ESTG - Mestrado em Cibersegurança e Informática Forense
Permanent URI for this collection
Browse
Recent Submissions
- Auditorias de Cibersegurança para PME: Uma Abordagem Prática e SimplificadaPublication . Oliveira, Tomás Alexandre dos Santos; Maximiano, Marisa da Silva; Gomes, Ricardo Jorge PereiraA crescente digitalização expõe as Pequenas e Médias Empresas (PME) a ciberameaças cada vez mais complexas e sofisticadas. No entanto, estas organizações enfrentam desafios significativos, como a escassez de recursos e a complexidade das normas e frameworks de cibersegurança existentes, que dificultam a adoção de boas práticas. Este projeto nasce para colmatar esta lacuna, propondo uma estrutura de auditoria prática, acessível e adaptada à realidade das PME. Para isso, foi desenvolvida uma metodologia estruturada para a criação de um roteiro de auditoria, adaptado às necessidades das PME e centrado nos controlos mais essenciais do Quadro Nacional de Referência para a Cibersegurança (QNRCS). Complementarmente, foi elaborado um manual do auditor, que serve como guia prático e sistemático, e uma aplicação web de suporte à auditoria, centralizando a gestão e visualização dos resultados. A validade e a eficácia da abordagem foram comprovadas através de um caso de estudo prático numa PME do setor tecnológico. Este estudo de caso demonstrou que a metodologia é clara e o manual um guia eficaz. A aplicação web funcionou como a peça-chave, tornando o processo de auditoria intuitivo, centralizado e com resultados práticos imediatos. A principal contribuição deste trabalho reside na capacidade de transformar a complexidade da auditoria de cibersegurança num processo objetivo e acionável para as PME. Ao centralizar a recolha de dados, automatizar cálculos de risco e apresentar resultados de forma clara e visual, a solução otimiza o trabalho do auditor e capacita o cliente a compreender a sua postura de segurança, facilitando a priorização de medidas corretivas. Em suma, este projeto torna a segurança digital mais acessível, preparando as organizações para enfrentarem os desafios do ciberespaço de forma mais resiliente e informada.
- SIMPLE LOG ANALYSIS AND ALARMI STIC WITH MACHINE LEARNINGPublication . Silva, Rui Pedro Lopes; Antunes, Carlos Manuel GonçalvesA monitorização e análise de logs assumem um papel fundamental na Cibersegurança, constituindo a principal fonte de informação para a deteção, investigação e prevenção de incidentes. Contudo, a crescente complexidade das infraestruturas tecnológicas, juntamente com o volume e diversidade dos registos gerados, torna esta tarefa exigente, frequentemente associada a elevados custos técnicos e financeiros. Embora existam soluções robustas no mercado, estas revelam-se por vezes desajustadas à realidade de pequenas e médias empresas, que não dispõem de equipas especializadas nem de recursos económicos para manter este tipo de plataformas. O principal objetivo deste projeto consistiu, assim, no desenvolvimento de uma solução simples em termos de funcionalidades e de fácil instalação, que permita a qualquer instituição realizar a análise de logs de forma contínua e gerar alertas automáticos de eventos alarmantes. Para isso, foi concebido um protótipo demonstrativo que integra a recolha de registos, o seu tratamento e enriquecimento com dados contextuais e a aplicação de regras de análise baseadas em frequência, semântica e correlação. Os resultados obtidos confirmaram a viabilidade do sistema, permitindo identificar comportamentos suspeitos em logs Apache e de autenticação, tais como tentativas de brute force, exploração de diretórios administrativos, acessos repetitivos e correlações entre falhas de login seguidas de autenticações bem-sucedidas. A análise de reputação e geolocalização de endereços IP contribuiu para uma contextualização mais completa, elevando a precisão na classificação de alertas.
