Procedimentos, técnicas e ferramentas forenses

Prévia do material em texto

1) 
Uma atividade fundamental na busca de _________ digitais é a recuperação de arquivos. 
Existem dois principais métodos para a recuperação de arquivos apagados: baseados 
em _________ e baseados em _________. O termo utilizado mais frequentemente para 
referir-se ao ato de recuperação de um ou mais arquivos de imagens forenses digitais 
não estruturadas é _________. 
Assinale a alternativa que completa adequadamente as lacunas. 
 
Alternativas: 
• Atualizações; metadados; dados; data carving. 
• Evidências; data carving; dados; metadados. 
• Dispositivos; unidades, aplicação; metadados. 
• Evidências; metadados; aplicação; data carving. 
checkCORRETO 
• Atualizações; aplicação; data carving; unidade. 
Resolução comentada: 
A recuperação de arquivos é uma atividade essencial na busca de evidências digitais, 
principalmente aquelas que foram excluídas do sistema de arquivos. Existem dois 
principais métodos para a recuperação de arquivos apagados: baseados em metadados e 
baseados em aplicação. Data carving é o termo utilizado para indicar o ato de recuperar 
um ou mais arquivos de imagens forenses digitais não estruturadas. O termo não 
estruturado indica que a imagem digital original não contém informação útil do sistema 
de arquivos que pode ser utilizada para ajudar na recuperação dos arquivos. 
Código da questão: 64509 
 
2) 
O processo de análise forense em um evento de crime digital é especificado em quatro 
fases, que são: _________, _________, _________ e _________. A fase mais importante nesse 
processo é a _________. 
Assinale a alternativa que completa adequadamente as lacunas. 
 
Alternativas: 
• Perceber; detalhar; examinar; apresentar; apresentação. 
• Processar; examinar; legalizar; examinar, legalização. 
• Identificar; preservar; examinar; apresentar; preservação. 
checkCORRETO 
• Examinar; apresentar; legalizar; detalhar; legalização. 
• Visualizar; examinar; provar; preservar; visualização. 
Resolução comentada: 
O processo de análise forense no evento de um crime digital é descrito, no Modelo 
Melhorado para Processo de Investigação Digital, em quatro fases, que são: identificar, 
preservar, examinar e apresentar. A fase mais pertinente a este trabalho é a de 
preservação da evidência, que precisa ser conduzida de forma forensicamente aceitável. 
As evidências devem ser coletadas de maneira que sejam aceitas em um processo legal 
sem ter a sua credibilidade questionada durante ele, por exemplo, alterações da 
evidência por processos investigativos. 
Código da questão: 64504 
 
As informações que serão examinadas em uma perícia deverão ser coletadas de 
maneira que não aconteça nenhum tipo de alteração das provas. 
Sobre os cuidados a serem tomados nesta etapa da coleta, assinale a alternativa 
correta. 
 
Alternativas: 
• Uma opção de proteção contra gravação da mídia questionada é através do 
sistema de software Tableau. 
• Para proteção contra a gravação na mídia questionada, pode-se usar o 
dispositivo de hardware Caine. 
• O risco de uma gravação na mídia questionada poderá ser descartado isolando-
a das demais provas. 
• Para proteger a mídia questionada de uma gravação, pode-se utilizar um 
dispositivo específico de hardware. 
checkCORRETO 
• Para evitar que ocorra uma gravação acidental na mídia questionada, é 
importante proteger o hardware. 
Resolução comentada: 
A etapa de coleta é importante para que uma perícia seja bem-sucedida, e é a partir dela 
que serão examinadas e analisadas as informações, por isso é fundamental que seja 
evitada a contaminação da prova de um possível crime. É essencial proteger a mídia 
questionada contra gravação, e isso poderá ser realizado com a utilização de hardware 
específico ou por meio de software. Exemplo de dispositivo de proteção por hardware é 
o Tableau TD3 Forensic Imager; já a proteção por software pode ocorrer através da 
distribuição de sistemas operacionais (SO) específicos para perícia digital, como FDTK 
ou Caine, ou por bloqueio de gravação em portas USB. 
Código da questão: 64510 
4) 
O perito forense precisa, em primeiro lugar, entender os fatos e, depois, seguir uma 
metodologia de trabalho. Para realizar a perícia, são recomendadas quatro principais 
fases: coleta, exame, análise e apresentação dos resultados. 
Sobre estas fases, assinale a alternativa correta. 
 
