Baixe o app para aproveitar ainda mais
Prévia do material em texto
Pergunta 10,5 pts Todos os incidentes de segurança devem ser respondidos. Contudo, nem todos o são pela equipe que fez a descoberta do incidente, uma vez que pode ocorrer um desalinhamento entre o incidente e o time de resposta (CSIRT), no que diz respeito à sua capacidade técnica e/ou escopo percebidos no momento da triagem do incidente. Quando isso ocorre, é necessário que o CSIRT faça o repasse desse incidente para que ele seja respondido por um time com capacitação e escopo mais abrangentes. Assinale a alternativa que contempla o formato de envio desse repasse, obedecendo à recomendação proposta pela ENISA: Grupo de escolhas da pergunta IODEF Router-based TCP GPO Server-side Sinalizar esta pergunta Pergunta 20,5 pts Incidentes de segurança da informação demandam atividade de investigação de um perito forense, normalmente quando os ativos envolvidos estão relacionados a um ilícito. Neste sentido, especialmente em ambiente corporativo, é correto afirmar que alguns ativos de informação despertam mais interesse de atacantes e, portanto, serão alvo de investigação mais frequentes do perito porque: Grupo de escolhas da pergunta Possuem ligação com processos e sistemas corporativos internos. São protegidos por criptografia e Jitter. São públicos e facilmente acessíveis. Possuem alto valor probatório. Estão relacionados aos logs de eventos corporativos mais recentes. https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Sinalizar esta pergunta Pergunta 30,5 pts Ao avaliar um incidente para a coleta de evidências computacionais, um perito analisa a infraestrutura de rede envolvida e estabelece os ativos para obter informações de eventos e alertas ocorridos desde o momento imediatamente anterior ao incidente até a percepção de paradas de serviço ou evento principal reportado. Neste sentido, assinale a alternativa que descreve o formato de envio desses eventos e alertas, internacionalmente adotado, quando o objetivo é centralizar essas informações em um repositório: Grupo de escolhas da pergunta SaaS Trail MITM Syslog IODEF Sinalizar esta pergunta Pergunta 40,5 pts Em um cenário de ataque à infraestrutura corporativa de TI, um dado ativo foi atingido, diminuindo sua capacidade de serviços e o SLA prometido ao cliente que faz uso desse recurso. Há um evento de segurança gerado pelo monitoramento de ativos. Para considerarmos que houve um incidente de segurança da informação, no entanto, é necessário que este evento represente: Grupo de escolhas da pergunta Log em ativo na rede corporativa. Comprometimento ou ameaça à operação do negócio. Falha na conexão de Internet para o negócio. Ataque na rede corporativa. https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Porta do servidor desabilitada na rede corporativa. Sinalizar esta pergunta Pergunta 50,5 pts Diferentemente da versão simplificada do fluxo de resposta a incidente proposta pelo NIST, a ISO 27035 (2016) propõe cinco processos principais. Descreva a alternativa que descreve corretamente o primeiro processo de resposta, chamado “Preparação”: Grupo de escolhas da pergunta Investigação forense, iniciando-se pela coleta de evidências locais. Análise de impacto e recuperação do ativo comprometido pelo incidente. Atividade de avaliação inicial e definição do profissional/equipe adequada para a resposta. Atividades de documentação e capacitação do time de respostas a incidentes. Atividade de contenção do incidente e análise de triagem. Sinalizar esta pergunta Pergunta 60,5 pts Nem sempre é possível a obtenção de uma evidência sem viés, interferências e contaminação. Quando realizamos a cópia do tipo “Imagem Lógica”, as propriedades de MAC Times podem ser alteradas, impedindo a correta interpretação pelo perito. Assinale a alternativa que descreve ou exemplifica essa coleta de evidência. Grupo de escolhas da pergunta Cópia mangle. Cópia de arquivos de diretórios. Cópia de arquivos de page file. Cópia bit-a-bit. Cópia do tipo sync. Sinalizar esta pergunta https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Pergunta 70,5 pts Fenômenos de contaminação da evidência, tanto em nível quântico, como os descritos inicialmente por Heisenberg, quanto os de contato e mais práticos para os objetivos do perito forense computacional, como descrito inicialmente por Lacard, são preocupações relativas à qualidade