- Next‐Generation Network Management: Harnessing AI to Automate OperationsPublication . Vieira, Gabriel Madeira; Fuentes, Daniel Alexandre Lopes; Frazão, Luís Alexandre Lopes; Correia, Luís Filipe Jesus; Costa, Nuno Alexandre Ribeiro da; Pereira, António Manuel de JesusCybersecurity infrastructures face constant challenges, including increasingly sophisticated threats, the rising costs of Security Operations Centres (SOCs), and a growing shortage of skilled professionals. To address these issues, this dissertation proposes an AI-based architectural framework designed to automate network security and enhance threat mitigation. The proposed framework integrates Software-Defined Networking (SDN) and Security Information and Event Management (SIEM) with AI-driven Intrusion Detection and Prevention Systems (IDS/IPS). It incorporates a lightweight Large Language Model (LLM) under 4GB, trained on MikroTik documentation to translate user intent into network commands. In addition, several machine learning models are trained and evaluated for real-time threat detection, supported by a digital twin and a sandbox for configuration testing. Three specialised datasets from scraped documentation and available APIs—pretraining, QA, and reasoning—were developed, totalling 74,482 records. A web interface and REST APIs provide accessibility. Experimental results show that the AI models achieve a 74% LLM generated command execution success rate, substantially surpassing the 8% untrained baseline, and the selected machine learning classifier attains a 94.84% F1-score for threat detection, thereby supporting the validity of the proposed approach. This proposed architecture demonstrates how AI-driven automation can offer organisations a scalable, cost-effective, and practical alternative to traditional SOCs, which are often resource-intensive and require specialized personnel, strengthening resilience against contemporary cybersecurity threats and enabling multi-vendor support through adaptable data sources.
- VULNFUSION: PLATAFORMA DE INTEGRAÇÃO DE FERRAMENTAS OPEN- SOURCE SASTPublication . Andrade, Edgar Emanuel Raimundo; Mendes, Sílvio Priem; Loureiro, Paulo Jorge GonçalvesCiclos de desenvolvimento acelerados e o uso de bibliotecas de terceiros aumentam a probabilidade de existirem lacunas de segurança no código, agravada pela insuficiente formação em segurança dos programadores. A análise de segurança manual é lenta e cara, o que torna as ferramentas de análise de segurança estática, static application security testing (SAST), essenciais para identificar vulnerabilidades de forma eficiente. Contudo, as ferramentas SAST geram muitos falsos positivos, exigindo verificação manual. Este projeto propõe uma plataforma, intitulada VulnFusion, que integra múltiplas ferramentas SAST para melhorar a robustez da análise de segurança, e que utiliza técnicas de inteligência artificial (IA) para enriquecer os resultados obtidos. A plataforma VulnFusion visa reduzir os falsos positivos e aumentar a eficiência na deteção de vulnerabilidades e auxiliar na prioritização dos esforços de mitigação, adaptando-se às necessidades dos programadores e organizações. O presente documento inclui uma breve revisão de ferramentas SAST open-source existentes, o desenvolvimento da plataforma VulnFusion e dos processos de agregação de resultados e enriquecimento dos mesmos, e apresenta os testes realizados e os resultados obtidos. Os resultados demonstraram uma melhoria na cobertura e precisão da deteção de vulnerabilidades face à utilização de uma única ferramenta, com ganhos no F1-score para categorias como command injection (47,8%) e SQL injection (36,5%) após a integração de múltiplas ferramentas SAST e enriquecimento por IA.
- IMPLEMENTATION AND ANALYSI OF A ZTNA SOLUTIONPublication . Rhodes, Bernardo Duarte Rodrigues Fragoso de; Mendes, Sílvio Priem; Loureiro, Paulo Jorge GonçalvesÀ medida que as ameaças cibernéticas continuam a evoluir, os mecanismos tradicionais de segurança baseados em perímetro, como VPNs IPsec e SSL, tornam-se cada vez mais ineficazes contra ataques baseados em identidade e movimentos laterais em ambientes distribuídos. Ao conceder um acesso amplo ao nível da rede após a autenticação, as VPNs ampliam a superfície de ataque e falham em aplicar o princípio de Zero Trust — “nunca confiar, verificar sempre”. Para colmatar esta lacuna, esta dissertação investiga a viabilidade de implementar uma solução de Zero Trust Network Access (ZTNA) em contexto de pequena e média empresa (PME), utilizando o OpenZiti, uma plataforma open-source. A investigação combina uma revisão da literatura com uma análise comparativa de soluções ZTNA/SASE, posicionando o OpenZiti face a alternativas de mercado. Foi então concebida e implementada uma arquitetura prática num ambiente semelhante a uma PME, com dois sites interligados e um controlador em Azure, simulando uma topologia híbrida. A implementação incluiu o provisionamento de controlador e edge routers, integração Okta–Active Directory e definições granulares de serviços através de configurações de intercept, host e políticas de acesso. Para além de reproduzir modelos existentes, o trabalho fornece uma avaliação prática e original das capacidades e limitações do OpenZiti, contribuindo para o estado da arte ao evidenciar lacunas nas soluções open-source de ZTNA. Os resultados demonstram que o OpenZiti impõe acesso rigoroso ao nível do serviço, reduzindo significativamente as oportunidades de movimento lateral em comparação com as VPNs. A revogação de identidades e a propagação de políticas ocorreram em tempo quase real, e a descoberta não autorizada de serviços foi impedida. Foram identificadas limitações ao nível da segmentação leste–oeste, do suporte a federação de identidades e da integração nativa de registos, que requerem controlos complementares ou ferramentas externas. Ainda assim, o estudo confirma que soluções open-source de ZTNA podem fornecer às PMEs uma alternativa economicamente viável e tecnicamente robusta às VPNs, proporcionando melhorias mensuráveis na postura de segurança e apoiando a transição de modelos baseados em perímetro para Zero Trust em organizações com recursos limitados.
