Dissertations / Theses on the topic 'OSINT'

Дослідження використання методів OSINT при розслідувані кіберінцендентів // Дипломна робота ОР «Магістр» // Серватнюк Максим Миколайович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБмз-61 // Тернопіль, 2021 // С. 65 , рис. - 7 , додат. - 1.
Дана магістерська робота присвячена висвітленню питання щодо застосування методів OSINT при розслідуванні кіберінцидентів. Проведено аналіз наявних методів OSINT та можливість їх використання у різних сферах діяльності. Розглянуто варіанти використання методів OSINT при розслідувані кіберінцидентів та можливість імплементації засобів OSINT в систему управління інформаційною безпекою. У першому розділі було досліджено основні аспекти технології OSINT, її визначення, міжнародний досвіт застосування та розглянуто OSINT з юридичної точки зору. У другому розділі здійснено аналіз можливостей методів OSINT та ефективність їх використання при розслідувані кіберінцидентів. У третьому розділі розглянуто варіанти використання методів OSINT при розслідувані кіберзлочинів та можливість імплементації OSINT у системи інформаційної безпеки у різних сферах людської діяльності.
This master's thesis is devoted to the issue of the application of OSINT methods in the investigation of cyber incidents. An analysis of existing OSINT methods and the possibility of their use in various fields of activity. Options for using OSINT methods in the investigation of cyber incidents and the possibility of implementing OSINT tools in the information security management system are considered. The first section examines the main aspects of OSINT technology, its definition, international experience and considers OSINT from a legal point of view. The second section analyzes the possibilities of OSINT methods and the effectiveness of their use in the investigation of cyber incidents. The third section discusses the options for using OSINT methods in the investigation of cybercrime and the possibility of implementing OSINT in information security systems in various fields of human activity.
ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ,СИМВОЛІВ ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ...7 ВСТУП... 8 РОЗДІЛ 1. ТЕОРЕТИЧНІ ОСНОВИ ВИКОРИСТАННЯ МЕТОДІВ OSINT.....10 1.1. Аналітичний огляд методів OSINT ... 10 1.2. Міжнародний досвід використання методів OSINT...12 1.3. Правові підстави використання методів OSINT...14 Висновки до першого розділу... 20 РОЗДІЛ 2. ЕФЕКТИВНІСТЬ ВИКОРИСТАННЯ МЕТОДІВ OSINT ПРИ РОЗСЛІДУВАНІ КІБЕРІНЦИНДЕНТА … 21 2.1. Основні джерела та можливості OSINT...21 2.2. OSINT як превентивні заходи...24 2.3. OSINT як першочергові заходи при розслідувані кіберінциндентів...25 Висновки до другого розділу...30 РОЗДІЛ 3. ПРАКТИЧНІ РЕКОМЕНДАЦІЇ ПРИ РОЗСЛІДУВАНІ КІБЕРІНЦИНДЕНТА ЗА ДОПОМОГОЮ МЕТОДІВ OSINT...31 3.1. Використання методів OSINT при розслідувані кіберінциндентів...31 3.1.1. Пошук інформації за деталями електронного листа...31 3.1.2. Пошук інформації по url адресі...34 3.1.3. Пошук інформації за адресою крипто-гаманця….36 3.2. Імплементація засобів OSINT в СУІБ...38 Висновок до третього розділу... 44 РОЗДІЛ 4. ОХОРОНА ПРАЦІ ТА БЕЗПЕКИ ЖИТТЄДІЯЛЬНОСТІ... 48 4.1. Охорона праці при роботі на персональному комп’ютері... 48 4.2. Єдина державна система запобігання і реагування на надзвичайні ситуації техногенного та природного характеру та захист інформації в сучасному інформаційному суспільств ... 52 ВИСНОВКИ... 61 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ... 62 ДОДАТКИ

Traditionally, intelligence has been distinguished from all other forms of information working by its secrecy.Secret intelligence is about the acquisition of information from entities that do not wish that information to be acquired and,ideally,never know that it has. However, the transformation in information and communication technology(ICT)over the last two decades challenges this conventionally held perception of intelligence in one critical aspect: that information can increasingly be acquired legally in the public domain-‘open source intelligence’(OSINT). The intelligence community has recognised this phenomenon by formally creating discrete open source exploitation systems within extant intelligence institutions. Indeed,the exploitation of open source of information is reckoned by many intelligence practitioners to constitute 80 percent or more of final intelligence product. Yet,the resource committed to, and status of, open source exploitation belies that figure. This research derives a model of the high order factors describing the operational contribution of open source exploitation to the broader intelligence function: context; utility; cross-check; communication; focus; surge; and analysis. Such a model is useful in three related ways: first, in determining appropriate tasking for the intelligence function as a whole; second, as a basis for optimum intelligence resource allocation; and third, as defining objectives for specifically open source policy and doctrine. Additionally, the research details core capabilities, resources, and political arguments necessary for successful open source exploitation. Significant drivers shape the contemporary context in which nation-state intelligence functions operate: globalisation; risk society; and changing societal expectation. The contemporary transformation in ICT percolates each of them. Understanding this context is crucial to the intelligence community. Implicitly, these drivers shape intelligence, and the relationship intelligence manages between knowledge and power within politics,in order to optimise decision-making. Because open source exploitation obtains from this context, it is better placed than closed to understand it.Thus, at a contextual level,this thesis further argues that the potential knowledge derived from open source exploitation not only has a unique contribution by comparison to closed, but that it can also usefully direct power towards determination of the appropriate objectives upon which any decisions should be made at all.

Oggigiorno risulta particolarmente semplice per chiunque accedere a grandi quantità di dati ed informazioni in qualsiasi momento utilizzando semplicemente la rete Internet. Con OSINT (Open Source Intelligence) si intende la ricerca e la collezione di informazioni di pubblico dominio, che possono essere reperite nei più svariati modi e sotto varie forme, ed una loro successiva analisi ed elaborazione per trarne specifiche conclusioni. L’obiettivo di questa tesi è quello di sviluppare un programma che possa migliorare ed ampliare la ricerca di informazioni nel web per tutti coloro che si interfacciano al mondo dell’OSINT. Grazie all’integrazione di singoli strumenti e risorse già note ed ampiamente utilizzate in questo ambito, il programma sviluppato come elaborato di tesi può costituire un punto di riferimento per ogni ricerca poiché permette di scoprire, analizzare, valutare ed utilizzare tutti i dati e le informazioni trovate in un unico momento attraverso un unico strumento. Al fine di raggiungere questo obiettivo, il progetto possiede specifiche funzionalità, ciascuna delle quali è strettamente legata allo strumento che si decide di utilizzare per effettuare la ricerca.

This research attempts to create a novel process, Social Engineering Vulnerability Evaluation, SiEVE, to use open source data and open source intelligence (OSINT) to perform efficient and effectiveness spear phishing attacks. It is designed for use by "œred teams" and students learning to conduct a penetration test of an organization, using the vector of their workforce. The SiEVE process includes the stages of identifying targets, profiling the targets, and creating spear phishing attacks for the targets. The contributions of this research include the following: (1) The SiEVE process itself was developed using an iterative process to identify and fix initial shortcomings; (2) Each stage of the final version of the SiEVE process was evaluated in an experiment that compared performance of students using SiEVE against performance of those not using SiEVE in order to test effectiveness of the SiEVE process in a learning environment; Specifically, the study showed that those using the SiEVE process (a) did not identify more targets, (b) did identify more information about targets, and (c) did lead to more effective spear phishing attacks. The findings, limitations, and future work are discussed in order to provide next steps in developing formalized processes for red teams and students learning penetration testing.

Dissertação de Mestrado em Estratégia
As Informações Estratégicas revelam-se de extrema importância para a correta condução da Estratégia, através da análise do ambiente externo, permitindo prever ameaças, capacidades e intenções inimigas. A utilização da Humint e Osint no contexto das Informações Estratégicas tem sido amplamente debatida desde a década de 1950. Considerada a Humint uma fonte essencial para as Informações Estratégicas e para a criação de conhecimento sobre o ambiente externo, tem perdido relevância, em proveito das fontes abertas. Antes do surgimento e globalização do fenómeno da internet, a questão que se colocava a utilização de fontes abertas, em detrimento das fontes cobertas relacionava-se com a duvida sobre se as Informações Estratégicas sem o recurso a segredos permitiam uma vantagem competitiva face aos concorrentes. Hoje, o problema de raiz sobre a utilização das fontes abertas (Osint), em detrimento de um maior investimento em fontes cobertas, nomeadamente fontes humanas, mantém-se. As ameaças hibridas revelam-se como um dos exemplos mais recentes da instrumentalização das fontes abertas, recorrendo as potencialidades das tecnologias de informação e comunicação e ao desenvolvimento global da internet. Estas ameaças fundem técnicas convencionais e não convencionais, procurando criar instabilidade, erodir a confiança na própria informação e nas instituições do Estado alvo, quer por parte dos Serviços de Informações em particular, quer pela sociedade em geral, colocando em risco a qualidade dos dados obtidos através de Osint, mas criando também desafios à Humint. Aplicando os métodos comparativo e interpretativista, procura-se responder à questão: qual a relevância da Humint na Era da Informação para a produção de Informações Estratégicas, onde há um predomínio das informações em acesso aberto, enquadrandose no pilar das Informações Estratégicas, proposto na área cientifica de Estratégia do ISCSP-Universidade de Lisboa.
Strategic Intelligence is extremely important for the precise conduct of the Strategy, through the analysis of the external environment, allowing the forecast of threats, capabilities and enemy intentions. The use of Humint and Osint in the context of Strategic Information has been widely debated since the 1950s. Humint is considered an essential source for Strategic Intelligence and creation of knowledge about the external environment, however it has lost relevance, to the benefit of Osint. Before the emergence and globalization of the internet phenomenon, the question of using open sources instead of covered sources was related to the doubt about whether Strategic Intelligence without the use of secrets allowed a competitive advantage over competitors. Today, the root problem regarding the use of open sources (Osint), to the detriment of greater investment in covered sources, namely human sources, remains. Hybrid threats are revealed as one of the most recent examples of the instrumentalization of open sources, using the potential of information and communication technologies and the global development of the internet. These threats fuse conventional and unconventional techniques, seeking to create instability, erode confidence in the information itself and in the institutions of the target State, either by the Information Services in particular, or by society in general, putting at risk the quality of the data obtained through Osint, but also creating challenges for Humint. Applying the comparative and interpretative methods, we seek to answer the question: what is the relevance of Humint in the Information Age for the production of Strategic Information, where there is a predominance of information in open access, framing the pillar of Strategic Information, proposed in the scientific area of Strategy at ISCSPUniversidade de Lisboa.
N/A