da evidência. Nesse sentido, é CORRETO afirmar que Grupo de escolhas da pergunta quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, menor será a OOV e, portanto, menor vai ser a interferência / contaminação. quanto mais isolarmos a evidência, desligando o servidor e retirando-o do local do incidente, maior vai ser a interferência / contaminação. quanto mais rápido logarmos no sistema com o usuário administrador, logo após o incidente, para deletar os arquivos suspeitos de vírus, menor vai ser a interferência / contaminação. quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, maior será a OOV e, portanto, maior vai ser a interferência / contaminação. quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, menor será a OOV e, portanto, maior vai ser a interferência / contaminação. Sinalizar esta pergunta Pergunta 80,5 pts Incidentes de segurança da informação demandam atividade de investigação de um perito forense, normalmente quando os ativos envolvidos estão relacionados a um ilícito. Nesse sentido, especialmente em casos que precisem de cópia dos arquivos em disco (HD ou SD, por exemplo), o perito deve, preferencialmente, escolher cópias do tipo Grupo de escolhas da pergunta CMIT. memória volátil. ZIP. SNMP. RAW. Sinalizar esta pergunta https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Pergunta 90,5 pts Ao realizar uma extração de evidência, um perito forense computacional deve tomar uma série de cuidados para preservá-la, de modo que seja aceita pelo juiz como parte das provas materiais na instrução de um caso. Uma das 5 (cinco) propriedades que a evidência deve conter para que seja aceita diz respeito à sua confiabilidade. Para conferir essa propriedade à evidência, um processo comum realizado pelo perito é efetuar a extração acompanhado de um notário, com fé pública, Grupo de escolhas da pergunta e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um código para conferência posterior. que realizará a cópia seletiva, de forma conjunta, com o perito. e coletar todas as evidências relacionadas ao objeto, de forma a ligar o incidente aos artefatos colhidos, diretamente. munido de autorização formal (mandado de busca, por exemplo). e descrever, de forma não técnica, os achados, de forma que seja possível a compreensão do laudo para um leigo em TI. Sinalizar esta pergunta Pergunta 100,5 pts Diferentemente da evidência digital original, esta evidência não contempla os itens físicos, pois não foi possível recolher os equipamentos envolvidos para exame em laboratório. De posse da cópia, estamos, então, com uma evidência do tipo Grupo de escolhas da pergunta evidência digital virtual. evidência sem registro. evidência digital interpolada. evidência digital completa. evidência digital duplicada. Sinalizar esta pergunta Pergunta 110,5 pts https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Aorealizar uma análise forense observando um dump de memória extraído no processo de coleta de evidência digital, em que o objetivo é comprovar os processos em execução há época, um perito usando o framework volatility usaria o comando Grupo de escolhas da pergunta proccess-lk 512 dd if=<in> of=<off> mampage pslist pxvs Sinalizar esta pergunta Pergunta 120,5 pts Caso um perito forense computacional deseje executar a análise de um dump de memória realizado por outro colega, ou realizado por ele mesmo em data passada, para fins de autenticidade e confiabilidade, ele deve realizar o processo de: Grupo de escolhas da pergunta Validação do header do dump de memória. Verificação de rastreabilidade do DTB. Verificação da compatibilidade do profile. Verificação de correspondência HASH. Validação do resultado KDBG. Sinalizar esta pergunta Pergunta 130,5 pts Analisando a atividade de um perito forense computacional em contribuição a uma investigação criminal, a atividade inicial de definição de atores participantes do incidente resulta nas seguintes diferenciações de participação: Grupo de escolhas da pergunta Vítima, gateway e atacante. https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Autor, coautor e cúmplice. Vítima, força policial e investigado. Autor, suspeito e mediador. Ativa, passiva ou externa. Sinalizar esta pergunta Pergunta 140,5 pts Com relação à atividade de um perito forense computacional em contribuição a uma investigação criminal, é correto afirmar que o objetivo da coleta de evidências é Grupo