Prévia do material em texto
27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 1/22 AS Geral Entrega Sem prazo Pontos 10 Perguntas 20 Disponível 20 ago em 0:00 - 31 ago em 23:59 Limite de tempo Nenhum Tentativas permitidas 3 Este teste foi travado 31 ago em 23:59. Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 3.179 minutos 7,5 de 10 Pontuação desta tentativa: 7,5 de 10 Enviado 30 ago em 21:26 Esta tentativa levou 3.179 minutos. 0,5 / 0,5 ptsPergunta 1 Ao avaliar um incidente para a coleta de evidências computacionais, um perito analisa a infraestrutura de rede envolvida e estabelece os ativos para obter informações de eventos e alertas ocorridos desde o momento imediatamente anterior ao incidente até a percepção de paradas de serviço ou evento principal reportado. Neste sentido, assinale a alternativa que descreve o formato de envio desses eventos e alertas, internacionalmente adotado, quando o objetivo é centralizar essas informações em um repositório: https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393/history?version=1 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 2/22 Syslog Correto!Correto! SaaS MITM Trail IODEF Uma boa prática de mercado é padronizar o conteúdo dos logs produzidos pelos equipamentos da rede (Ex. Syslog), centralizar o envio para um repositório único, facilitando a análise, além de sincronizar todos os equipamentos (Ex. Usando fonte de Network Time Protocol – NTP externa no sincronismo dos relógios de todos os ativos de rede). 0,5 / 0,5 ptsPergunta 2 Em um cenário de ataque à infraestrutura corporativa de TI, um dado ativo foi atingido, diminuindo sua capacidade de serviços e o SLA prometido ao cliente que faz uso desse recurso. Há um evento de segurança gerado pelo monitoramento de ativos. Para considerarmos que houve um incidente de segurança da informação, no entanto, é necessário que este evento represente: Ataque na rede corporativa. 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 3/22 Comprometimento ou ameaça à operação do negócio. Correto!Correto! Log em ativo na rede corporativa. Porta do servidor desabilitada na rede corporativa. Falha na conexão de Internet para o negócio. Podemos classificar um evento de segurança como incidente de segurança da informação na medida em que este tenha a característica de comprometer ou ameaçar a operação do negócio e a segurança da informação da organização descrita na PSI. 0 / 0,5 ptsPergunta 3 Analisando a afirmação acerca da atividade de “solicitação de atuação do perito forense computacional” a seguir, assinale a alternativa que a classifica e descreve como V (verdadeira) ou F (falsa), em relação à corretude da afirmação: Avaliando casos separados, mas atrelados pelo mesmo espaço de tempo (data) e local de ocorrência dos eventos, um juiz chama um perito, escolhendo entre os disponíveis no cadastro do fórum local, e solicita um parecer comparando as evidências. 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 4/22 Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de um mesmo perito, em razão de sigilo imposto entre casos distintos e por impedimento regulado por requisito descrito no Código de Processo Civil. Resposta corretaResposta correta Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também porque pode analisar casos diferentes que compartilham do mesmo provedor de Internet, por exemplo, como infraestrutura de TI. Falsa, pois o juiz não é a autoridade que convoca a atuação do perito forense, que deve ser feita pelo notário local, único com essa atribuição/autoridade. Verdadeira, pois o juiz deve solicitar a análise de evidências no final da arguição de testemunhas para depois comparar com sua sentença. Você respondeuVocê respondeu Falsa, pois o juiz não pode solicitar a entrada de um perito no processo de instrução, sem antes obter a autorização do STF. 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 5/22 Segundo a determinação contida atualmente no Código de Processo Civil (CPC), para contribuir com a isenção e diminuição de viés, um juiz deve selecionar diferentes profissionais em suas solicitações, o que acaba contribuindo para uma certa “rotatividade” dos profissionais atuantes e, também, abre portas para que novos peritos se inscrevam nesses bancos para ofertarem seus serviços. 0,5 / 0,5 ptsPergunta 4 Todos os incidentes de segurança devem ser respondidos. Contudo, nem todos o são pela equipe que fez a descoberta do incidente, uma vez que pode ocorrer um desalinhamento entre o incidente e o time de resposta (CSIRT), no que diz respeito à sua capacidade técnica e/ou escopo percebidos no momento da triagem do incidente. Quando isso ocorre, é necessário que o CSIRT faça o repasse desse incidente para que ele seja respondido por um time com capacitação e escopo mais abrangentes. Assinale a alternativa que contempla o formato de envio desse repasse, obedecendo à recomendação proposta pela ENISA: TCP GPO Router-based IODEF Correto!Correto! Server-side 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 6/22 O XML IODEF favorece a automação de envio de mensagens entre CSIRTs, e possibilita a adição de serviços de segurança na comunicação, como o sigilo por meio da criptografia e garantia de integridade e não repúdio, por meio de certificado digital e assinatura desse XML. 0,5 / 0,5 ptsPergunta 5 De uma foma geral, a resposta aos incidentes e, em alguns casos, à investigação do perito forense computacional, coletando evidências desse incidente, depende, inicialmente, de um processo de monitoração de ativos que aponte a ocorrência desse incidente. Dos ativos listados abaixo, aponte o que demonstra maior dificuldade para esse processo de monitoramento: Ativos de informação. Ativos intangíveis. Correto!Correto! Ativos de software/sistema. Ativos de serviço. Ativos abstratos. 