Investigations are increasingly conducted online by not only novice sleuths but also by professionals -- in both competitive and collaborative environments. These investigations rely on publicly available information, called open source intelligence (OSINT). However, due to their online nature, OSINT investigations often present coordination, technological, and ethical challenges. Through semi-structured interviews with 14 professional OSINT investigators from nine different organizations, we examine the social collaboration and competition patterns that underlie their investigations. Instead of purely competitive or purely collaborative social models, we find that OSINT organizations employ a combination of both, and that each has its own advantages and disadvantages. We also describe investigators' use of and challenges with existing OSINT tools. Finally, we conclude with a discussion on supporting investigators' with more appropriable tools and making investigations more social.
Master of Science
Investigations are increasingly conducted online by not only novice investigators but also by professionals, such as private investigators or law enforcement agents. These investigations are conducted in competitive environments, such as Capture The Flag (CTF) events where contestants solve crimes and mysteries, but also in collaborative environments, such as teams of investigative journalists joining skills and knowledge to uncover and report on crimes and/or mysteries. These investigations rely on publicly available information called open source intelligence (OSINT) which includes public social media posts, public databases of information, public satellite imagery...etc. OSINT investigators collect and authenticate open source intelligence in order to conduct their investigations and synthesize the authenticated information they gathered to present their findings. However, due to their online nature, OSINT investigations often present coordination, technological, and ethical challenges. Through semi-structured interviews with 14 professional OSINT investigators from nine different organizations, we examine how these professionals conduct their investigations, and how they coordinate the different individuals and investigators involved throughout the process. By analyzing these processes, we can discern the social collaboration and competition patterns that enable these professionals to conduct their investigations. Instead of purely competitive or purely collaborative social models, we find that OSINT organizations employ a combination of both, and that each has its own advantages and disadvantages. In other words, professional OSINT investigators compete with each other but also collaborate with each other at different stages of their investigations or for different investigative tasks. We also describe investigators' use of and challenges with existing OSINT tools and technologies. Finally, we conclude with a discussion on supporting investigators with tools that can adapt to their different needs and investigation types and making investigations more social.

У роботі розглянуті аспекти розробки програмного продукту, який дає змогу виконувати інформаційний пошук серед даних з урахуванням семантичних зв’язків. Метою роботи є створення програмного продукту, який дозволить виконувати ефективний інформаційний пошук, та може бути використаний в сфері OSINT. Для досягнення мети створено систему збереження даних з відкритих джерел інтернету, інтегровано пошукову систему для забезпечення ефективного інформаційного пошуку та протестовано програмний продукт на реальних даних.
The paper considers aspects of software product development, which allows to perform information retrieval among data taking into account semantic connections. The purpose of the work is to create a software product that will perform an effective information search, and can be used in the field of OSINT. To achieve this goal, a system for storing data from open Internet sources was created, a search engine was integrated to ensure effective information retrieval, and a software product was tested on real data.
В работе рассмотрены аспекты разработки программного продукта, который позволяет выполнять информационный поиск среди данных с учетом семантических связей. Целью работы является создание программного продукта, который позволит выполнять эффективный информационный поиск, и может быть использован в сфере OSINT. Для достижения цели создана система хранения данных из открытых источников интернета, интегрировано поисковую систему для обеспечения эффективного информационного поиска и протестировано программное обеспечение на реальных данных.текущей позиции к одной из предоставленных. И все это представлено в виде системы идентификации нарушений ПДД.

Formée lors des premiers mois de la République islamique en avril 1979, le Corps des Gardiens de la Révolution, composé d'une constellation de milices révolutionnaires parfois rivales entre elles, doit assurer sa survie face aux différentes menaces qui l'entourent, qu'elles émanent des groupes contre-révolutionnaires, de l'armée conventionnelle (artesh), du Gouvernement provisoire (février-novembre 1979) puis du premier Président de la République Beni Sadr (février 1980-juin 1981). Pour cela, la jeune Légion créa durant la guerre Iran-Irak (1980-1988) une école historiographique fondée sur la Défense sacrée (Defāʿ-e moqaddas), qui désigne la défense iranienne du front et de l'arrière, érigée en armée divine pour combattre les troupes irakiennes. De cette historiographie de la Défense sacrée naquit un modèle, sur lequel la Légion s'appuie depuis les années 1980 pour former des institutions, une culture, une économie, une méthodologie scientifique et une doctrine militaire. Cette thèse propose de retracer l'histoire du modèle de la Défense sacrée depuis 1981 - date de création d'un département d'histoire de la Légion -, à partir des traces laissées par les données massives (Big Data). Construit autour de trois pans - l'histoire, l'économie et la guerre - ce travail ambitionne de montrer comment la Légion a puisé dans le récit de la Défense sacrée pour créer de nouveaux cadres normatifs en République islamique d'Iran, d'abord à travers sa politique culturelle puis à travers sa doctrine militaire pour penser la guerre douce (jang-e narm) et la guerre informationnelle. Faute d'accès direct au terrain pour la recherche académique, cette thèse d'histoire éclaire la richesse des sources numériques trouvées sur le Web et les réseaux sociaux, souvent inexplorées et pourtant essentielles pour restituer l'histoire du Corps des Gardiens de la Révolution, encore grandement méconnue dans l'historiographie des armées et de l'Iran. Soumises à différents traitements quantitatifs et qualitatifs, ces sources numériques font dans cette thèse l'objet d'une importante réflexion méthodologique en histoire, notamment sur l'utilisation des traitements automatiques de données
Created during the first months of the Islamic Republic in April 1979, the Revolutionary Guard Corps, made up of a constellation of revolutionary militias that were sometimes rivals among themselves, had to ensure its survival in the face of the various threats that surrounded it, whether emanating from counter-revolutionary groups, the conventional army (artesh), the Provisional Government (February-November 1979) or the first President of the Republic Beni Sadr (February 1980-June 1981). For this purpose, during the Iran-Iraq war (1980-1988), the young Legion created a historiographic school based on Sacred Defense (Defāʿ-e moqaddas), which designates the Iranian defense of the front and rear, set up by propaganda as a divine army to fight Iraqi troops. This historiography of the Sacred Defense gave rise to a model on which the Legion has based its institutions, culture, economy, scientific methodology and military doctrine since the 1980s. This thesis retraces the history of the Sacred Defense model since 1981 - when a department of Legion history was created - using the traces left by Big Data. Built around three areas - history, economics and warfare - this work aims to show how the Legion has drawn on the Sacred Defense narrative to create new normative frameworks in the Islamic Republic of Iran, first through its cultural policy and then through its military doctrine for thinking about soft warfare (jang-e narm) and informational warfare. In the absence of direct access to the field for academic research, this history thesis sheds light on the wealth of digital sources found on the Web and social networks, which are often unexplored yet essential for reconstructing the history of the Revolutionary Guard Corps, still little-known in the historiography of contemporary armies and Iran. Subjected to various quantitative and qualitative treatments, these digital sources are the subject of considerable methodological reflection in this thesis, notably on the use of automatic data processing

Il numero di cyber attacchi, che ogni anno colpiscono non solamente le aziende ma più in generale chiunque possa collegarsi ad Internet, è in costante aumento. Da qui la necessità sempre più urgente di dotarsi di sistemi di sicurezza adeguati per proteggere i propri dati. Da qui gli ingenti capitali che vengono investiti annualmente nel settore della cybersecurity dalle grandi organizzazioni. Gli strumenti di difesa più utilizzati (firewall, antivirus e IDS) presentano tuttavia grossi limiti e possono essere superati con relativa facilità. Negli ultimi anni stanno perciò prendendo piede nuovi approcci basati sulla threat intelligence che tramite la condivisione di informazioni su minacce note cercano di rilevare e prevenire gli attacchi prima che questi possano colpire. Generalmente si tratta di metodi piuttosto semplici che si limitano a segnalare che un host si è collegato ad un certo IP, ha risolto un determinato DNS, ha scaricato un file con uno specifico hash e così via, metodi che nella pratica non risultano di poi così grande utilità né per le aziende né per i privati. Il progetto realizzato per questa tesi si pone l'obiettivo di estendere l'approccio tradizionale, cercando di proporre nuovi modi di utilizzare le informazioni di intelligence e introducendo il concetto di relazione tra indicatori, lasciando la porta aperta a tanti altri possibili sviluppi.

In light of the emergence of social media, and its abundance of facial imagery, facial recognition finds itself useful from an Open Source Intelligence standpoint. Images uploaded on social media are likely to be filtered, which can destroy or modify biometric features. This study looks at the recognition effort of identifying individuals based on their facial image after filters have been applied to the image. The social media image filters studied occlude parts of the nose and eyes, with a particular interest in filters occluding the eye region. Our proposed method uses a Residual Neural Network Model to extract features from images, with recognition of individuals based on distance measures, based on the extracted features. Classification of individuals is also further done by the use of a Linear Support Vector Machine and XGBoost classifier. In attempts to increase the recognition performance for images completely occluded in the eye region, we present a method to reconstruct this information by using a variation of a U-Net, and from the classification perspective, we also train the classifier on filtered images to increase the performance of recognition. Our experimental results showed good recognition of individuals when filters were not occluding important landmarks, especially around the eye region. Our proposed solution shows an ability to mitigate the occlusion done by filters through either reconstruction or training on manipulated images, in some cases, with an increase in the classifier’s accuracy of approximately 17% points with only reconstruction, 16% points when the classifier trained on filtered data, and  24% points when both were used at the same time. When training on filtered images, we observe an average increase in performance, across all datasets, of 9.7% points.

