organizações que grande parte das vezes não tem a capacidade, conhecimentos, ferramentas e tempo necessários para dar resposta a este problema. Detetado este défice nestas organizações e a falta de ferramentas no mercado que sejam capazes de uma forma muito simples e sem grandes requisitos ao nível de conhecimentos da informação importante sobre a cibersegurança da organização, propôs-se o estudo e desenvolvimento de uma solução capaz de mostrar que com pouco esforço é possível obter informação extremamente relevante. A aplicação desenvolvida em formato de demonstrador, tem como principais objetivos facilitar a utilização da ferramenta oferecendo um ambiente gráfico simples e intuitivo de utilizar, permitir que seja colecionados automaticamente dados relevantes externos á organização, permitir recolher dados internos á organização como tráfego de rede e ficheiros de log e por fim, cruzar toda a informação de modo a que sejam gerados alertas indicando possíveis anomalias na infraestrutura. Esta aplicação permite que com poucos recursos computacionais e através da informação recolhida externa e internamente, seja possível gerar alertas capazes de identificar anomalias nas infraestruturas. Estas anomalias são detetadas pela comunicação entre máquinas na rede e endereços IP ou nomes de domínio marcados como possíveis ameaças, despoletando assim alertas para que seja possível uma investigação mais pormenorizada. Este tipo de aplicações, simples de utilizar e que requeiram poucos conhecimentos para a sua utilização e que acima de tudo sejam capazes de trazer utilidade para as equipas de informática, são sem duvida uma mais valia para as organizações.
- Analysis of Timestamp Manipulation Detection ToolsPublication . Santos, Luís Paulo Monteiro dos; Negrão, Miguel Cerdeira Marreiros; Domingues, Patrício Rodrigues; Frade, Miguel Monteiro de SousaDetecting timestamp manipulation on NTFS file systems has historically been challenging, with early tools producing unreliable results in real-world scenarios. Previous methods, as highlighted by Oh et al., often suffered from limitations such as generating false positives by misidentifying normal file system events as manipulation or being unable to detect intentional alterations in timestamps.Tools like NTFS Log Tracker v1.71 and TimestampAnalyser struggled to reliably identify such manipulations. However, recent advancements, such as the release of NTFS Log Tracker v1.9 in May 2024, have demonstrated improved accuracy. The updated tool, as detailed in “Forensic Detection of Timestamp Manipulation for Digital Forensic Investigation,” integrates multiple forensic detection algorithms by leveraging the $MFT, $LogFile, and $UsnJrnl, along with additional system artifacts like Windows Prefetch and LNK files. These enhancements aim to more effectively detect timestamp manipulation in digital forensic investigations. This project explores these advancements and provides updated information about the file operations effects on NTFS timestamps.
- Proteção de PMEs no Ciberespaço: Aplicação de CIS Controls para resposta ao Selo de Maturidade Digital em CibersegurançaPublication . Crespo, Lúcio Miguel Brites dos Santos; Gomes, Ricardo Jorge Pereira; Maximiano, Marisa da SilvaOs ciberataques direcionados a organizações de todos os tamanhos e geografias, aumentam todos os anos. A cibersegurança envolve a utilização de métodos defensivos para detetar e impedir os atacantes de serem bem-sucedidos, centrando-se na tríade CIA. Assim a importância da cibersegurança cresce exponencialmente à medida que a sociedade se digitaliza. As empresas estão cada vez mais interligadas e dependentes umas das outras, aumentando a exposição a riscos e ameaças. Este trabalho explora diversas frameworks e modelos de avaliação de cibersegurança, com o objetivo de compreender e implementar boas práticas adequadas às PMEs portuguesas. O foco está em aumentar a resiliência dessas empresas, protegendo os seus ativos e cadeias de abastecimento, essenciais para a economia. As PMEs muitas vezes possuem recursos limitados, tornando difícil a implementação de práticas robustas de cibersegurança. Muitas destas, também operam em setores regulamentados onde a conformidade com normas de segurança é essencial, mas dispendiosa e complexa. A falta de acesso à consultoria especializada e a diversidade de normas existentes podem ser desafiantes para as PMEs. Com este trabalho pretende-se disponibilizar um guia prático com instruções claras e executáveis para ajudar as empresas. Este deve ser acompanhado da sensibilização da gestão de topo, pois líderes e executivos desempenham um papel fulcral na definição de prioridades e alocação de recursos. Através deste trabalho, foi possível mapear os requisitos dos Selo de Maturidade Digital em Cibersegurança (Bronze e Prata), com safeguards do CIS Controls. Pretende-se que ao serem implementadas as recomendações apresentadas no guia, as empresas se encontrem aptas a se submeterem à certificação de Maturidade Digital em Cibersegurança para a obtenção do nível Prata. Para uma melhor perceção do panorama real das PMEs, foi realizado um estudo junto de 21 PMEs da Região de Leiria, onde foram avaliadas as suas práticas atuais, perceção de vulnerabilidades e capacidades de resposta a incidentes de cibersegurança. Com a análise dos resultados, destaca-se a necessidade de maior foco na formação e conscientização dos colaboradores, exposto a componente humana como uma das maiores vulnerabilidades identificadas, assim como a necessidade de um maior investimento nas áreas de deteção e resposta a incidentes.
- ANÁLISE FORENSE NÃO INVASIVA EM AUTOMÓVEISPublication . Rodrigues, Humberto Jorge Martins; Negrão, Miguel Cerdeira MarreirosA análise forense digital automóvel assume uma importância crescente, dado o aumento da complexidade dos sistemas eletrónicos presentes nos veículos modernos e da sua constante sofisticação e automatização. Neste contexto, este trabalho foca-se na extração e análise de dados de duas fontes principais: o Event Data Recorder (EDR) e o sistema de infoentretenimento. O EDR, responsável pela gravação de dados críticos de eventos antes e durante acidentes, e o sistema infoentretenimento, que armazena informações de navegação, comunicação e multimédia, oferecem um potencial significativo para a investigação forense, tanto em casos de crimes como de acidentes rodoviários. Este estudo abordou a recolha de dados forenses de forma não invasiva, explorando os métodos e ferramentas necessárias para a interação com ambos os sistemas. A implementação prática envolveu a ligação a um sistema de infoentretenimento através de Telnet e FTP, a análise do sistema operativo QNX e a exploração dos pontos de montagem de discos e partições. Foram ainda investigadas as técnicas para a extração de dados do EDR, para reconstruir eventos críticos relacionados com acidentes, incluindo a validação dos dados registados no barramento CAN e a sua comparação com os relatórios do sistema comercial BOSCH CDR. O trabalho compara os dados obtidos o valor de ambas as fontes de dados na investigação forense automóvel, destacando a necessidade de preservação da integridade dos dados para garantir a sua admissibilidade em contextos legais. A pesquisa também sugere possíveis abordagens para futuras investigações, nomeadamente na análise de sistemas infoentretenimento em outros modelos de veículos.