- HaLert: A Resilient Smart City Architecture for Post-Disaster Based on Wi-Fi HaLow Mesh and SDNPublication . Ortigoso, Ana Rita Lameiro; Frazão, Luís Alexandre Lopes; Fuentes, Daniel Alexander Lopes; Correia, Luís Filipe Jesus; Costa, Nuno Alexandre Ribeiro da; Pereira , António Manuel de JesusCatastrophic events are often unpredictable, making the reuse of existing infrastructures crucial to developing alternative communication strategies that minimise their impact on public communication and the timely dissemination of official alerts. The advent of smart cities, characterised by dense and geographically distributed IoT networks, offers significant potential for such reuse. Furthermore, in post-disaster contexts, uncertainty and panic can endanger public safety and hinder rescue operations, particularly in a hyperconnected world where communication failures and misinformation can intensify these risks. This dissertation presents HaLert, a resilient smart city architecture based on a Wi- Fi HaLow IEEE 802.11s mesh network, enabling rapid resource reallocation to support an emergency communication system for exchanging text, location, image, audio, and video between citizens and authorities. The system also delivers verified, emotionaware information through Armando, a chatbot integrating Retrieval-Augmented Generation (RAG) with cumulative context tracking. Network monitoring and configuration are facilitated by Software-Defined Networking (SDN) via a LoRa controlledflooding mesh network. A prototype of HaLert architecture was implemented and tested in real urban indoor and outdoor scenarios. Results show that despite environmental impacts on latency (15–54.8 ms) and throughput (134–726 Kbps upload, 117–682 Kbps download), the Wi-Fi HaLow network remained stable, while the LoRa network achieved a 94.96% average message success rate.
- FORENSIC ANALYSIS OF PASSWORD MANAGERSPublication . Campos, Miguel Filipe Cunha; Frade, Miguel Monteiro de Sousa; Domingues, Patrício Rodrigues; Negrão, Miguel Cerdeira MarreirosA utilização crescente de gestores de palavras-passe como o Bitwarden e o KeePassXC levanta preocupações sobre a sua segurança e os vestígios digitais que podem deixar, particularmente em contextos de investigação forense. Este trabalho propõe uma análise forense detalhada destas duas aplicações populares de gestão de palavraspasse, com o objetivo de avaliar o tipo e a quantidade de informação sensível recuperável após a sua utilização. A metodologia envolveu a criação de ambientes de teste controlados em máquinas virtuais (Windows e Linux), simulando cenários reais de uso. Foram usadas diversas ferramentas forenses (System Informer, HxD, Hashcat e John the Ripper) para análises ao sistema de ficheiros, memória volátil, extensões de navegador e hashes de palavras-passe. Adicionalmente, foi realizada uma análise do código-fonte e da arquitetura das aplicações, focando nos algoritmos de derivação de chaves (KDF), como o PBKDF2 e o Argon2. Os resultados revelam que, apesar da encriptação robusta, vestígios como palavraspasse mestre, parâmetros de configuração, dados de autenticação e até fragmentos de palavras-passe podem permanecer acessíveis em ficheiros locais ou memória volátil, dependendo da aplicação e do sistema operativo. O Bitwarden, por ser baseado na nuvem, mostrou maior suscetibilidade a deixar artifactos em extensões de navegador, enquanto o KeePassXC, com armazenamento local, apresentou riscos associados à memória volátil e à extração de dados do seu ficheiro de base de dados. Verificou-se ainda que, em certos cenários, é possível extrair e tentar quebrar hashes das palavras-passe, embora a eficácia varie conforme o algoritmo de derivação utilizado. Esta investigação contribui para a compreensão dos riscos forenses associados aos gestores de palavras-passe, oferecendo recomendações para investigadores forenses e programadores, visando a redução da pegada digital destas aplicações.
