Análise e Perícia Forense Computacional (Quiz [Primeira Tentativa])

Prévia do material em texto

· Pergunta 1
1 em 1 pontos
	
	
	
	A inteligência cibernética nada mais é do que verificar a necessidade para uma análise profunda do ciberespaço e produzir conhecimento contra ameaças computacionais, abrangendo temas diversos. 
Existem algumas ferramentas de inteligência cibernética muito utilizadas para coleta de informação sobre pessoas, organizações e tecnologias. Uma dessas é a Netcraft. Selecione a alternativa que melhor descreve essa ferramenta.
	
	
	
	
		Resposta Selecionada:
	a. 
Útil para o investigador forense que precise de informações sobre domínios, como último endereço IP utilizado, sistemas operacionais ou versões de um servidor web.
	Respostas:
	a. 
Útil para o investigador forense que precise de informações sobre domínios, como último endereço IP utilizado, sistemas operacionais ou versões de um servidor web.
	
	b. 
Essa ferramenta é muito útil para coletar informações de determinadas organizações, sendo capaz de localizar endereços de e-mail, endereços de IP ou até mesmo um host virtual, nativa no Kali Linux.
	
	c. 
É uma forma de utilizar o Google para coletar informações diversas sobre pessoas, organizações e tecnologias, incluindo vulnerabilidades em sistemas expostos
	
	d. 
São sites que, através do nome de usuário do Skype, conseguem determinar um IP. Tal informação pode ser muito útil para um perito computacional durante investigações que envolvam o programa de comunicação Skype.
	
	e. 
Serve para incluir os conceitos de computação forense nas políticas de segurança e defesa cibernética.
	Comentário da resposta:
	O Netcraft é a ferramenta indicada para coletar informações de domínios, IP, sistemas operacionais e versões de servidores WEB.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Sobre mecanismos para provar algo em um ambiente cibernético, prova é tudo aquilo que possa ser utilizado de forma direta ou indireta para a comprovação da verdade que se busca no processo.
Sobre o significado de prova, qual a alternativa que melhor representa o meio da prova?
	
	
	
	
		Resposta Selecionada:
	c. 
É o instrumento que demonstra a verdade de algo.
	Respostas:
	a. 
Demonstra a verdade de um fato, utilizando-se da análise realizada em instrumentos de prova apresentados.
	
	b. 
Trata-se da ação que verifica a verdade do fato alegado no curso do processo.
	
	c. 
É o instrumento que demonstra a verdade de algo.
	
	d. 
Demonstra a dualidade de um fato, utilizando-se da análise realizada em instrumentos de prova apresentados.
	
	e. 
Trata-se da ação que verifica anomalias em um processo.
	Comentário da resposta:
	Um exemplo desse tipo de instrumento que demonstra a verdade de algo é o laudo pericial.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Todos os anos são reportados na imprensa vários ataques de grupos hackers. Um desses ataques ocorreu na grande loja de e-commerce XPTO. O agente da ameaça aproveitou uma falha no tratamento da entrada de um formulário para inserir um código malicioso. 
A computação forense também é responsável por investigar quase todos os ataques cibernéticos contra sistemas computadorizados, como ransomware, phishing, ataques de injeção de SQL, ataque do tipo DoS (Denial of Service), violação de dados e espionagem cibernética.
Com base no que foi descrito, assinale a alternativa que melhor representa um ataque do tipo SQL injection.
	
	
	
	
		Resposta Selecionada:
	c. 
Utilização de código malicioso, geralmente em formulários de páginas de internet, com intuito de obter acesso a uma base dados.
	Respostas:
	a. 
É uma forma de ataque que o agente da ameaça consegue ficar entre duas partes em uma comunicação.
	
	b. 
O agente da ameaça se passa por um DNS verdadeiro e encaminha as requisições de endereço para destinos maliciosos.
	
	c. 
Utilização de código malicioso, geralmente em formulários de páginas de internet, com intuito de obter acesso a uma base dados.
	
	d. 
Realiza varredura na rede, procurando portas de comunicação abertas ou dados não criptografados trafegando na rede.
	