Alternativas: 
• Durante a coleta dos dados, as informações são pesquisadas criticamente. 
• O material coletado deverá ser duplicado e transformado em vestígios. 
checkCORRETO 
• Na fase de análise, o perito selecionará os dados encontrados para resumi-los. 
• Deve-se evitar incluir a cópia do laudo ao dispositivo de evidências. 
• Ao fazer a análise, o perito expõe as evidências encontradas de forma temporal. 
Resolução comentada: 
Cada uma das fases da perícia forense é distinta, sendo que, na coleta, é feita a cópia dos 
dados que deverão ser mantidos íntegros. Durante o exame, o perito filtrará os dados e 
reduzirá a quantidade deles. Na análise, serão procuradas as informações de maneira 
mais crítica, formando, assim, as evidências, as quais serão apresentadas em ordem 
cronológica na fase de apresentação dos resultados, formando uma possível prova do 
ocorrido. O material coletado e transformado em vestígios e evidências deverá ser 
armazenado em um dispositivo e protegido contra alterações. Uma cópia do laudo 
também pode ser armazenada neste dispositivo, assim como a catalogação de todo o 
material importante encontrado durante a perícia. 
Código da questão: 64508 
 
5) 
Tem sido difícil conceituar crimes informáticos em razão da inexistência de uma 
unanimidade dos doutrinadores. Portanto é de fundamental importância que se 
desenvolva o Direito Criminal da Informática. 
Referente ao crime informático, leia as afirmativas a seguir e associe as colunas: 
 
Assinale a alternativa que traz a associação correta entre as colunas. 
 
Alternativas: 
• I – C; II – B; III – A. 
• I – A; II – C; III – B. 
• I – C; II – A; III – B. 
checkCORRETO 
• I – B; II – C; III – A. 
• I – B; II – A; III – C. 
Resolução comentada: 
Os crimes informáticos são classificados como próprios, impróprios, mistos, medianos 
ou indiretos. Os crimes informáticos próprios são aqueles em que o bem tutelado é a 
inviolabilidade de dados ou sistemas computacionais. Os crimes impróprios são aqueles 
em que computadores são usados como instrumentos para perpetração de delito, sem 
que o bem tutelado seja a inviolabilidade de dados ou sistemas computacionais. Os 
crimes mistos são aqueles cuja norma busca tutelar, além da inviolabilidade da coisa 
digital, outro bem jurídico diverso. Os crimes medianos ou indiretos são os delitos não 
informáticos que herdam a característica de outro delito praticado, para que se alcance a 
consumação deste último. 
Código da questão: 64499 
 
6) 
A Convenção sobre a Cibercriminalidade, que foi adotada pelo Conselho da Europa, em 
2001, a respeito dos tipos penais dos crimes eletrônicos, tipifica algumas condutas que 
se encontram abertas para a assinatura dos demais países. Sobre essas condutas, 
assinale a alternativa correta. 
 
Alternativas: 
• O crime de atentado à integridade de um sistema está tipificado como infração 
referente ao conteúdo. 
• O acesso doloso ilegal ainda não foi incorporado à relação de infrações 
tipificadas como crimes eletrônicos. 
• Dividem-se as infrações em dois tipos gerais: infrações de produção e infrações 
de estelionatos. 
• As comunicações telemáticas estão incluídas nas infrações contra a 
confidencialidade de dados. 
checkCORRETO 
• As infrações referentes ao conteúdo tipificam os crimes por comercialização de 
aplicativos ilegais. 
Resolução comentada: 
De acordo com a Convenção sobre a Cibercriminalidade, do Conselho da Europa, 
adotado em 2001, estão incluídas: as infrações contra a confidencialidade, integridade e 
disponibilidade dos dados e sistemas informáticosem que constam o acesso doloso 
ilegal a um sistema de informática; a interceptação ilegal de dados ou comunicações 
telemáticas; o atentado à integridade de um sistema; obtenção ou posse de aplicativos 
ou códigos de acesso que permitam a prática dos crimes citados. Também fazem parte 
da convenção as infrações informáticas que incluem a falsificação de dados e os 
estelionatos eletrônicos, assim como as infrações relativas ao conteúdo que tratam de 
forma detalhada sobre a pornografia infantil e o racismo e a xenofobia. 
Código da questão: 64501 
 