Nous modélisons une chaîne de traitement de documents comme un processus de décision markovien, et nous utilisons l’apprentissage par renforcement afin de permettre à l’agent d’apprendre à construire des chaînes adaptées à la volée, et de les améliorer en continu. Nous construisons une plateforme qui nous permet de mesurer l’impact sur l’apprentissage de divers modèles, services web, algorithmes, paramètres, etc. Nous l’appliquons dans un contexte industriel, spécifiquement à une chaîne visant à extraire des événements dans des volumes massifs de documents provenant de pages web et d’autres sources ouvertes. Nous visons à réduire la charge des analystes humains, l’agent apprenant à améliorer la chaîne, guidé par leurs retours (feedback) sur les événements extraits. Pour ceci, nous explorons des types de retours différents, d’un feedback numérique requérant un important calibrage, à un feedback qualitatif, beaucoup plus intuitif et demandant peu, voire pas du tout, de calibrage. Nous menons des expériences, d’abord avec un feedback numérique, puis nous montrons qu’un feedback qualitatif permet toujours à l’agent d’apprendre efficacement
Information extraction (IE) is defined as the identification and extraction of elements of interest, such as named entities, their relationships, and their roles in events. For example, a web-crawler might collect open-source documents, which are then processed by an IE treatment chain to produce a summary of the information contained in them.We model such an IE document treatment chain} as a Markov Decision Process, and use reinforcement learning to allow the agent to learn to construct custom-made chains ``on the fly'', and to continuously improve them.We build a platform, BIMBO (Benefiting from Intelligent and Measurable Behaviour Optimisation) which enables us to measure the impact on the learning of various models, algorithms, parameters, etc.We apply this in an industrial setting, specifically to a document treatment chain which extracts events from massive volumes of web pages and other open-source documents.Our emphasis is on minimising the burden of the human analysts, from whom the agent learns to improve guided by their feedback on the events extracted. For this, we investigate different types of feedback, from numerical rewards, which requires a lot of user effort and tuning, to partially and even fully qualitative feedback, which is much more intuitive, and demands little to no user intervention. We carry out experiments, first with numerical rewards, then demonstrate that intuitive feedback still allows the agent to learn effectively.Motivated by the need to rapidly propagate the rewards learnt at the final states back to the initial ones, even on exploration, we propose Dora: an improved version Q-Learning

The aim of this study is to examine if social media has a negative impact on how womenperceive their own body image. The study was conducted by a quantitative survey usingquestionnaires to examine the various factors that affect the perceived body image. Such ashow women socially compare themselves with others or how satisfied they are with theirbody depending on how much time they spend on social media. We will also investigate ifwomen’s perceived body image is consistent with the their actual body based upon theirBMI. The sample for the study consisted of 159 women who are members of a specificFacebook group. The material was analyzed with support from Festinger’s theory of socialcomparison and Cooley’s glass-self theory among others. The results show that high use ofsocial media affects women’s satisfaction with how they look negatively compared withthose who use social media to a low degree. It also shows that women who spend a lot oftime on social media tend to compare themselves with other more widely and tend to beunhappier with their body. On the other hand, we could not see any correlation between theuse of social media and women’s perception of their actual body.
Syftet med studien är att undersöka om sociala medier har en negativ påverkan på hurkvinnor uppfattar sin egen kroppsbild. Studien genomfördes av en kvantitativ undersökningmed hjälp av enkäter för att undersöka de olika faktorerna som påverkar den uppfattadekroppsbilden. Såsom hur kvinnor jämför sig med andra eller hur nöjda de är med sin kroppberoende på hur mycket tid de spenderar på sociala medier. Vi kommer likaså undersöka omkvinnors uppfattade kroppsbild överensstämmer med deras faktiska kropp baserat på derasBMI. Urvalet för studien bestod av 159 kvinnor som är medlemmar i facebookgruppen Pinkroom. Materialet analyserades med bland annat stöd av Festingers teori om social jämförelseoch Cooleys teori om spegeljaget. Resultaten visar att vid hög användning av sociala medierpåverkas kvinnornas tillfredsställelse med kroppen i jämförelse med dem som användersociala medier i liten utsträckning. Det visar också att kvinnor som spenderar mycket tid påsociala medier tenderar att jämföra sig med andra i större utsträckning och att dem tenderaratt vara mer missnöjda med sin kropp.

Forskningen i den här uppsatsen handlar om samekvinnor, en grupp kvinnor som kan ses som en glömd kategori i den pågående genusdiskussionen i Sverige. Utgångspunkten för uppsatsen är huvudfrågan: kan samekvinnor ses som dubbelt diskriminerade utifrån ett intersektionellt perspektiv, genom att tillhöra de marginaliserade grupperna kvinna och ursprungsbefolkning? Den anförda teorin i uppsatsen, intersektionellt perspektiv, problematiserar runt olika aspekters interaktion med varandra och inverkan på det upplevda och behovet av hjälp. Metoden som används är kvalitativ intervjumetod. Intentionen är att belysa samekvinnors situation som kvinna och ursprungsbefolkning och explicit i kontexten våld i hemmets sfär som ett exempel på den dubbla diskriminering samekvinnor utsatts och utsätts för. På grund av bristande engagemang från svenska staten när det gäller samekvinnor, saknas det en förståelse för kulturella aspekter som kan ha inverkan vid uppbrottsprocessen. Slutsatsen efter problematiseringen runt frågeställningarna är att samekvinnor är dubbelt diskriminerade både som kvinnor och som ursprungsbefolkning i kontexten våld i hemmets sfär.
The research in this essay is about Sami women, a group of women that could be recognised as a forgotten category in the ongoing discussion in Sweden about gender. The starting point for the essay is accordingly: could Sami women be seen as double discriminated from an intersectional point of view, considering that they belong to the marginalised groups women and indigenous people? The plead theory for this essay, intersectional perspective problemize around interaction between different aspects and their influence on experience and need for help. Applied method is qualitative interview method. The intention is to show the situation for Sami women as women and indigenous people explicit in the context of domestic violence as an example of the double discrimination they have been and are put through. Due in absence of commitment from the Swedish authorities considering Sami women, there are lacking comprehension about the cultural aspects that can have influence on the leaving process. Conclusion is after problemizing around the issue that Sami Women is double discriminated both as women and as indigenous people in the context of domestic violence.

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2019
The Impact of cyber-attacks and its cost has become a top priority for most organizations. To more aptly protect themselves, organizations are moving from reactive to proactive defensive measures, investing in cyber threat intelligence (CTI) to provide them forewarning about the risks they face, as well as to accelerate their response times in the detection of attacks. One means to obtain CTI is the collection of open source intelligence (OSINT) feeds via threat intelligence platforms and their representation as indicators of compromise (IoC). However, most of these platforms are providing threat information with little to no processing. This Situation increases the pressure on security analysts who, already faced with the arduous task of sorting through the multitude of alerts originating from their networks must also sort this additional flow of data to find relevant intelligence.This dissertation proposes an architecture to generate threat intelligence of quality in the form of new intelligence is obtained by correlating IoCs coming from different OSINT feeds that contain information on the same threat, aggregation them into clusters, and then representing the threat information contained within those clusters in a single enriched IoC. This dissertation first offers an overview of the use of CTI, methodologies, and technologies used, before proposing an architecture focused on a clustering approach, for which two methods are introduced, the naïve and the n-level aggregation. It then describes the implementation of this architecture and its validation. The proposal was implemented in a prototype confirmed with 34 OSINT feeds, which allowed the creation of enriched IoCs that may enable the identification of cyber-attacks not previously possible by analyzing the received IoCs individually.

Nowadays, the World Wide Web (WWW) is simultaneously an accumulator and a provider of huge amounts of information, which is delivered to users through news, blogs, social networks, etc. The exponential growth of information is a major challenge for the community in general, since the frequent demand and correlation of news becomes a repetitive task, potentially tedious and prone to errors. Although information scrutiny is still performed manually and on a regular basis by most people, the emergence of Open-Source Intelligence (OSINT) systems in recent years for monitoring, selection and extraction of textual information from social networks and the Web promise to change the life of some of them. These systems are now very popular and useful tools for professionals from different areas, such as the cyber-security community, where being updated with the latest news and trends can lead to a direct impact on threat response. This work aims to address the previously motivated problem through the implementation of a dynamic OSINT system. For this system, two algorithms were developed: one to dynamically add, remove and rate user accounts with relevant tweets in the computer security area; and another one to classify the publications of those users. The relevance of a user depends not only on how frequently he publishes, but also on his importance (status) in the social network, as well as on the relevance of the information published by him. Text mining functions are proposed herein to achieve the objective of measuring the relevance of text segments. The proposed approach is innovative, involving dynamic management of the relevance of users and their publications, thus ensuring a more reliable and important source of information framework. Apart from the algorithms and functions on which they were build (which were also proposed in the scope of this work), this dissertation describes several experiments and tests used in their evaluation. The qualitative results are very interesting and demonstrate the practical usefulness of the approach. In terms of human-machine interface, a mural of information, generated dynamically and automatically from the social network Twitter, is provided to the end-user. In the current version of the system, the mural is presented in the form of a web page, highlighting the news by its relevancy (red for high relevance, yellow for moderate relevance, and green for low relevance). The main contributions of this work are the two proposed algorithms and their evaluation. A fully working prototype of a system with their implementation, along with a mural for showing selected news, is another important output of this work.
Atualmente, a World Wide Web (WWW) fornece aos utilizadores enormes quantidades de informação sob os mais diversos formatos: notícias, blogs, nas redes sociais, entre outros. O crescimento exponencial desta informação representa um grande desafio para a comunidade em geral, uma vez que a procura e correlação frequente de notícias acaba por se tornar numa tarefa repetitiva, potencialmente aborrecida e sujeita a erros. Apesar da maioria das pessoas ainda fazer o escrutínio da informação de forma manual e regularmente, têm surgido, nos últimos anos, sistemas Open-Source Intelligence (OSINT) que efetuam a vigilância, seleção e extração de informação textual, a partir de redes sociais e da web em geral. Estes sistemas são hoje ferramentas muito populares e úteis aos profissionais de diversas áreas, como a da cibersegurança, onde estar atualizado com as notícias e as tendências mais recentes pode levar a um impacto direto na reação a ameaças. O objetivo deste trabalho passa pela tentativa de solucionar o problema motivado anteriormente, através da implementação de um sistema dinâmico OSINT. Para este sistema foram desenvolvidos dois algoritmos: um para adicionar, remover e classificar, dinamicamente, contas de utilizadores com tweets relevantes na área da segurança informática e outro para classificar as publicações desses utilizadores. A relevância de um utilizador depende não só da sua frequência de publicação mas também da sua importância (status) na rede social, bem como a relevância da informação publicada. Neste último ponto, são propostas funções de prospeção de texto que permitem medir a relevância de segmentos de texto. A abordagem proposta é inovadora, envolvendo gestão dinâmica da relevância dos utilizadores e das suas publicações, garantindo assim um quadro de fonte de informação mais fidedigna e importante. Para além dos algoritmos e das funções que os compõem (também propostas no contexto deste trabalho), esta dissertação descreve várias experiências e testes usados na sua avaliação. Os resultados qualitativos constatados são pertinentes, denotando uma elevada utilidade prática. Em termos de interface homem-máquina, é disponibilizado um mural de informação contínua que vai sendo gerado dinâmica e automaticamente, a partir da rede social Twitter, e apresentado sob a forma de uma página web, destacando as notícias apresentadas pelo grau de relevância que possuem (vermelho para relevância elevada, amarelo para relevância moderada e verde para relevância reduzida). As contribuições principais deste trabalho compreendem os dois algoritmos propostos e a sua avaliação. Um protótipo totalmente funcional de um sistema que os implementa, acompanhado pelo mural que mostra as notícias selecionadas, constituem outro resultado importante do trabalho.