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 7/22 Exemplos de ativos neste ambiente corporativo: • Ativos digitais (conteúdo textual, imagens e multimídia); • Ativos de informação; • Ativos de software/sistema; • Ativos físicos (equipamentos); • Ativos de serviço (eletricidade, comunicação, refrigeração, entre outros); • Ativos humanos (colaboradores, parceiros, entre outros); • Ativos intangíveis (imagem e a reputação da empresa). Destes, ativos intangíveis são difíceis de serem monitorados em relação à ocorrência de incidentes. 0,5 / 0,5 ptsPergunta 6 Exemplificando a atividade de um perito forense computacional em contribuição a uma investigação criminal envolvendo invasão de um site, é CORRETO afirmar acerca do processo de coleta de evidência típico que o perito deve coletar também EMEI e memória heap do roteador remoto. o perfil psicológico do suspeito sob acusação. EMEI e memória heap do roteador local. 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 8/22 testemunho dos seguranças do andar do data center. informações de conexão com logs do roteador de borda e/ou firewall e logs do servidor Web envolvido. Correto!Correto! Em casos de perícia envolvendo invasão de servidor Web, é importante reconstruir, com a maior completude possível, a linha temporal envolvendo as conexões de rede até a chegada ao ativo alvo. 0,5 / 0,5 ptsPergunta 7 Fenômenos de contaminação da evidência, tanto em nível quântico, como os descritos inicialmente por Heisenberg,quanto os de contato e mais práticos para os objetivos do perito forense computacional, como descrito inicialmente por Lacard, são preocupações relativas à qualidade da evidência. Nesse sentido, é CORRETO afirmar que quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, maior será a OOV e, portanto, maior vai ser a interferência / contaminação. quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, menor será a OOV e, portanto, menor vai ser a interferência / contaminação. 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 9/22 quanto mais rápido logarmos no sistema com o usuário administrador, logo após o incidente, para deletar os arquivos suspeitos de vírus, menor vai ser a interferência / contaminação. quanto mais isolarmos a evidência, desligando o servidor e retirando-o do local do incidente, maior vai ser a interferência / contaminação. Correto!Correto! quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, menor será a OOV e, portanto, maior vai ser a interferência / contaminação. Na teoria que explora o dilema forense de extração de evidências computacionais, há a abordagem de isolamento do ativo computacional envolvido no incidente, aceitando que serão perdidas algumas informações importantes sobre o caso, e a abordagem que preconiza a preservação do ambiente como está, realizando extrações, na ordem de volatilidade (OOV), com o mínimo de interferência e contaminação possível. 0 / 0,5 ptsPergunta 8 Ao realizar uma extração de evidência, um perito forense computacional deve tomar uma série de cuidados para preservá-la, de modo que seja aceita pelo juiz como parte das provas materiais na instrução de um 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 10/22 caso. Uma das 5 (cinco) propriedades que a evidência deve conter para que seja aceita diz respeito à sua confiabilidade. Para conferir essa propriedade à evidência, um processo comum realizado pelo perito é efetuar a extração acompanhado de um notário, com fé pública, munido de autorização formal (mandado de busca, por exemplo). e descrever, de forma não técnica, os achados, de forma que seja possível a compreensão do laudo para um leigo em TI. e coletar todas as evidências relacionadas ao objeto, de forma a ligar o incidente aos artefatos colhidos, diretamente. Você respondeuVocê respondeu que realizará a cópia seletiva, de forma conjunta, com o perito. e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um código para conferência posterior. Resposta corretaResposta correta Controles de integridade por meio de HASH são comumente usados para comprovação de confiabilidade que resiste ao tempo (intervalo entre a extração e apresentação ou conferência da prova). 0 / 0,5 ptsPergunta 9 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 11/22 Nem sempre é possível realizar a análise de evidências computacionais de um crime de pedofilia procurando pelos arquivos de imagens indicando sexo infantil. Isso porque o criminoso, sabendo de seu ilícito, raramente deixa as imagens armazenadas e apenas as acessa em sites e as vê em visualizadores de imagens de seu computador. Nesse caso, assinale a alternativa que representa um componente ou elemento de hardware que seria factível de encontrarmos a imagem ou restos remanescentes dessa visualização em um computador usado pelo criminoso. Gerenciador de arquivos. Heap. Resposta corretaResposta correta Page table. Memória ROM. Stack. Você respondeuVocê respondeu Nas certificações e comprovações de capacidade técnico-científica usadas para armazenamento dinâmico, quando carregamos imagens em visualizadores, seu conteúdo é colocado em espaços da memória RAM chamados de “heap”. 