Segurança da Informação - Introdução à Computação Forense - Professora Juliane Adélia Soares

Prévia do material em texto

Introdução à computação forense
Professor(a): Juliane Adélia Soares (Especialização)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
Sobre a avaliação de um PPCN (projeto de plano de continuidade de negócios),
podemos afirmar que:
I. Sua elaboração compreende desde sua concepção e utilização até sua revisão.
II. Para a avaliação de um PPCN, conta-se com a opinião de especialistas.
III. Na avaliação da qualidade de um PPCN, leva-se em conta uma das fases apenas.
IV. A utilização do PPCN garante o alcance do objetivo da retomada do tempo (RTO).
V. O uso do PPCN de qualidade restabelece o ambiente computacional de uma
organização.
São verdadeiras:
Alternativas:
III – IV – V.
I – II – IV.
I – II – V.  CORRETO
I – III.
II – IV – V.
Código da questão: 59347
Leia e associe as duas colunas:
Assinale a alternativa que traz a associação correta entre as duas colunas:
Alternativas:
I – A; II – B; III – C.
I – B; II – A; III – C.
I – A; II – C; III – B.
I – C; II – A; III – B.
Resolução comentada:
a afirmação I é verdadeira, porque a avaliação da qualidade de um PPCN engloba o
processo de sua elaboração, desde sua concepção e utilização até sua revisão; a
afirmação II é verdadeira, pois este processo conta com a opinião dos especialistas e
permite uma análise abrangente desse tema por quaisquer organizações. A
afirmação III está errada, porque, para que se possa avaliar a qualidade de um PPCN,
deve-se levar em consideração uma série de características de todas as fases do
plano que englobam a sua elaboração, utilização e manutenção. A afirmação IV está
errada, pois o resultado da utilização de um PPCN de alta qualidade é o
restabelecimento do ambiente computacional de uma organização de forma
adequada, em tempo hábil, cumprindo-se os objetivos de tempo de recuperação
(RTO) e ponto de recuperação (RPO) para cada uma de suas aplicações, sendo esta a
razão também para a afirmação V ser verdadeira.
3)
4)
I – C; II – B; III – A.  CORRETO
Código da questão: 59325
Os testes de funcionamento do DR (recuperação de desastres) devem fazer parte da
rotina das organizações.
Assinale a alternativa que está de acordo com este procedimento:
Alternativas:
Ocorrendo um imprevisto durante um teste programado, o processo todo será
comprometido.
Existe uma certa resistência por parte das organizações para realizar este tipo de teste
em razão da paralisação das atividades de seus colaboradores.
A necessidade da realização do teste do DR constantemente é importante para que
sejam feitos os ajustes necessários ao processo.  CORRETO
Para a realização do teste do DR, é necessário que todas as partes sejam avisadas com
antecedência.
Os testes do DR detectam as recuperações contidas no processo e evitam que os
responsáveis sejam acionados.
Código da questão: 59348
Sobre o plano de DR e sua capacidade de análise diante das fragilidades de uma
organização, considere as seguintes afirmações e classifique-as como verdadeiras (V) ou
falsas (F):
( ) Para garantir a eficiência do plano de DR após um desastre, é necessário que a estrutura
já esteja restabelecida.
( ) Cada etapa deverá ser considerada para o restabelecimento da estrutura na execução
dos procedimentos do plano de DR.
( ) A perda parcial é um dos cenários que deverão ser levados em conta durante as
estratégias de DR.
( ) Na ativação de contingência, a avaliação se dará pela análise dos dados finais.
( ) No cenário da perda parcial, leva-se em conta o restabelecimento mínimo.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
F – F – V – F – F.
V – F – F – V – V.
F – V – F – F – V.
Resolução comentada:
crimes cibernéticos próprios dependem do uso de recursos tecnológicos para a
realização do crime, sendo este o objeto do crime. Crime digital corresponde a
qualquer ato delituoso utilizando um dispositivo que utilize recursos de tecnologia
em seu funcionamento. Forense computacional possui aspectos técnicos e legais,
pois, para a realização de uma investigação, é necessário, além dos conhecimentos
em tecnologias, entender um pouco sobre legislação, que especifica a tipologia e a
criticidade dos crimes.