The main objective of this thesis is to improve the efficiency of security operations centersthrough the articulation of different publicly open sources of security related feeds. This ischallenging because of the different abstraction models of the feeds that need to be madecompatible, of the range of control values that each data source can have and that will impactthe security events, and of the scalability of computational and networking resources that arerequired to collect security events.Following the industry standards proposed by the literature (OSCP guide, PTES andOWASP), the detection of hosts and sub-domains using an articulation of several sources isregarded as the first interaction in an engagement. This first interaction often misses somesources that could allow the disclosure of more assets. This became important since networkshave scaled up to the cloud, where IP address range is not owned by the company, andimportant applications are often shared within the same IP, like the example of Virtual Hoststo host several application in the same server.We will focus on the first step of any engagement, the enumeration of the target network.Attackers often use several techniques to enumerate the target to discover vulnerable services.This enumeration could be improved by the addition of several other sources and techniquesthat are often left aside from the literature. Also, by creating an automated process it ispossible for security operation centers to discover these assets and map the applicationsin use to keep track of said vulnerabilities using OSINT techniques and publicly availablesolutions, before the attackers try to exploit the service. This gives a vision of the Internetfacing services often seen by attackers without querying the service directly evading thereforedetection. This research is in frame with the complete engagement process and should beintegrate in already built solutions, therefore the results should be able to connect to additionalapplications in order to reach forward in the engagement process.By addressing these challenges we expect to come in great aid of sysadmin and securityteams, helping them with the task of securing their assets and ensuring security cleanlinessof the enterprise resulting in a better policy compliance without ever connecting to the clienthosts.

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2017
Nos últimos anos, face ao aumento em quantidade e em complexidade de ataques informáticos contra diversas organizações, tem-se verificado um crescimento elevado no investimento em plataformas de segurança informática nas infra-estruturas das organizações. As equipas com a responsabilidade de garantir a cibersegurança necessitam de monitorizar um vasto número de dispositivos, utilizadores, aplicações e, consequentemente, eventos de cibersegurança relacionados com esses elementos. A plataforma mais utilizada para monitorizar os eventos de segurança informática é o sistema de Gestão e Correlação de Eventos de Segurança (SIEM, do inglês Security Information and Event Management). Este sistema agrega toda a informação de segurança proveniente de diversas fontes, normaliza-a, enriquece-a e envia-a para uma consola centralizada de gestão. A eficiência e a eficácia das equipas de resposta a incidentes de segurança dependem em grande medida da capacidade de o sistema produzir uma alarmística detalhada e contextualizada sobre possíveis ameaças. Para melhorar essa capacidade é necessário conjugar indicadores externos relevantes com a informação recolhida na infra-estrutura da organização. Threat Intelligence (TI) é o conhecimento adquirido da conjugação das técnicas de recolha de informação sobre ameaças externas à organização e das técnicas de recolha de informação sobre factores de segurança internos das organizações. É necessário estar atento às fontes públicas de informação de cibersegurança e avaliar a sua qualidade para obter indicadores fidedignos sobre actividades maliciosas. A organização necessita de avaliar o seu nível de cibersegurança para identificar as vulnerabilidades existentes, antes que estas possam ser exploradas por agentes mal intencionados. Somente com o recurso a fontes de informação, internas e externas, é possível ter uma abordagem TI abrangente e aplicar as medidas de cibersegurança adequadas para evitar os ciberataques aos quais a organização possa estar vulnerável. Para uma organização estabelecer correctamente o seu nível de cibersegurança, é necessário realizar uma gestão de risco adequada. A gestão de risco é caracterizada por três etapas, todas interligadas e contínuas: análise do risco, avaliação do risco e controlo do risco. No fim do processo, a organização terá um conhecimento credível sobre o seu risco informático, tendo um bom suporte para as tomadas de decisão no que respeita a reestruturações e investimentos em segurança informática. As métricas de segurança são a ferramenta mais indicada para o processo de gestão de risco. Estas ajudam a determinar o estado de cibersegurança no qual a organização se encontra, o desempenho da equipa do Centro de Operações de Segurança (SOC, do inglês Security Operation Center), e o nível de segurança das infra-estruturas da organização. As entidades governamentais e militares foram as primeiras a utilizar as métricas de segurança. No entanto, recentemente, investigadores de diversos tipos de organizações (públicas, privadas e público-privadas), têm investido recursos para melhorar e implementar estas métricas nas suas organizações. Toda esta atenção dada às métricas de segurança deve-se ao resultado evidente da sua implementação:é possível medir o risco, classificá-lo e, finalmente, tomar as contramedidas adequadas para reduzir o impacto de possíveis ciberataques, aumentando a cibersegurança na organização. Contudo é necessário estabelecer os objectivos e o propósito das métricas de segurança. Muitas equipas de cibersegurança cometem o erro de criar métricas que são complexas, fora do contexto, e expressam resultados com valores irrealistas. O resultado desta má gestão das métricas de segurança é oposto do pretendido, providenciando má informação e, consequentemente, diminuindo a cibersegurançaa de uma organização. A visualização dos resultados das métricas é o último passo da criação de métricas e tem como finalidade fornecer informação de uma forma ilustrativa, com recurso a formatos de fácil leitura e compreensão. As visualizações ajudam a equipa responsável pela cibersegurança de uma organização a visualizar de imediato informações relativas ao nível de cibersegurança dos sistemas e o risco de cada activo. As visualizações permitem à equipa avaliar e responder, de uma forma quantitativa e qualitativa, às perguntas colocadas pela direcção executiva, tais como: qual o nível de segurança, qual o valor de risco na organização, qual o retorno financeiro dos investimentos feitos para melhorar a segurança informática na organização ou mesmo para justificar a permanência, redução ou aumento de equipamentos e equipas de ciberseguranc¸a. Para além do mecanismo de descoberta de informação interna, o Open Source Intelligence (OSINT) é considerado o mecanismo para a captura de informação externa a partir de fontes online. Com um conjunto de técnicas é possível capturar a informação relevante para o conhecimento sobre ciberameaças. Existem comunidades de cibersegurança cujo objectivo é publicar listas com informações sobre novos ciberataques, que normalmente contêm informações sobre anfitriões suspeitos ou conteúdos maliciosos. Estas listas, as listas negras, podem ser públicas, quando qualquer pessoa pode aceder à sua informação, ou privadas, restringindo o uso das listas a um determinado grupo ou comunidade. Apesar de as listas oferecerem uma informação valiosa sobre ciberameaças actuais, estas sem qualquer tipo de pré-processamento, podem gerar um número significativo de falsos positivos, devido à ausência de contextualização e alinhamento com a realidade da organização. Este trabalho é dividido por dois tópicos: métricas de segurança e listas negras confiáveis. Para cada tópico são descritas soluções para melhorar o estado de segurança numa organização, ao integrar o processo TI em tempo-real no SIEM. Esta integração pode ser materializada na utilização de métricas de segurança para análise do estado de segurança na organização e fontes de segurança com informação sobre endereços IP suspeitos de actividades maliciosas com consideração das operações da equipa do SOC sobre incidentes de segurança, com o recurso a métricas. A utilização directa das listas negras, sem qualquer tipo de pré-processamento, resulta num elevado número de falsos positivos, pela ausência de contextualização e alinhamento com a realidade da organização. O trabalho está inserido no projecto DiSIEM e resulta da colaboraçãao de dois dos parceiros do projecto, Faculdade de Ciências da Universidade de Lisboa e EDP – Energias De Portugal, SA. Os objectivos alinham-se com as metas do projecto DISIEM: 1) fornecer informações OSINT para um sistema SIEM, melhorando a sua detecção e prevenção de novas ameac¸as; 2) identificar e desenvolver um conjunto de métricas dedicadas à equipa de cibersegurança para uma melhor gestão e monitorização dos eventos de segurança para aumentar o estado de segurança na organização, consequentemente, reduzindo o risco de actividades maliciosas na organização. A dissertação apresenta e discute um conjunto de métricas com uma estrutura bem definida para serem aplicadas no sistema SIEM. Estas métricas cobrem os sectores de gestão, processos e tecnologia, e estão apropriadas para a realidade da equipa de cibersegurança. É introduzido protótipos para visualização dos resultados das métricas, incluindo dados históricos, possibilitando assim uma avaliação comparativa de eficiência. O trabalho propõe uma solução OSINT para aperfeiçoar a alarmística do sistema SIEM, reduzindo a taxa de falsos positivos, com base na avaliação do nível de confiança em fontes de informação públicas, e dessa forma contribuir para a eficiência das equipas de cibersegurança nas organizações que usam o sistema SIEM. Esta solução usa listas negras que identificam endereços de Protocolo de Internet (IP do inglês Internet Protocol) suspeitos de actividade maliciosa. A informação pode ser sobre sua maliciosidade, o número de denúncias (efectuadas por comunidades ou outras listas negras), número de ataques aos quais o endereço IP esteve associado, a última vez que foi denunciado, entre outros. As listas negras são úteis para serem utilizadas no sistema SIEM, para a monitorização de comunicações entre a organização e um IP suspeito. Assim, quando houver um alarme de uma comunicação suspeita, a equipa do SOC pode actuar de forma imediata e analisar os eventos para identificar a máquina, pedir uma análise local e eliminar a ameaça, caso seja detectada. A solução recolhe informação sobre endereços IP de um conjunto de listas públicas. Os endereços IP e as listas são avaliadas quanto à sua veracidade, com base na correlação da informação recolhida a partir das listas e com base em métricas sobre o resultado dos incidentes associados a comunicações suspeitas entre a organização e endereços IP das listas. Esta avaliação é realizada de forma constante, sempre que exista uma alteração nas listas públicas ou nos incidentes, para que os seus valores sejam os mais actualizados e precisos. Foi desenvolvida uma aplicação para administrar as listas negras utilizadas, os endereços IP, os casos da organização e endereços públicos da organização. São apresentadas regras do SIEM que seleccionam os endereços IP recolhidos das listas negras com base na reputação dada pela avaliação da sua veracidade, para a monitorização de comunicações entre a organização e os endereços IP suspeitos. Os resultados mostram que há um aumento de detecção de casos positivos com a utilização da solução proposta. Este aumento deve-se ao uso de informação interna dos incidentes, tratados pela equipa do SOC, como parâmetros de avaliação da confiabilidade das listas negras e dos endereços IP. Dois componentes que se destacam como parâmetros de avaliação da confiabilidade é o componente da precisão e o componente da persistência. O componente da precisão tem em conta os resultados da organização e aumenta a confiabilidade de um endereço IP ou de uma lista caso o número de resultados positivos dos casos de incidentes relacionados com o IP seja superior ou número de resultados falsos positivos. A persistência tem em conta a precisão e a denúncia de um endereço IP por parte das listas, para o guardar na nossa lista durante três meses. A avaliação da lista negra e do seu conteúdo considerando o ambiente da organização é uma solução que não foi apresentada por nenhum outro trabalho, e o mais semelhante é o uso de métricas ou recolha de informação com o uso do conceito OSINT, sem avaliação do conteúdo com base na informação da organização. Sendo um trabalho inovador, este ainda se encontra na sua fase primordial. Os resultados do nosso estudo servirão como base para melhorias e comparação de resultados de estudos posteriores para melhoria na avaliação da confiabilidade das listas públicas e da maliciosidade do seu conteúdo.
Threat Intelligence (TI) is a cyber defence process that combines the use of internal and external information discovery mechanisms. The Security Information and Event Management (SIEM) system is the tool typically used to aggregate data from multiple sources, normalize, enrich and send it to a centralized management console, later used by the security operation team (SOC). However, it is necessary to use Security Metrics (SM) to summarize, calculate and provide valuable information to the SOC team from the large datasets collected in the SIEM. Although the SM provide valuable information, its erroneous creation or use could lead to the opposite goal and decreasing the security level, by generating false positives. Regarding the external information discovery, the information from blacklists is commonly used to monitor and/or to block external cyberthreats. The blacklists provide intelligence about suspicious Internet Protocol (IP) addresses, reported by communities and security organizations. Although the use of blacklists is commonly used to detect suspicious communications, it generates a high rate of false positives. We introduce a set of security metrics, well-structured and properly defined to be used with a SIEM system. We develop a solution with Open-Source Intelligence (OSINT) mechanism to discover and collect suspicious IP from public blacklists, a process to assess the reputation of the suspicious IP addresses and blacklists, considering the persistence of the IP and the organization’s incidents of communications with suspicious IP addresses. The IP are inserted in the SIEM with rules to monitor and aiming at reducing the number of false positives. The preliminary study in a real environment shows that the proposed solution improves the security effectiveness of the SIEM’s alerts due the innovations idea of assessing the IP and blacklists by using the persistence and precision components, and considering the organization’s incidents status.