0,5 / 0,5 ptsPergunta 10 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 12/22 Diferentemente da evidência digital original, esta evidência não contempla os itens físicos, pois não foi possível recolher os equipamentos envolvidos para exame em laboratório. De posse da cópia, estamos, então, com uma evidência do tipo evidência digital completa. evidência digital duplicada. Correto!Correto! evidência sem registro. evidência digital virtual. evidência digital interpolada. Evidência digital duplicada: uma réplica exata da evidência digital original (normalmente efetuada pelo perito no local da coleta). 0,5 / 0,5 ptsPergunta 11 Ao realizar uma análise forense observando um dump de memória extraído no processo de coleta de evidência digital em que o objetivo é comprovar em qual data-hora um determinado programa foi encerrado à época, um perito usando o framework volatility usaria o comando 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 13/22 certutil. tpscan. routing. cranktime –t. psxview. Correto!Correto! Um passo comumente executado na sequência da descoberta de um executável de interesse identificado no comando “pslist” é a execução do comando “psxview”, para possibilitar a visualização do horário em que o programa foi encerrado. 0,5 / 0,5 ptsPergunta 12 Com relação à atividade de um perito forense computacional em contribuição a uma investigação criminal, é correto afirmar que o objetivo da coleta de evidências é comprovar ou refutar uma tese estabelecida na linha de investigação do caso. Correto!Correto! 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 14/22 estabelecer uma acusação formal contra o acusado, com base no resultado da perícia no disco do computador investigado. exportar dados em memória (dump) para comprovar o uso de programas proibidos. exportar dados em disco para comprovar o uso de programas proibidos. estabelecer uma ligação entre o PID e PPID, vista na resposta da análise do programa volatility. É função principal, estabelecer provas materiais para serem anexadas ao caso e permitir a comprovação, ou não, de tese conduzida na investigação. 0,5 / 0,5 ptsPergunta 13 Analisando a atividade de um perito forense computacional em contribuição a uma investigação criminal, a atividade inicial de definição de atores participantes do incidente resulta nas seguintes diferenciações de participação: Autor, suspeito e mediador. Ativa, passiva ou externa. 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 15/22 Autor, coautor e cúmplice. Vítima, força policial e investigado. Vítima, gateway e atacante. Correto!Correto! De uma maneira geral, a tarefa de participação dos atores pode ser executada diferenciando-os da seguinte forma: • Vítima(s)- Indícios computacionais apontam que dados foram subtraídos, deturpados ou inseridos por terceiro (atacante). O ativo computacional sofreu um ataque e foi alvo cibernético de ação deliberada de atacante(s). • Gateway(s)- Indícios computacionais apontam que o ativo foi comprometido, mas não se caracteriza como alvo. O ativo computacional serviu de ponte para que a vítima fosse atingida pelo(s) atacante(s). • Atacante(s)- Indícios computacionais apontam que o ativo encaminhou ou controlou remotamente artefatos digitais capazes de realizar ações de subtração, deturpação ou inserção de dados em ativo computacional de terceiro (vítima). 0 / 0,5 ptsPergunta 14 Ao realizar uma extração de evidência, para a observação de memória, uma parte dos dados pode não estar disponível, caso o sistema operacional (SO) use memória virtual. Nesta situação, o perito deve 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/6539316/22 realizar a coleta dos dados em disco e relacionar os dados no espaço destinado ao armazenamento da memória virtual com referência/controle fornecido por MemVol. Memória RAM. SysVol. SysShare. Você respondeuVocê respondeu Page table. Resposta corretaResposta correta Os controles relacionados à organização dos dados guardados em disco, correspondentes à memória virtual, são: Page files e Page table. 0 / 0,5 ptsPergunta 15 Em casos de investigação envolvendo a necessidade de perícia computacional em data centers, a impossibilidade de retirada de itens físicos (pois estão relacionados normalmente a múltiplos usuários, não relacionados ao ilícito em questão), torna inviável a coleta de qual tipo de evidência digital? 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 17/22 Evidência digital original. Resposta corretaResposta correta Evidência digital coexistente. Objetos em memória. Evidência digital duplicada. Você respondeuVocê respondeu Itens físicos. Sem a possibilidade de obtenção dos itens físicos relacionados, não é possível a obtenção do cenário original. Resta ao perito realizar uma cópia. Evidência digital original: Objetos físicos que guardavam as informações (dados) relacionadas ao incidente no momento da coleta (Ex.: Servidores, computadores, etc.). 