	e. 
Atua comprometendo vários sistemas para que estes façam de forma coordenada ataque a um determinado alvo.
	Comentário da resposta:
	É um ataque muito comum e há muitos anos o SQL Injection está presente na lista dos principais ataques na internet.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	É necessário que o profissional que irá realizar o exame forense conheça bem sobre os sistemas de detecção de intrusão, assim como de uma maneira geral as técnicas utilizadas em ataques de intrusão. O IDS, para ser considerado um sistema de detecção de intrusão, precisa possuir alguns componentes. Qual das alternativas representa melhor o componente conhecido como D-boxes?
	
	
	
	
		Resposta Selecionada:
	a. 
Realiza o armazenamento de resultados e eventos processados.
	Respostas:
	a. 
Realiza o armazenamento de resultados e eventos processados.
	
	b. 
Realiza ações como finalizar um processo, reiniciar uma conexão ou realizar notificações.
	
	c. 
Analisador de informações recebidas que tem a função de enviá-las para outros componentes após análise.
	
	d. 
Gerador de eventos, a partir do monitoramento ambiente protegido.
	
	e. 
Gerador de eventos, a partir do monitoramento ambiente não protegido.
	Comentário da resposta:
	Armazenar os resultados e os eventos é uma tarefa do IDS e o componente que realiza essa atividade é o D-boxes.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Um perito forense precisa estar familiarizado com sistemas operacionais dos dispositivos portáteis, seus métodos e mecanismos para ser capaz de analisar esses dispositivos de maneira eficaz e realizar extração de dados. 
Existem quatro níveis de classificação da extração de dados em dispositivos móveis. Qual alternativa melhor representa a extração lógica?
	
	
	
	
		Resposta Selecionada:
	c. 
Realizar extração automática da memória interna do dispositivo periciado.
	Respostas:
	a. 
É necessário que o perito tenha conhecimento de eletrônica.
	
	b. 
Utilização de ferramenta forense específica que utiliza técnicas como Hexadecimal Dump.
	
	c. 
Realizar extração automática da memória interna do dispositivo periciado.
	
	d. 
Extração de dados da memória interna. A constatação é feita manipulando o dispositivo e não requer conhecimento avançado.
	
	e. 
Realizar duas técnicas Chip-Off ou Micro Read.
	Comentário da resposta:
	A extração automática é possível utilizando ferramenta forense, sendo uma das características da extração lógica; já as outras alternativas não representam características da extração lógica, como por exemplo o uso de Chip-Off, que faz parte da extração avançada.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Escolha a alternativa que melhor representa as principais características dos sistemas embarcados.
	
	
	
	
		Resposta Selecionada:
	c. 
Capacidade computacional e a independência na operação.
	Respostas:
	a. 
Enorme capacidade de armazenamento a dependência na operação.
	
	b. 
Enorme capacidade de armazenamento e a independência na operação.
	
	c. 
Capacidade computacional e a independência na operação.
	
	d. 
Capacidade computacional e a dependência na operação.
	
	e. 
Não possui circuito integrado.
	Comentário da resposta:
	Sistemas embarcados, do inglês embedded systems, é um tipo de sistema dedicado a uma única tarefa, que interage de forma contínua com o ambiente a sua volta, por meio de sensores e atuadores. Existem alguns aspectos relevantes dos sistemas embarcados, como seu modo de funcionamento e os itens desejados em aplicações embarcadas, mas suas principais características de classificação são a capacidade computacional e a independência na operação.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Um perito computacional foi contratado para analisar um ataque sofrido à rede da empresa XPTO, que ficou indisponível por alguns minutos. Para identificar o que aconteceu foi necessário fazer um exame da rede para coletar evidências.
Escolha a alternativa que representa um exame que pode ser realizado durante análise do tráfego de rede.Resposta Selecionada:
	d. 
Engenharia reversa.
	Respostas:
	a. 
Ataques às câmeras.
	
	b. 
Recuperação de arquivos analisados.
	