Tese de mestrado em Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020
As ameaças cibernéticas atuais utilizam múltiplos meios de propagação, tais como a engenharia social, vulnerabilidades de e-mail e aplicações e, muitas vezes, operam em diferentes fases, tais como o comprometimento de um único dispositivo, o movimento lateral na rede e a exfiltração de dados. Estas ameaças são complexas e dependem de táticas bem avançadas, por forma a passarem despercebidas nas defesas de segurança tradicionais, como por exemplo firewalls. Um tipo de ameaças que tem tido um impacto significativo na ascensão do cibercrime são as ameaças persistentes avançadas (APTs), as quais têm objetivos claros, são altamente organizadas, têm acesso a recursos praticamente ilimitados e tendem a realizar ataques ocultos por longos períodos e com múltiplas tentativas. À medida que as organizações têm tido consciência que os ciberataques estão a aumentar em quantidade e complexidade, a utilização de informação sobre ciberameaças está a ganhar popularidade para combater tais ataques. Esta tendência tem acompanhado a evolução das APTs, uma vez que estas exigem um nível de resposta diferente e mais específico a cada organização. A informação sobre ciberameaças pode ser obtida de diversas fontes e em diferentes formatos, sendo a informação de fonte aberta (OSINT) uma das mais comuns. Também pode ser obtida por plataformas especificas de ameaças (TIPs) que ajudam a consumir, produzir e partilhar informações sobre ciberameaças. As TIPs têm múltiplas vantagens que permitem às organizações explorar facilmente os principais processos de recolha, enriquecimento e partilha de informações relacionadas com ameaças. No entanto, devido ao elevado volume de informação OSINT recebido por dia e às diversas taxonomias existentes para classificação de ciberameaças provenientes do OSINT, as TIPs atuais apresentam limitações de processamento desta, capaz de produzir informação inteligente (threat intelligence, TI) de qualidade que seja útil no combate de ciberataques, impedido assim a sua adoção em massa. Por sua vez, os analistas de segurança desperdiçam um tempo considerável em analisar o OSINT e a classificá-lo com diferentes taxonomias, por vezes, correspondentes a ameaças da mesma categoria. Esta dissertação propõe uma solução, denominada Automated Event Classification and Correlation Platform (AECCP), para algumas das limitações das TIPs mencionadas anteriormente e relacionadas com a gestão do conhecimento de ameaças, a triagem de ameaças, o elevado volume de informação partilhada, a qualidade dos dados, as capacidades de análise avançadas e a automatização de tarefas. Esta solução procura aumentar a qualidade da TI produzidas por TIPs, classificando-a em conformidade com um sistema de classificação comum, removendo a informação irrelevante, ou seja, com baixo valor, enriquecendo-a com dados importantes e relevantes de fontes OSINT, e agregando-a em eventos com informação semelhante. O sistema de classificação comum, denominado de Unified Taxonomy, foi definido no âmbito desta dissertação e teve como base uma análise de outras taxonomias públicas conhecidas e utilizadas na partilha de TI. O AECCP é uma plataforma composta por componentes que podem trabalhar em conjunto ou individualmente. O AECCP compreende um classificador (Classifier), um redutor de informação irrelevante (Trimmer), um enriquecedor de informação baseado em OSINT (Enricher) e um agregador de agregador de eventos sobre a mesma ameaça, ou seja, que contêm informação semelhante (Clusterer). O Classifier analisa eventos e, com base na sua informação, classifica-os na Unified Taxonomy, por forma a catalogar eventos ainda não classificados e a eliminar a duplicação de taxonomias com o mesmo significado de eventos previamente classificados. O Trimmer elimina a informação menos pertinente dos eventos baseando-se na classificação do mesmo. O Enricher enriquece os eventos com dados externos e provenientes de OSINT, os quais poderão conter informação importante e relacionada com a informação já presente no evento, mas não contida no mesmo. Por último, o Clusterer agrega eventos que partilham o mesmo contexto associado à classificação de cada um e à informação que estes contêm, produzindo aglomerados de eventos que serão combinados num único evento. Esta nova informação garantirá aos analistas de segurança o acesso e fácil visibilidade a informação relativa a eventos semelhantes aos que estes analisam. O desenho da arquitetura do AECCP, foi fundamentado numa realizada sobre três fontes públicas de informação que continham mais de 1100 eventos de ameaças de cibersegurança partilhados por 24 entidades externas e colecradas entre os anos de 2016 e 2019. A Unified Taxonomy utilizada pelo Classifier, foi produzida com base na análise detalhada das taxonomias utilizadas por estes eventos e nas taxonomias mais utilizadas na comunidade de partilha de TI sobre ciberameaças. No decorrer desta análise foram também identificados os atributos mais pertinentes e relevantes para cada categoria da Unified Taxonomy, através da agregação da informação em grupos com contexto semelhante e de uma análise minuciosa da informação contida em cada um dos mais de 1100 eventos. A dissertação, também, apresenta os algoritmos utilizados na implementação de cada um dos componentes que compõem o AECCP, bem como a avaliação destes e da plataforma. Na avaliação foram utilizadas as mesmas três fontes de OSINT utilizadas na análise inicial, no entanto, com 64 eventos criados e partilhados mais recentemente que os utilizados nessa análise. Dos resultados, foi possível verificar um aumento de 72% na classificação dos eventos, um aumento médio de 54 atributos por evento, com uma redução nos atributos com pouco valor e aumento superior de atributos com maior valor, após os eventos serem processados pelo AECCP. Foi também possível produzir 24 eventos agregados, enriquecidos e classificados pelos outros componentes do AECCP. Por último, foram processados pelo AECCP 6 eventos com grande volume de informação produzidos por uma plataforma externa, denominada de PURE, onde foi possível verificar que o AECCP é capaz de processar eventos oriundos de outras plataformas e de tamanho elevando. Em suma, a dissertação apresenta quatro contribuições, nomeadamente, um sistema de classificação comum, a Unified Taxonomy, os atributos mais pertinentes para cada uma das categorias da Unified Taxonomy, o desenho da arquitetura do AECCP composto por 4 módulos (Classifier, Trimmer, Enricher e Clusterer) que procura resolver 5 das limitações das atuais TIPs (gestão do conhecimento de ameaças, a triagem de ameaças, o elevado volume de informação partilhada, a qualidade dos dados e as capacidades de análise avançadas e a automatização de tarefas) e a sua implementação e avaliação.
Today’s threats use multiple means of propagation, such as social engineering, email, and application vulnerabilities, and often operate in different phases, such as single device compromise, network lateral movement and data exfiltration. These complex threats rely on well-advanced tactics for appearing unknown to traditional security defences. One type that had a major impact in the rise of cybercrime are the advanced persistent threats (APTs), which have clear objectives, are highly organized and well-resourced and tend to perform long term stealthy campaigns with repeated attempts. As organizations realize that attacks are increasing in size and complexity, threat intelligence (TI) is growing in popularity and use amongst them. This trend followed the evolution of the APTs as they require a different level of response that is more specific to the organization. TI can be obtained via many formats, being open source intelligence (OSINT) one of the most common; and using threat intelligence platforms (TIPs) that aid organization consuming, producing and sharing TI. TIPs have multiple advantages that enable organisations to easily bootstrap the core processes of collecting, normalising, enriching, correlating, analysing, disseminating and sharing of threat related information. However, current TIPs have some limitations that prevents theirs mass adoption. This dissertation proposes a solution to some of these limitations related with threat knowledge management, limited technology enablement in threat triage, high volume of shared threat information, data quality and limited advanced analytics capabilities and tasks automation. Overall, our solution improves the quality of TI by classifying it accordingly a common taxonomy, removing the information with low value, enriching it with valuable information from OSINT sources, and aggregating it into clusters of events with similar information. This dissertation offers a complete data analysis of three OSINT feeds and the results that made us to design our solution, a detailed description of the architecture of our solution, its implementations and its validation, including the processing of events from other academic solutions.