de escolhas da pergunta exportar dados em memória (dump) para comprovar o uso de programas proibidos. estabelecer uma acusação formal contra o acusado, com base no resultado da perícia no disco do computador investigado. estabelecer uma ligação entre o PID e PPID, vista na resposta da análise do programa volatility. comprovar ou refutar uma tese estabelecida na linha de investigação do caso. exportar dados em disco para comprovar o uso de programas proibidos. Sinalizar esta pergunta Pergunta 150,5 pts Ao realizar uma extração de evidência, para a observação de memória, uma parte dos dados pode não estar disponível, caso o sistema operacional (SO) use memória virtual. Nesta situação, o perito deve realizar a coleta dos dados em disco e relacionar os dados no espaço destinado ao armazenamento da memória virtual com referência/controle fornecido por Grupo de escolhas da pergunta SysVol. MemVol. Page table. https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Memória RAM. SysShare. Sinalizar esta pergunta Pergunta 160,5 pts Ao realizar um dump de memória de um sistema operacional Windows e investigar a evidência por meio da execução do comando netscan do framework Volatility, o perito forense computacional deseja, basicamente: Grupo de escolhas da pergunta Obter informações armazenadas em disco acerca de atividades de “navegação” em pastas e arquivos realizadas no computador investigado Obter informações armazenadas em disco acerca de malwares no computador investigado Obter informações armazenadas em memória acerca de malwares no computador investigado Obter informações armazenadas em memória acerca de atividades de login do usuário, realizadas no computador investigado Obter informações armazenadas em disco acerca de uso da rede no computador investigado Sinalizar esta pergunta Pergunta 170,5 pts Ao realizar um dump de memória de um sistema operacional Windows 7 e investigar a evidência por meio da execução do comando yarascan – Y “Cache” do framework Volatility, o perito forense computacional deseja, basicamente: Grupo de escolhas da pergunta Verificação da compatibilidade do profile Validação do header do dump de memória Validação do resultado KDBG Verificação de resquícios de informação de uso de internet contidas no cache do navegador Verificação de rastreabilidade do DTB contidas no cache da memória virtual https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Sinalizar esta pergunta Pergunta 180,5 pts Ao realizar um dump de memória de um sistema operacional Windows e investigar a evidência por meio da execução do comando memmap do framework Volatility, o perito forense computacional deseja, basicamente: Grupo de escolhas da pergunta Obter informações armazenadas em memória acerca de malwares no computador investigado. Obter informações armazenadas em memória acerca de atividades de “navegação” em pastas e arquivos realizados no computador investigado. Obter informações armazenadas em memória do local da paginação realizada para memória virtual em disco. Obter informações armazenadas em disco acerca de uso da rede no computador investigado. Objetos em memória mapeados para o registrador default ix64B Sinalizar esta pergunta Pergunta 190,5 pts Segundo o fluxo geral de atividades do perito, descrito pelo departamento de justiça norte-americano, usado como referência em vários outros países e citado em nosso material da unidade (NCJ 199408, 2004), os quatro passos da investigação são corretamente descritos pela alternativa: Grupo de escolhas da pergunta 1) Avaliação do local; 2) Coleta da cadeia de custódia; 3) Prova continuada; e 4) Exame Volatility 1) Coleta da cadeia de custódia; 2) Extração das evidências; 3) Prova continuada; e 4) Documentação e reporte (laudo) dos achados 1) Avaliação do local; 2) Extração das evidências; 3) Examinação das evidências; e 4) Documentação e reporte (laudo) dos achados 1) Autorização do juiz; 2) Avaliação do local; 3) Prova continuada; e 4) Acusação formal 1) Autorização do juiz; 2) Identificação das evidências; 3) Dump de memória e de disco; e 4) Exame Volatility https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Sinalizar esta pergunta Pergunta 200,5 pts Ao realizar um dump de memória de um sistema operacional Windows XP e investigar a evidência por meio da execução do comando malfind do framework Volatility, o perito forense computacional deseja, basicamente