0,5 / 0,5 ptsPergunta 16 Ao realizar um dump de memória de um sistema operacional Windows XP e investigar a evidência por meio da execução do comando malfind do framework Volatility, o perito forense computacional deseja, basicamente obter informações de: pslist 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 18/22 malwares Correto!Correto! mampage dd if=<in> of=<off> pxvs A execução do framework volatility, por meio do comando “malfind”, possibilita a verificação de assinaturas que podem permitir a identificação da presença de infecção por malware no computador investigado. 0,5 / 0,5 ptsPergunta 17 Ao analisar um dump de memória, um perito executa uma sequência de comandos cat <nome do dump> | string | grep <texto procurado> para realizar uma procura. Dentre as opções abaixo, assinale aquela que NÃO serve como objetivo de procura: conteúdo binário Correto!Correto! extensão de arquivo comandos ou variáveis 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 19/22 executáveis e dlls processo em execução Na sequência de comandos, usado no exemplo descrito para o enunciado da pergunta, não é possível visualizar conteúdos binários (DOC ou PDF, por exemplo). Para isso, uma solução descrita no texto da unidade foi o uso de software para visualização de fotos, capaz de identificar arquivos “carregados” na memória. 0,5 / 0,5 ptsPergunta 18 Ao realizar um dump de memória de um sistema operacional Windows 7 e investigar a evidência por meio da execução do comando pslist | grep “iexplore” do framework Volatility, o perito forense computacional deseja, basicamente: Identificar processos de navegação na Internet realizados com o browser default no computador investigado Correto!Correto! Identificar o número de DLLs do tipo grep no SO Explorar a lista ordenada de processos grep realizados no computador investigado Explorar os processos de grep realizados no computador investigado 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 20/22 Identificar processos de navegação de pastas realizados no computador investigado O comando resulta na identificação dos processos relacionados ao executável Internet Explorer, default para navegação na Internet para o SO em questão. 0,5 / 0,5 ptsPergunta 19 Segundo o fluxo geral de atividades do perito, descrito pelo departamento de justiça norte-americano, usado como referência em vários outros países e citado em nosso material da unidade (NCJ 199408, 2004), os quatro passos da investigação são corretamente descritos pela alternativa: 1) Avaliação do local; 2) Extração das evidências; 3) Examinação das evidências; e 4) Documentação e reporte (laudo) dos achados Correto!Correto! 1) Avaliação do local; 2) Coleta da cadeia de custódia; 3) Prova continuada; e 4) Exame Volatility 1) Coleta da cadeia de custódia; 2) Extração das evidências; 3) Prova continuada; e 4) Documentação e reporte (laudo) dos achados 1) Autorização do juiz; 2) Avaliação do local; 3) Prova continuada; e 4) Acusação formal 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 21/22 1) Autorização do juiz; 2) Identificação das evidências; 3) Dump de memória e de disco; e 4) Exame Volatility Os passos genéricos descritos pelo departamento de justiça norte-americano são: 1) Avaliação do local; 2) Extração das evidências; 3) Examinação das evidências; e 4) Documentação e reporte (laudo) dos achados. 0,5 / 0,5 ptsPergunta 20 Ao realizar um teste do estado de segurança do computador investigado, comparando as APIs, DLLs e binários com um baseline “normal” daquele SO, um perito está preocupado com a característica de admissibilidade da prova em corte, mas também em classificar a participação do computador investigado em termos de “atores” no processo. Neste sentido, é correto afirmar que caso um computador seja identificado como infectado e potencialmente controlado remotamente, as classificações possíveis para o mesmo são: vítima ou gateway Correto!Correto! atacante ou gateway baseline ou gateway atacante ou vítima 27/09/2022 11:07 AS Geral: PERICIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/30439/quizzes/65393 22/22 atacante Ao se identificar um computador infectado por malware, com indícios de controle remoto, não é razoável classificá-lo como atacante, do ponto de vista de definição de atores no processo de ataque. De uma maneira geral, a tarefa de participação dos atores pode ser executada diferenciando-os da seguinte forma: • Vítima(s) - Indícios computacionais apontam que dados foram subtraídos, deturpados ou inseridos por terceiro (atacante). O ativo computacional sofreu um ataque e foi alvo cibernético de ação deliberada de atacante(s). • Gateway(s) - Indícios computacionais apontam que o ativo foi comprometido, mas não se caracteriza como alvo. O ativo computacional serviu de ponte para que a vítima fosse atingida pelo(s) atacante(s). • Atacante(s) - Indícios computacionais apontam que o ativo encaminhou ou controlou remotamente* artefatos digitais capazes de realizar ações de subtração, deturpação ou inserção de dados em ativo computacional de terceiro (vítima). Pontuação do teste: 7,5 de 10