- Extensão de OSINT Para Analise e Procura de DadosFerreira, Jorge Veloso de Campos Baptista; Monteiro, Marco António de OliveiraA digitalização e a ubiquidade da informação na sociedade atual intensificaram a necessidade de segurança da informação e proteção da privacidade. A Open Source Intelligence (OSINT) destaca-se como uma ferramenta essencial para a recolha e análise de dados públicos, contribuindo para a tomada de decisões em áreas como a cibersegurança, a investigação criminal e o jornalismo. Contudo, o aumento exponencial de dados disponíveis impõe desafios que exigem soluções mais avançadas. Neste contexto, os Large Language Model (LLM) surgem como recursos inovadores, capazes de automatizar e otimizar a análise de informação através do processamento de linguagem natural. Este documento explora a integração entre OSINT e LLM, apresentando uma investigação detalhada sobre as suas aplicações e limitações na área da cibersegurança. Como contributo prático, é desenvolvido um projeto que combina ambas as abordagens, materializado na criação de uma extensão de navegador integrada com um backend funcional e com suporte a ferramentas OSINT. Este projeto demonstra o potencial desta conjugação para fortalecer a segurança digital e promover uma análise mais eficiente, automatizada e precisa de dados provenientes de fontes abertas.
- Tratamento e Proteção de Dados na Emergência Pré-HospitalarPublication . Monteiro, Tiago Filipe Almeida; Rijo, Rui Pedro Charters LopesDiariamente, milhares de profissionais em emergência pré-hospitalar lidam com diversos dados pessoais e clínicos, informações sensíveis que podem ser alvos para agentes maliciosos. A segurança no tratamento e proteção desses dados é, portanto, essencial para evitar divulgações não autorizadas e proteger a privacidade das vítimas, mantendo a confiança nos serviços de socorro e cumprindo as exigências legais em vigor. Nesse sentido, o presente relatório descreve o desenvolvimento de um estudo que não só analisa o enquadramento normativo aplicável ao contexto de emergência pré-hospitalar, como também avalia o nível de consciencialização de uma amostra de profissionais da área relativamente à proteção e ao tratamento de dados de saúde. Desta forma, o principal objetivo deste trabalho é perceber os direitos e deveres das vítimas e das equipas de socorro, antes, durante e após a prestação de cuidados urgentes, através da sintetização e análise do extenso e específico quadro normativo europeu e português associado a este tema, e da realização de um caso de estudo prático. Assim, este relatório aborda diversos aspetos, incluindo os trabalhos existentes relacionados, os tipos de serviços e de dados presentes numa operação de emergência médica, a legislação e regulamentação cabível, as dificuldades dos profissionais no terreno, as garantias legais dadas aos titulares dos dados, a metodologia usada no caso de estudo e os resultados obtidos e, por fim, algumas discussões e conclusões acerca do trabalho realizado.
- TESTE E VALIDAÇÃO DE AMEAÇAS INFORMÁTICAS EM CONTEXTO DE ENSINO SUPERIORPublication . Costa, Luís Miguel Babo; Pinheiro , Paulo Jorge Ferreira BatistaAo longo dos últimos anos as tecnologias Wi-Fi e QR Codes têm vindo a aumentar a sua popularidade e utilização pelos utilizadores em todo o mundo, devido à sua facilidade de implementação e utilização, baixo custo e velocidades elevadas, bem como a possibilidade de tecnologias com capacidade de leitura de QR Codes por parte dos utilizadores. Esta facilidade de acesso e utilização destas tecnologias naturalmente apresenta riscos de segurança para os utilizadores. Este relatório explora as tecnologias Wi-Fi com utilização do protocolo de se gurança WPA-Enterprise, amplamente utilizado em ambientes corporativos e edu cacionais e os seus possíveis ataques. Foram realizados ataques do tipo Evil Twin e deauthentication. O segundo projeto explora vulnerabilidades resultantes da uti lização de QR Codes como ataques de phishing, execução de scripts e execução remota de código. Ambos os projetos foram realizados em contexto académico, nas instalações do ISPGAYA.