	c. 
Engenharia singular.
	
	d. 
Engenharia reversa.
	
	e. 
Atividades das contas bancárias dos usuários.
	Comentário da resposta:
	A análise do tráfego de rede permite verificar quais protocolos são utilizados, com quais dispositivos a rede se relaciona e, ainda, se há pacotes suspeitos no tráfego de rede. Os exames mais comuns solicitados aos peritos nesse processo são a recuperação de arquivos transmitidos, a análise de atividades dos usuários, a análise de possíveis ataques que o servidor tenha sofrido e a engenharia reversa.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	Com base no número crescente compartilhamentos de arquivos criminosos em programas que utilizam rede P2P, indique qual alternativa representa melhor as características desse tipo.
	
	
	
	
		Resposta Selecionada:
	e. 
Permite compartilhamento de arquivos que são objetos de um crime em redes ponto a ponto.
	Respostas:
	a. 
Permite compartilhamento de arquivos que são objetos de um log.
	
	b. 
Informações do sistema que possa elaborar uma linha de tempo ou identificação de equipamento.
	
	c. 
Permite compartilhamento de arquivos que são objetos de um código fonte.
	
	d. 
Programas que permitem conversas entre pessoas na internet.
	
	e. 
Permite compartilhamento de arquivos que são objetos de um crime em redes ponto a ponto.
	Comentário da resposta:
	É a única resposta que representa de forma correta as características do compartilhamento P2P.
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	Na fase inicial de uma investigação forense de intrusões, deve existir bastante foco no início da coleta de informações. Recomenda-se o uso de checklists. 
Cabe à equipe pericial criar e adequar o checklists de acordo com sua forma de trabalho e experiências vividas. Com base no assunto abordado, qual alternativa representa melhor uma descrição de detecção de incidente em um checklist?
	
	
	
	
		Resposta Selecionada:
	d. 
Saber se a detecção foi de forma automática, saber se a fonte de validação da detecção é confiável.
	Respostas:
	a. 
Informações críticas armazenadas no sistema, lista de medidas que devem ser tomadas em caso de detecções ocorridas.
	
	b. 
Endereços IP relacionados, informações sobre versão ou tipo de sistemas operacionais.
	
	c. 
Listas de pessoas que sabem da intrusão, lista de pessoas que acessaram o sistema afetado e se a intrusão já foi encerrada.
	
	d. 
Saber se a detecção foi de forma automática, saber se a fonte de validação da detecção é confiável.
	
	e. 
Informações críticas armazenadas exclusivamente na nuvem, lista de medidas que devem ser tomadas em caso de detecções ocorridas.
	Comentário da resposta:
	Com base no nosso material: saber se a detecção foi de forma automática, saber se a fonte de validação da detecção é confiável, além de descobrir quem é o responsável pelos sistemas de detecção; por fim, saber quais são as taxas de erro da detecção e se houve alguma mudança recente na fonte de dados.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	Todos os anos são reportados na imprensa vários ataques de grupos hackers. Um desses ataques ocorreu na grande loja de e-commerce XPTO. O agente da ameaça aproveitou uma falha no tratamento da entrada de um formulário para inserir um código malicioso.
 A computação forense também é responsável por investigar quase todos os ataques cibernéticos contra sistemas computadorizados, como ransomware, phishing, ataques de injeção de SQL, ataque do tipo DoS (Denial of Service), violação de dados e espionagem cibernética.
Com base no que foi descrito, assinale a alternativa que melhor representa um tipo de vestígio computacional, relacionado ao tipo de ataque.
	
	
	
	
		Resposta Selecionada:
	d. 
Log do servidor WEB.
	Respostas:
	a. 
Quantidade de produtos no catálogo da loja.
	
	b. 
Nome do provedor de internet.
	
	c. 
Nome dos funcionários trabalhando no dia.
	
	d. 
Log do servidor WEB.
	
	e. 
Nome da loja e-commerce.
	Comentário da resposta:
	O Log do servidor WEB é o único vestígio computacional que está relacionado ao tipo de ataque.