obter informações de: Grupo de escolhas da pergunta pxvs mampage dd if=<in> of=<off> pslist malwares Sinalizar esta pergunta Pergunta 40,5 pts Analisando a afirmação acerca da atividade de “solicitação de atuação do perito forense computacional” a seguir, assinale a alternativa que a classifica e descreve como V (verdadeira) ou F (falsa), em relação à corretude da afirmação: Avaliando casos separados, mas atrelados pelo mesmo espaço de tempo (data) e local de ocorrência dos eventos, um juiz chama um perito, escolhendo entre os disponíveis no cadastro do fórum local, e solicita um parecer comparando as evidências. Grupo de escolhas da pergunta Falsa, pois o juiz não pode solicitar a entrada de um perito no processo de instrução, sem antes obter a autorização do STF. https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de um mesmo perito, em razão de sigilo imposto entre casos distintos e por impedimento regulado por requisito descrito no Código de Processo Civil. Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também porque pode analisar casos diferentes que compartilham do mesmo provedor de Internet, por exemplo, como infraestrutura de TI. Verdadeira, pois o juiz deve solicitar a análise deevidências no final da arguição de testemunhas para depois comparar com sua sentença. Falsa, pois o juiz não é a autoridade que convoca a atuação do perito forense, que deve ser feita pelo notário local, único com essa atribuição/autoridade. Sinalizar esta pergunta Pergunta 50,5 pts De uma foma geral, a resposta aos incidentes e, em alguns casos, à investigação do perito forense computacional, coletando evidências desse incidente, depende, inicialmente, de um processo de monitoração de ativos que aponte a ocorrência desse incidente. Dos ativos listados abaixo, aponte o que demonstra maior dificuldade para esse processo de monitoramento: Grupo de escolhas da pergunta Ativos intangíveis. Ativos de serviço. Ativos abstratos. Ativos de informação. Ativos de software/sistema. Sinalizar esta pergunta Pergunta 90,5 pts Exemplificando a atividade de um perito forense computacional em contribuição a uma investigação criminal envolvendo invasão de um site, é CORRETO afirmar acerca do processo de coleta de evidência típico que o perito deve coletar também Grupo de escolhas da pergunta https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take o perfil psicológico do suspeito sob acusação. testemunho dos seguranças do andar do data center. EMEI e memória heap do roteador remoto. informações de conexão com logs do roteador de borda e/ou firewall e logs do servidor Web envolvido. EMEI e memória heap do roteador local. . Sinalizar esta pergunta Pergunta 140,5 pts Para a preservação da evidência e para que ela seja aceita em um caso em juízo, é importante que possamos comprovar onde a evidência esteve e quais foram os atores que realizaram manipulações durante todo o ciclo de vida desta evidência. Chamamos esse controle de Grupo de escolhas da pergunta OOV. Controle de Piazza. Controle de manipulações. Prova material. Cadeia de custódia. Sinalizar esta pergunta Pergunta 160,5 pts Ao realizar um dump de memória de um sistema operacional Windows 7 e investigar a evidência por meio da execução do comando pslist | grep “iexplore” do framework Volatility, o perito forense computacional deseja, basicamente: Grupo de escolhas da pergunta Identificar processos de navegação na Internet realizados com o browser default no computador investigado https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take Explorar a lista ordenada de processos grep realizados no computador investigado Identificar o número de DLLs do tipo grep no SO Identificar processos de navegação de pastas realizados no computador investigado Explorar os processos de grep realizados no computador investigado Sinalizar esta pergunta Pergunta 140,5 pts Em casos de investigação envolvendo a necessidade de perícia computacional em data centers, a impossibilidade de retirada de itens físicos (pois estão relacionados normalmente a múltiplos usuários, não relacionados ao ilícito em questão), torna inviável a coleta de qual tipo de evidência digital? Grupo de escolhas da pergunta Evidência digital duplicada. Itens físicos. Objetos em memória. Evidência digital original. Evidência digital coexistente. https://cruzeirodosul.instructure.com/courses/7232/quizzes/24119/take
Compartilhar