Trabalho de projecto de mestrado, Engenharia Informática (Arquitetura, Sistemas e Redes de Computadores) Universidade de Lisboa, Faculdade de Ciências, 2019
As novas ameaças surgem permanentemente, atormentando a nova era tecnológica. A cada uma delas, estão inerentes características específicas, bastante variadas entre si, tal como formas distintas de comportamento. Cada comportamento e característica de uma ameaça possuí indicadores associados a ele e são chamados de Indicators of Compromise (IOCs) que podem ser IPs, domínios, hashes, entre outras. Os IOCs são considerados artefactos forenses e são utilizados como sinal de que um sistema foi comprometido ou infetado por um determinado software malicioso. Assim, é necessário que haja exatidão na recolha de informação para encontrar diferentes IOCs. Deste modo, é importante a existência de standards e de plataformas autónomas para a partilha e recolha de informação de cyber segurança de forma a ajudar as organizações a tornarem-se cada vez mais resilientes a novas ameaças. As plataformas autónomas atualmente existentes para a recolha e análise de indicadores são sistemas ainda muito independentes entre si, o que dificulta a automatização do processo na integração com as plataformas de Security Information and Event Management (SIEM) para a correlação de eventos. A existência de um sistema de Threat Intel capaz de recolher vários indicadores de diferentes fontes abertas (Open Source Intelligence ou OSINT) e de análises manuais internas dos analistas, é uma mais valia que facilita esta integração com diferentes infraestruturas/redes. Este projeto teve como base fundamental a plataforma Malware Intelligence Sharing Platform (MISP). O MISP funcionará como uma base de dados de indicadores, de forma a que a mesma seja consultada para a procura de IOCs, facilitando não só a prevenção, como também a fase de análise de um malware. Para além disso, na recolha de informação será usada informação real recolhida por inúmeras vias, entre elas: SIEM; Feeds OpenSource; e ferramentas internas à LAYER8, não esquecendo também as análises manuais que são de facto uma mais valia. Por último, na fase da análise de IOCs e com vista a automatizar este processo, será realizada uma combinação de vários sistemas de análise, na qual os mesmos serão ligados à plataforma MISP. Em suma, este projeto será assim um laboratório de análise de ameaças, recolha e partilha de IOCs, dando a estes um nível de confiança adequado para serem usados posteriormente.
There are constantly new threats surging, tormenting the new technological era. To each of these, there are inherent specific characteristic, which can widely vary from one another, as well as their distinctive behaviours. Each behaviour and characteristic of a threat carries associated indicators denominated Indicators of Compromise (IOCs) that can be IPs, domains, hashes, in-between others. The IOCs are considered forensic artefacts and used as a symbol that a system has been compromised or infected by a certain malicious software. Therefore, it is necessary that the data recovery is accurate so that different IOCs may be identified. In this way, the existence of standards and autonomous platforms to share and collect cyber security information in order to help organisations becoming more resilient to new threats, becomes crucial.The currently existent autonomous platforms for data collection and analysis of indicators are still very independent in between one another’s, which makes difficult the automatization of the process in the incorporation with the Security Information and Event Management (SIEM) platforms, to enable event correlation. The existence of a system of Threat Intel capable of collecting multiple indicators from different open sources (Open Source Intelligence ou OSINT) and of analysing internal manuals from analysts, is an added value that eases this integration with different infrastructures/networks. This project was fundamentally based on the Malware Intelligence Sharing Platform (MISP). The MSIP will work as a data base of indicators, in order to facilitate the same to be consulted for the search for IOCs. This will ease not only the prevention, as well as the analysis phase of a malware. Furthermore, the collection of information will use real data collected through numerous pathways, such as: SIEM; Feeds OpenSource; and LAYER8 internal tools, keeping in mind the manual analyses that are in themselves a plus. Lastly, during the analysis phase of the IOCs, and looking to automate this process, a combination of various analysis systems will be conducted, in which the mentioned will be connected to the MISP platform. Ultimately, this project will be a threat analysis laboratory, collecting and sharing IOCs, providing those with an adequate trust level to enable their future use.

У кваліфікаційній роботі розроблено інструмент для збору доступної корпоративної та особистої інформації з використанням OSINT методик. Інструмент для збору інформації надає можливість своїм користувачам проводити перевірку причетності електронних адрес до витоку даних та оцінити стан їх захищеності. Окрім цього, користувачі можуть знайти інформацію про домен будь якої організації та дізнатися, які сервіси використовуються доменом і на основі цього провести аналіз на наявність вразливостей. Сервіс реалізовано за допомогою інтеграцій в боті месенджера Telegram. Програмна реалізація виконана мовою програмування Python, з використанням API ефективних та прогресивних OSINT інструментів таких як IntelligenceX та BuildWith.
In the qualification work developed a tool for collecting available corporate and personal information using OSINT methods. The information collection tool allows users to check the involvement of email addresses in data leakage and assess their security state. In addition, users can find information about any organization`s domain and find out what services are used by the domain and based on this information – analyze for vulnerabilities. The service is implemented through integrations in the Telegram messenger bot. The tool is written on Python programming language with using APIs of effective and progressive OSINT services such as IntelligenceX and BuildWith.
ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ І СКОРОЧЕНЬ ...7 ВСТУП ..8 Розділ 1 АНАЛІЗ ПОНЯТТЯ ТА МЕТОДИК OSINT ...10 1.1 OSINT як частина системи кіберзахисту ... 10 1.2 OSINT інструменти та методики ...15 1.3 Аналіз відомих технічних рішень та програмних продуктів ... 22 1.4 Аналіз вимог до програмного забезпечення OSINT ...25 1.4.1 Розробка функціональних вимог ...25 1.4.2 Розробка нефункціональних вимог ...26 Розділ 2 МАТЕМАТИЧНЕ МОДЕЛЮВАННЯ ТА ПРОГРАМНА АВТОМАТИЗАЦІЯ OSINT ... 28 2.1 Моделювання математичного рішення ...28 2.2 Прогнозування загроз ..33 2.3 Архітектура API ...40 Розділ 3 РОЗРОБКА АВТОМАТИЗОВАНОЇ СИСТЕМИ OSINT ... 44 3.1 Реалізація та моделювання проектних рішень ....44 3.2 Тестування функціональних можливостей ...51 3.3 Конфігурація автоматизованої системи ...54 Розділ 4 БЕЗПЕКА ЖИТТЄДІЯЛЬНОСТІ, ОСНОВИ ОХОРОНИ ПРАЦІ ... 57 4.1 Значення адаптації в трудовому процесі .. 57 4.1.1 Фактори трудової адаптації ... 59 4.2 Підбирання оптимальних параметрів мікроклімату на робочих місцях ..60 4.3 Показники ефективності та заходи щодо покращенню умов та охорони праці ... 62 ВИСНОВОК ... 65 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ...67 ДОДАТОК А ... 70 ДОДАТОК Б ...72 ДОДАТОК В .. 74 ДОДАТОК Г ... 75

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2015
A OSINT é uma interminável fonte de informação valiosa, em qualquer que seja o contexto, no qual exista a necessidade de lidar com ameaças humanas e imprevisíveis. A segurança informática não é excepção a esta regra e o uso de informação proveniente de canais OSINT tem-se, como temos vindo a observar com o advento da Threat Intelligence, firmado como um componente fundamental. Propomo-nos, com este trabalho, a integrar este canal de valioso conhecimento no SIEM (um paradigma também indispensável da área) de uma forma automatizada, através de uma ferramenta/framework que visa estabelecer a fundação de um instrumento extensível para recolher e reduzir grandes quantidades de informação a conjuntos, utilizáveis e úteis, de valiosos dados e conhecimentos sobre ameaças. Essa ferramenta irá recolher dados e, servindo-se de uma técnica simplista de aprendizagem de máquinas supervisionada, refiná-los, garantindo que ao SIEM apenas é passada informação relevante. Por forma a validar os nossos esforços, providenciamos provas empíricas da aplicabilidade da nossa solução, em contexto prático e real, demonstrando, efectivamente, o poder de síntese, com base em feedback do utilizador, da nossa solução. Os nossos resultados apresentam bons indicadores de que a nossa abordagem é viável e que o nosso componente é capaz de reduzir e filtrar volumes significativos de informação de redes sociais a conjuntos, manuseáveis, de informação estratégica.
OSINT is a source of endlessly valuable information for all contexts that have to deal with unpredictable human threats. Computer Security is no exception to this idea and the use of OSINT for Threat Intelligence has been widely established as a fundamental component. We propose to integrate this channel of knowledge into a SIEM platform, a widely employed paradigm in the sector. We also aim to do it in an automated fashion, through a tool that tries to lay the groundwork of an extendable instrument to collect and reduce vast amounts of information to usable amounts of threat data. This tool retrieves data and, leveraging a simplistic supervised machine learning technique, refines it ensuring that the SIEM platform is to receive only relevant information. In order to validate our efforts we provide empirical evidence of the applicability of our solution, demonstrating, in practical context, its power for synthesizing information based on user-provided feedback. Our results reveal good evidence that our approach is a viable one and that our prototype is capable of reducing and filtering large volumes of social networking data, to manageable sets of intelligence.