Resolução comentada:
as organizações, normalmente, não querem realizar este tipo de teste, com receio de
que algum imprevisto ocorra e o sistema não seja restabelecido em sua íntegra. Mas
é importante todos estarem cientes que, sem teste completo, em um caso de
incidente real, o resultado será possivelmente este, gerando uma situação muito
mais grave. Caso um imprevisto ocorra em um teste programado, é possível
descobrir as falhas do processo e ajustar, evitando que situações desse tipo voltem a
ocorrer quando realmente for necessário ativar o DR. Para a realização de um teste
válido, as partes responsáveis não devem ser comunicadas com antecedência, pois,
desta forma, elas estarão preparadas caso sejam acionadas, não resultando, assim,
em um teste fiel de uma situação de desastre.
5)
6)
F – V – V – F – V.  CORRETO
V – V – V – F – V.
Código da questão: 59344
Dentro dos princípios básicos de uma DR (recuperação de desastres), temos a ___________
e a __________, vistas como fundamentais para uma __________ bem-sucedida, salientando a
necessidade de um __________.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Restruturação; prevenção; abordagem; sistema.
Abordagem; antecipação; atitude; sistema.
Prevenção; antecipação; restruturação; planejamento detalhado.  CORRETO
Mitigação; preservação; abordagem; planejamento detalhado.
Antecipação; abordagem; restruturação; efeito prolongado.
Código da questão: 59343
Para a análise da investigação de crimes _____, utiliza-se a forense ______, que é a ciência
que trata dos crimes que ocorrem com o uso ou se utilizam de ___________. A forense digital
utiliza métodos __________ na busca por evidências tecnológicas para servirem de provas em
atos ilícitos.
Alternativas:
Digitais; computacional; recursos computacionais; técnicos e científicos.  CORRETO
De invasão; criminal; tecnologia; padronizado e científicos.
Digitais; criminal; tecnologia; padronizados e científicos.
De pedofilia; computacional; tecnologia; técnicos e padronizados.
De fraudes; computacional; recursos de redes; técnicos e científicos.
Código da questão: 59330
Resolução comentada:
com um plano de DR, é possível analisar todas as fragilidades que a organização
possui, considerando os riscos que mais podem impactar o negócio. É necessário
que estratégias de recuperação de desastres sejam implementadas, considerando
todas as etapas para o restabelecimento da estrutura e os responsáveis por cada
uma delas. É necessário considerar diversos cenários, como perda parcial (neste,
considera-se ao menos o restabelecimento mínimo para manter os processos mais
críticos do negócio), ativação de contingência (neste, o processo precisa detalhar o
passo a passo para ativação da estratégia de contingência total ou do que possui em
contingência), entre outros.
Resolução comentada:
os princípios básicos de um DR (recuperação de desastres) são prevenção,
antecipação, mitigação, sendo que a prevenção e a antecipação são as chaves para
uma restruturarão de sucesso, mostrando a importância de um planejamento
detalhado.
Resolução comentada:
para a análise da investigação de crimes digitais, utiliza-se a forense computacional,
que é a ciência que trata dos crimes que ocorrem com o uso ou se utilizam de
recursos computacionais. A forense digital utiliza métodos técnicos e científicos na
busca por evidências tecnológicas para servirem de provas em atos ilícitos.
7)
8)
9)
Podemos definir que o direito brasileiro possui significado gramaticalem três acepções:
_____, o _______ e o resultado da ação de provar. A prova digital possui características
diferentes das tradicionais, devido à _______, reprodutibilidade e _______, dificultando, muitas
vezes, a análise.
Alternativas:
Ato de provar; meio da prova; portabilidade; volatilidade.  CORRETO
Prova; meio da prova; portabilidade; volatilidade.
Investigação; meio da prova; portabilidade; instabilidade.
Investigação; prova; incompatibilidade; instabilidade.
Ato de provar; prova; incompatibilidade; volatilidade.
Código da questão: 59332
Sobre o processo de identificação de reconstituição de ataques, considere as seguintes
afirmações:
( ) Deve-se utilizar uma máquina separada na rede, e de preferência isolada, para a análise
de um executável, devido aos perigos que ele pode trazer consigo.
( ) O analista, ao executar a análise de um código-fonte, pode utilizar a sua máquina para
testar o programa, pois um ambiente real é o mais indicado.