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2017
A crescente evolução das tecnologias de informação e comunicação, aplicações e serviços fez com que, nos dias de hoje, o recurso a computadores e à comunicação entre eles se tornasse imprescindível para a realização de enumeras ações e de diversos fins, desde o acesso a dados até a transações financeiras. A par desta evolução, o cibercrime tem vindo a intensificar-se, tendo como intuito a apropriação ilícita de dados privados e de monetização. Os ataques informáticos atuais praticados no cibercrime são mais sofisticados, de tal forma que a sua deteção é cada vez mais difícil e os seus danos são cada vez mais devastadores. Este facto leva a que o cibercrime seja uma preocupação tanto para as empresas como para os profissionais de segurança informática. Um dos recursos utilizados para a concretização destes ataques são as botnets. As botnets são redes compostas por dispositivos vulneráveis (bots), tais como computadores, e controladas por entidades criminosas. A sua utilização permite o anonimato destas entidades durante os ataques. Para se protegerem destes ataques, as organizações utilizam mecanismos de defesa, tais como sistemas detetores de intrusões (SDI), no entanto, a sua eficácia na deteção destes ataques depende do conhecimento que estes contêm sobre as ameaças e da forma como as deteta, tornando obrigatório que os SDI sejam atualizados constantemente com conhecimento sobre novas ameaças. Este conhecimento pode ser obtido de diversas fontes de inteligência - Open Source Intelligence (OSINT) - públicas, as quais se encontram acessíveis em diversos locais na Internet. Esta dissertação apresenta uma solução para melhorar uma arquitetura de deteção de intrusões em SDI para detetar bots dissimulados na rede de computadores da Universidade de Lisboa. A solução propõe um gerador de regras e blacklists para SDI, com base em informação OSINT recolhida por uma plataforma de threat intelligence, bem como a integração automática das regras e blacklists no SDI. Foi realizada uma avaliação experimental da solução em ambiente real, usando 44 fontes de OSINT coletadas pela plataforma threat intelligence IntelMQ e o SDI Snort. A arquitetura proposta permitiu detetar ameaças de diversas categorias.
The continuous evolution of information and communication technologies, applications and services, made the computer an essential resource for performing several and different tasks, such as access to data and financial transactions. Alongside this evolution, the cybercrime has been increasing and unfortunately a common action. Its purpose is the illegal appropriation of private data, and monetization. The cyber-attacks became more sophisticated, in such a way that their detection is getting more difficult and their damage increasingly devastating. This makes the cybercrime a concern for both enterprises and security professionals. One of the most well-known techniques used to practice these crimes, is the creation and management of botnets. Botnets are networks composed by vulnerable devices (bots) such as computers, and controlled by criminal entities. Its use allows the anonymity of these entities when the attacks are performed. Enterprises, for protecting themselves against these attacks, they use defence mechanisms, such as intrusion detection systems (IDS), however, their effectiveness in detecting these attacks depends on their knowledge about threats and how they detect them, turning mandatory that IDSs must be constantly updated with knowledge of new threats. This knowledge can be obtained from many public intelligence sources - Open Source Intelligence (OSINT), which are accessible at several locations on the Internet. The main objective of this dissertation is the improvement of an intrusion detection architecture by using a IDS to detect hidden and dissimulated bots in the network infrastructure of the University of Lisbon. The presented solution proposes a rule and blacklist generator for IDS, using information from OSINT feeds collected and processed by a threat intelligence platform, and the automatic integration of the rules and blacklists in the IDS. An experimental evaluation of the solution in a real environment was performed using 44 OSINT sources collected by the IntelMQ threat intelligence platform, and the Snort IDS. The proposed architecture detected threats of several categories.

Open source intelligence (OSINT) has always been strongly tied to the information and communication technology (ICT) of the day. This paper is an examination of the current state of OSINT as it relates to ICTs by looking at overarching problems that exist across multiple types of collection methods, as well as looking at specific cases where there are issues, such as China and the Middle East, and ending with some minor recommendations on how to fix or minimize the issues highlighted.
text

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2019
Face ao rápido desenvolvimento do ciberespaço, bem como de todas as infraestruturas e sistemas digitais a ele associados, tornou-se clara a necessidade de preparar as organizações para esta evolução. A dependência das tecnologias de informação e o aumento do número de sistemas interligados entre si vieram trazer novas oportunidades para os que pretendem comprometer os sistemas digitais que existem na actualidade. O número de ciberataques, bem como a sua complexidade, tem vindo a aumentar e está a tornar-se uma grande ameaça para a ambiente digital das organizações, que se tentam proteger destas ameaças através do investimento num Centro de Operações de Segurança (SOC). No contexto de um SOC é conhecida a importância de ter os sistemas actualizados com a informação mais recente disponível online. A informação Open Source Intelligence (OSINT) é cada vez mais valiosa, devido à importância que tem na prevenção de ataques num sistema de monitorização em tempo real. A quantidade de indicadores de compromisso recolhida pelas aplicações de recolha de informação OSINT tem vindo a aumentar pelo que se torna difícil avaliar a eficácia dos dados recolhidos por estas plataformas. A necessidade de estar actualizado com a informação mais recente sobre os ataques informáticos é cada vez maior e tornou-se num problema em SOCs que monitorizam ambientes informáticos de grande escala. Por isso criámos a Zwerg, um software que recolhe indicadores de compromisso a partir de notícias e agrega metadados a esses indicadores. O objectivo do trabalho descrito neste projecto é recolher indicadores de compromisso e enriquecê-los com metainformação obtida a partir de dados recolhidos de aplicações web disponíveis ao público. A informação recolhida pela Zwerg é extremamente valiosa para detecção e prevenção de ataques informáticos. Este projecto foi desenvolvido e testado no Centro de Operações de Segurança Informática (COSI) do Ministério da Administração Interna (MAI) e os resultados obtidos revelaram o grande valor acrescentado e importância que o software Zwerg tem para o SOC do MAI.
In view of the rapid development of cyberspace, as well as of all associated digital infrastructures and systems, the need to prepare organizations for this evolution has become clear. The current dependency on information technologies and the fast pace increase in the number of interconnected systems have provided new opportunities for those who wish to compromise the current digital systems. The number of cyberattacks, and their complexity, is increasing and is becoming a major threat to the digital environment of organizations that are attempting to protect themselves against such threats by investing in a Security Operations Center (SOC). In the context of a SOC it is known the importance of having the systems updated with the latest information available online. Open Source Intelligence (OSINT) information is increasingly valuable because of the importance it plays in preventing attacks on a real-time monitoring system. The number of indicators of compromise collected by OSINT information collection applications has been increasing, making it difficult to assess the effectiveness of the data collected by these platforms. The need to be updated with the latest information on computer attacks is increasing and has become a problem in SOCs that monitor large-scale computing environments. That's why we created Zwerg, a software that collects indicators of compromise from news and aggregates metadata to these indicators. The objective of the work described in this dissertation is to collect collects indicators of compromise and enrich them with metadata obtained from data collected from web applications available to the general public. The information collected by Zwerg is extremely valuable for detecting and preventing computer attacks. This project was developed and tested at the Centro de Operações de Segurança Informática (COSI) of Ministério da Administração Interna (MAI) and the results revealed the great added value and importance that the Zwerg software has for the SOC of MAI.

O progresso tecnológico das últimas décadas tem vindo a reforçar os efeitos da globalização, provocando reduções de custos em várias tecnologias. O público ganhou acesso a meios de comunicação que atualmente são considerados indispensáveis. Estes meios permitiram partilhar todo o tipo de informação e mudar a interação social. A quantidade de informação que se tornou pública expandiu as capacidades da comunidade de inteligência, mas trouxe novos desafios. Neste documento é estudado o mundo digital de OSINT. Para desenvolver uma perspetiva correta acerca do estado atual da OSINT digital são analisadas as fontes, ferramentas, ambientes e técnicas atuais mais populares. A análise realizada revelou os aspetos positivos e negativos das soluções disponíveis, o que levou a reflecção acerca das atuais necessidades da comunidade de inteligência. O ambiente web está em constante mudança, surgem novos serviços e fontes de OSINT, alguns perdem relevância no mercado, mas mantêm viabilidade para os investigadores. Para além disto, estão regularmente a surgir novas técnicas e ferramentas para adquirir inteligência tanto para as novas como as atuais fontes abertas. A maioria das ferramentas de OSINT gratuitas não possui caraterísticas de uma ferramenta intuitiva, nem oferece opções para a gestão da informação, apenas se focando na extração de um formato específico da inteligência com interfaces em linhas de comando. A perspetiva que surge disto é a descentralização e inconsistência nas soluções de OSINT onde, o investigador necessita de uma ferramenta para cada serviço e é responsável pela agregação da informação num ambiente externo para poder criar alguma coerência e ligação nos dados. Com esta perspetiva em mente, foi concebido um conjunto de objetivos que uma ferramenta focada no processo de OSINT deverá seguir. Estes objetivos foram disseminados em requisitos e caraterísticas chave que, de seguida foram aplicados no desenvolvimento da estrutura de uma solução proposta. Para além disso, a solução foi desenvolvida tendo em conta as limitações e os aspetos positivos de ferramentas atuais, o que resultou em caraterísticas principais como a arquitetura modular, interação intuitiva e a capacidade de gestão da informação. A validação da solução foi feita através da interpretação dos mecanismos desenvolvidos face aos objetivos definidos, bem como, distribuições da solução para um conjunto de pessoas próximas da área de OSINT. A apresentação dos mecanismos desenvolvidos em conjunto com o feedback positivo dos entrevistados permitiu concluir que os objetivos definidos foram concretizados, a solução proposta contribuirá para a comunidade de inteligência e cibersegurança, e espera-se que esta poderá guiar o desenvolvimento de OSINT numa direção mais focada.

SOCMINT, or Social Media Intelligence has recently become focus of security community and started to be increasingly favored intelligence gathering method. Apart from providing relevant information and its cost-effective use, main advantage is that the potential of this intelligence technique is very diverse. Due to the relatively public nature of social networks, SOCMINT was generally regarded as unproblematic. However, on closer examination, this intelligence method presents a number of risks. The interest it raised from intelligence and security services in such a short time has given way to a situation where the techniques used by SOCMINT have begun to develop without precise methodological, legal and ethical rules. If the intelligence community wants to use this tool in its full potential and without risking negative response to SOCMINT techniques from the society, a framework must be set up as soon as possible to keep SOCMINT within the proper limits. This thesis aims to examine what opportunities and challenges SOCMINT brings to security community and society and propose how to deal with them.