( ) Há situações em que o investigador encontra uma quantidade tão pequena de
evidências que faltam dados para montar uma sequência lógica de eventos.
( ) Mais um detalhe bem importante é a busca por evidências escondidas intencionalmente
ou pelo próprio sistema durante a sua execução.
( ) As evidências sempre serão escondidas por processos automáticos do sistema
operacional, que acaba camuflando junto aos seus processos.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
V – V – F – F – V.
F – F – V – F – V.
F – V – F – V – F.
V – F – V – V – F.  CORRETO
F – F – V – V – F.
Código da questão: 59336
A função________ significa desenvolver e implementar atividades apropriadas para
__________ de incidentes, permitindo a descoberta oportuna de eventos de segurança e
incidentes. Já a função ________ significa desenvolver e implementar atividades apropriadas
Resolução comentada:
podemos definir que o direito brasileiro possui um significado gramatical em três
acepções: o ato de provar, o meio de prova e o resultado da ação de provar. A prova
digital possui características diferentes das tradicionais, devido à portabilidade,
reprodutibilidade e volatilidade, dificultando, muitas vezes, a análise.
Resolução comentada:
deve-se utilizar uma máquina separada na rede e isolada, pois, ao executar um
código-fonte malicioso, este pode infectar a sua máquina e comprometer a estrutura
da organização. Há situações em que o investigador encontra uma quantidade tão
pequena de evidências que faltam dados para montar uma sequência lógica de
eventos, necessitando, desta forma, uma análise mais profunda no dispositivo em
questão. Mais um detalhe bem importante é a busca por evidências escondidas
intencionalmente ou pelo próprio sistema durante a sua execução, também
necessitando de um conhecimento maior para uma análise mais completa do
dispositivo.
10)
para _____________em relação a um incidente _______ de segurança cibernética, e suporta a
capacidade de conter o impacto de um potencial incidente.
Alternativas:
Responder; identificar a ocorrência; detectar – tomar medidas; detectado.
Responder; tomar medidas; responder; analisar medidas; encontrado.
Detectar; identificar a ocorrência; responder; tomar medidas; detectado.  CORRETO
Detectar; identificar a ocorrência; responder; analisar métodos; encontrado.
Detectar; tomar medidas; responder; identificar ocorrência; encontrado.
Código da questão: 59340
Sobre os cuidados ao realizar uma investigação de ataques, podemos afirmar que:
I. Recomenda-se o uso de máquinas virtuais (VM) para a realização da análise das
evidências, por precaução.
II. Recomenda-se a utilização da máquina do investigador para realização da análise, desde
que esteja fora da rede da organização.
III. O uso de máquinas virtuais é de extrema importância, visto que não há como saber se a
evidência analisada é perigosa ou não.
IV. Recomenda-se que a máquina seja isolada e que não possua acesso à rede interna da
organização.
V. Pode-se utilizar a máquina na rede, simulando um ambiente real; as evidências,
normalmente, são simples e incapazes de causar outros danos.
São verdadeiras:
Alternativas:
I – III – V.
I – III.
II – IV.
I – III – IV.  CORRETO
II – IV.
Código da questão: 59338
Resolução comentada:
a função detectar significa desenvolver e implementar atividades apropriadas para
identificar a ocorrência de incidentes, permitindo a descoberta oportuna de eventos
de segurança e incidentes. Já a função responder significa desenvolver e
implementar atividades apropriadas para tomar medidas em relação a um incidente
detectado de segurança cibernética, e suporta a capacidade de conter o impacto de
um potencial incidente.
Resolução comentada:
a afirmação I é verdadeira, pois recomenda-se o uso de máquinas virtuais (VM) para
a realização da análise das evidências por precaução; e da mesma forma, a III está
correta, pois o uso de máquinas virtuais é de extrema importância, visto que não há
como saber se a evidência analisada é perigosa ou não; já a II está incorreta, pois
não se recomenda a utilização da máquina do investigador na realização da análise,
independente de ela estar na rede da organização ou não. A IV está correta, pois
recomenda-se que a máquina seja isolada e que não possua acesso à rede interna
da organização; e V é errônea, pois há sempre a necessidade de isolamento da
máquina para evitar maiores danos à estrutura da organização, jamais deve-se usar a
máquina ligada à rede da organização.
Arquivos e Links