The research focuses on the utilisation of open-source information in augmentation of the all-source counterespionage endeavour. The study has the principal objective of designing, contextualising and elucidating a micro-theoretical framework for open-source environmental scanning within the civilian, statutory counterespionage sphere. The research is underpinned by the central assumption that the environmental scanning and the contextual analysis of overt information will enable the identification, description and prioritisation of espionage risks that would not necessarily have emerged through the statutory counterespionage process in which secretly collected information predominates. The environmental scanning framework is further assumed to offer a theoretical foundation to surmount a degenerative counterespionage spiral driven by an over-reliance on classified information. Flowing from the central assumption, five further assumptions formulated and tested in the research are the following: (1) A methodically demarcated referent premise enables the focusing and structuring of the counterespionage environmental scanning process amid the exponential proliferation of overt information. (2) Effective environmental scanning of overt information for counterespionage necessitates a distinctive definition of ‘risk’ and ‘threat’, as these are interlinked yet different concepts. It is therefore asserted that current notions of ‘threat’ and ‘risk’ are inadequate for feasible employment within an overt counterespionage environmental scanning framework. (3) A framework for overt counterespionage environmental scanning has as its primary requirement the ability to identify diverse risks, descriptively and predicatively, on a strategic as well as a tactical level. (4) The degree of adversity in the relationship between a government and an adversary constitutes the principal indicator and determinant of an espionage risk. (5) The logical accommodation of a framework for overt counterespionage environmental scanning necessitates a distinctive counterintelligence cycle, as existing conceptualisations of the intelligence cycle are inadequate. The study’s objective and the testing of these five assumptions are pursued on both the theoretical and pragmatic-utilitarian levels. The framework for counterespionage, open-source environmental scanning and risk assessment is presented as part of a multilayered unison of alternative theoretical propositions on the all-source intelligence, counterintelligence and counterespionage processes. It is furthermore advanced from the premise of an alternative proposition on an integrated approach to open-source intelligence. On a pragmatic-utilitarian level, the framework’s design is informed and its application elucidated through an examination of the 21st century espionage reality confronting the nation state, contemporary statutory counterintelligence measures and the ‘real-life’ difficulties of open-source intelligence confronting practitioners. Although with certain qualifications, the assumptions are in the main validated by the research. The research furthermore affirms this as an exploratory thesis in a largely unexplored field.
Thesis (Ph.D)--University of Pretoria, 2010.
Political Sciences
Unrestricted

碩士
中原大學
電機工程研究所
106
In current network architecture, network monitoring and network testing are very important. In general there are two major problems in network testing, cost and flexibility. Therefore, Open Source Network Tester (OSNT) has been proposed to solve these problems. The OSNT-SUME is implemented on a Virtex7-based FPGA. This technical report introduces the OSNT-SUME. Simulation of the OSNT-SUME modules were conducted and presented to understand all modules functionality.

Relatório de estágio de mestrado em Tradução e Comunicação Multilingue
O presente relatório tem como foco o estágio curricular realizado no Grupo OSIT, no âmbito do Mestrado em Tradução e Comunicação Multilingue da Universidade do Minho. Neste relatório é abordado o impacto da globalização no mundo da tradução, com especial atenção na tradução especializada. Serão também debatidas as teorias de tradução funcionalistas, que serão depois enquadradas com os procedimentos e o trabalho desenvolvido na entidade acolhedora. A área de negócio da empresa é apresentada de forma detalhada, assim como as suas metodologias e ferramentas de trabalho. Numa parte final, são retratados exemplos de problemas e dificuldades encontradas e também uma análise quantitativa e qualitativa ao trabalho desenvolvido. Finalmente, é estabelecida uma reflexão sobre possíveis melhorias a serem implementadas na empresa, de forma a torná-la mais translator-friendly.
This present report falls within the scope of the curricular internship that took place at the OSIT Group, as a part of the Master’s in Translation and Multilingual Communication at the University of Minho. In this report, the impact of globalization on the world of translation is approached and special attention is paid to specialized translation. Functionalist theories will also be debated and afterwards framed with the procedures and the work developed within the company. The line of business of the company is presented in detail, along with its methods and work tools. A latter part will feature examples of problems and difficulties, and also a quantitative and qualitative analisis of the work done. Ultimately, there will be a reflection about the possible improvements to be implemented in the company, in order to make it more translator-friendly.

Sulla prova informatica nel processo penale le questioni ad oggi aperte sono molteplici e tutte caratterizzate da notevole complessità. In questo contributo, partendo dalla definizione stessa dell'istituto -sulla quale, come vedremo, manca unanimità di vedute fra gli interpreti- si passeranno in rassegna le principali problematiche connesse, rispettivamente, al profilo statico ed al profilo dinamico dell’acquisizione dell'evidenza digitale a scopo investigativo e probatorio. In particolare, nella prima parte dell’elaborato si affronta il tema della acquisizione della prova digitale off line. Come noto, si tratta della fase maggiormente problematica nella gestione della digital evidence. Qui, il terreno di scontro fra dottrina e giurisprudenza è squisitamente tecnico ed è rappresentato dalla divergenza di opinioni circa la natura ripetibile o non ripetibile dell’attività di acquisizione dei file on site, in sede di sopralluogo (art. 354, co. 2, c.p.p.), ispezione (art. 244, co. 2, c.p.p.), perquisizione (artt. 247, co. 1-bis e 352, co. 1-bis c.p.p.) e sequestro (art. 254-bis c.p.p.) Nell’ambito delle operazioni tecniche non ripetibili, inoltre, è necessario distinguere tra accertamenti modificativi della fonte di prova e accertamenti modificativi degli elementi di prova, essendo diverse le rispettive norme di copertura. Punto di partenza della nostra riflessione è la legge 18 marzo 2008, n. 48: è facile osservare che il codice di procedura penale, all’indomani della novella, si occupa di prova digitale attraverso la rivisitazione di istituti tipici vecchi. La tecnica legislativa utilizzata per fare spazio alla digital evidence all’interno del codice di rito è stata quella di integrare le vecchie disposizioni previste per le ispezioni, le perquisizioni e i sequestri attraverso la previsione di una formula tautologica comune a tutti e tre i mezzi di ricerca della prova citati: «adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione» . Come vedremo, il problema è che in ambito informatico è naturalisticamente difficile distinguere tra accertamento, ispezione, perquisizione e sequestro . Probabilmente sarebbe stato più opportuno predisporre un nuovo strumento di ricerca ad hoc per la prova di natura digitale, disciplinando in modo più dettagliato le attività da compiere per assicurarne il valore probatorio. Probabilmente, la fretta dovuta alla necessità di far fronte alle scadenze europee è stata cattiva consigliera e così la novella normativa del 2008 si è tradotta in un “copia e incolla” normativo (dalla fonte europea alla legge italiana) che non ha tenuto conto delle specificità della realtà scientifica di riferimento. In altre e più semplici parole, si sono voluti regolamentare istituti nuovi ragionando con schemi vecchi, senza tener conto del fatto che in ambito informatico non è possibile riuscire a distinguere tra ispezioni, perquisizioni e sequestri: l’unica cosa che conta è l’ “apprensione” dell’evidenza digitale con metodi e tecniche idonei a conciliare accertamento del fatto e garanzie individuali. Utilizzando le vecchie norme sugli accertamenti urgenti, sulle ispezioni, le perquisizioni ed il sequestro il legislatore della novella ha creato delle problematiche interpretative di non poco conto, destinate ad emergere ogni qual volta si cerchi di inquadrare una determinata attività operativa nell’una o nelle altre fattispecie previste dal codice, con evidenti conseguenze in termini di disciplina applicabile e di pretese garanzie . La seconda parte del presente lavoro è dedicata all’approfondimento –anche in una prospettiva de iure condendo- del tema delle investigazioni informatiche online. Tale argomento coinvolge la questione della legittimità delle indagini atipiche e della conseguente utilizzabilità dei suoi risultati, con specifico riferimento ai limiti derivanti dalle regole di esclusione di matrice costituzionale. Come vedremo, salvo ipotesi particolari nella prassi giudiziaria è difficile che emerga un problema che coinvolga esclusivamente la prova atipica; il vero dilemma sono le indagini atipiche, ossia quelle attività investigative completamente sciolte da briglie di natura positiva. Da questa prospettiva, la novella normativa del 2008 è stata un’occasione mancata, non avendo il legislatore distinto tra prova informatica off line e prova informatica online (la prima conservata sulla memoria di massa del computer o su strumenti di tipo integrativo di questa, quali CD, DVD, USB, ecc.; la seconda accessibile mediante rete telematica). In particolare, quest’ultimo aspetto relativo al profilo dinamico della prova digitale non è stato affatto disciplinato; sarebbe stato invece opportuno prevedere anche tale tipo di captazione digitale attraverso uno strumento tipico ad hoc, in maniera non troppo diversa da quanto oggi avviene con riferimento alle intercettazioni delle conversazioni telefoniche ed ambientali, con dettagliate discipline dei casi e dei modi in cui è ammessa l'intrusione investigativa . Per questo motivo, al termine di un appassionato capitolo interamente dedicato al c.d. “captatore informatico”, l’autore allega una propria proposta di inserimento, nel Libro III, Titolo III, del codice di procedura penale, di un capo V (artt. 271-bis – 271-sexies) dedicato ai “Programmi informatici per l’acquisizione da remoto dei dati e delle informazioni presenti in un sistema informatico o telematico”, modellandone chiaramente la disciplina sulla base di quanto previsto in materia di intercettazioni, seppur con qualche spunto di novità. Nei successivi capitoli si passano in rassegna le altre tipologie di indagini digitali occulte, attualmente in voga nella prassi operativa, non senza sottolinearne relative criticità: intercettazioni telematiche; pedinamento elettronico; data retention; indagini under cover e monitoraggio dei siti; cloud computing; Osint. Questa poco rassicurante premessa non scoraggi il lettore. Nel prosieguo di questo lavoro ci si soffermerà su ciò che il Legislatore ha scritto e su ciò che non ha scritto (o voluto scrivere). Dopo l'esame e la critica, tuttavia, saranno proposte delle soluzioni concrete, opinabili certamente, ma presenti e praticabili. L'idea che ha sostenuto lo scrivente è semplice: il divieto di non liquet dovrebbe valere non soltanto per il giudice, ma anche e soprattutto per chi, ad ogni livello, quel giudice o quel legislatore intenda (giustamente) criticare. Solo così la critica diviene costruttiva e foriera di una scienza giuridica degna di tale nome.