7) 
É necessário caracterizar cada fragmento de arquivo como um conjunto de atributos 
para treinar uma máquina de classificação sobre os dados de fragmento de arquivo. 
Esses atributos não podem ser montados para descrever invariantes de tipos de 
arquivos específicos, mas invariantes gerais de conteúdos de arquivo. Sobre este 
processo, leia e associe as duas colunas: 
 
Assinale a alternativa que traz a associação correta entre as colunas. 
 
Alternativas: 
• I – C; II – B; III – A. 
checkCORRETO 
• I – B; II – C; III – A. 
• I – B; II – A; III – C. 
• I – A; II – B; III – C. 
• I – C; II – A; III – B. 
Resolução comentada: 
Para treinar uma máquina de classificação sobre os dados de fragmento de arquivo, é 
necessário representar cada fragmento de arquivo como um conjunto de atributos, sendo 
que cada atributo deve ser extraível de qualquer tipo de arquivo ou fragmento. Para 
descrever e diferenciar todos os tipos de arquivo, os atributos não podem ser montados 
para descrever invariantes de tipos de arquivos específicos, e sim invariantes gerais de 
conteúdo de arquivo, tais como: fragmentos de dado que não possuem uma ordem 
específica (por exemplo: funções de arquivos fontes de linguagem de programação); 
fragmentos de dados que podem ser reordenados sem se tornarem completamente 
diferentes (por exemplo: imagens não comprimidas); dados que podem ser deslocados, 
mantendo-se sintaticamente corretos e semanticamente semelhantes (por exemplo: 
introdução de feeds de linha em arquivos de texto). 
Código da questão: 64513 
 
8) 
A necessidade de ferramentas mais modernas para a identificação dos infratores 
digitais leva a diferentes tipos de ferramentas, as quais são classificadas em comerciais 
e não comerciais, ou licenciados e open source. O uso de ferramentas open source, 
quando comparadas às ferramentas licenciadas, possui alguns benefícios. 
Sobre estes benefícios, leia as afirmativas a seguir e associe as colunas: 
 
Assinale a alternativa que traz a associação correta entre as colunas. 
 
Alternativas: 
• I – C; II – A; III – B. 
• I – C; II – B; III – A. 
• I – B; II – A; III – C. 
• I – B; II – C; III – A. 
checkCORRETO 
• I – A; II – B; III – C. 
Resolução comentada: 
A necessidade de ferramentas mais modernas para a identificação dos infratores digitais 
leva a diferentes tipos de ferramentas, as quais são classificadas em comerciais e não 
comerciais, ou licenciados e open source. O uso de ferramentas open source, quando 
comparadas às ferramentas licenciadas, possui alguns benefícios, tais como: 
aprendizagem (elas permitem que as opções e a saída sejam examinadas, além de que é 
possível observar a lógica da ferramenta para chegar a um determinado resultado); 
portabilidade (o kit de ferramentas pode facilmente ser levado de um sistema para outro, 
ou de um trabalho para outro, não havendo perda de conhecimento, caso o perito troque 
de empresa); flexibilidade (as ferramentas open source podem ser utilizadas no próprio 
sistema a ser examinado ou instaladas em um servidor e acessadas remotamente); custos 
(além de serem open source, essas ferramentas, em sua maioria, são softwares livres de 
custo). 
Código da questão: 64520 
 
Com o acesso à internet cada vez mais facilitado, criou-se uma ideia de impunidade 
com relação ao que é feito através dos mais diversos tipos de dispositivos disponíveis. 
Sobre esta suposta impunidade e anonimidade, analise as afirmativas a seguir e 
assinale-as com V (verdadeiro) ou F (falso): 
( ) É possível recuperar parte das informações do meio digital por meio da perícia 
forense. 
( ) Todas as informações das publicações digitais podem ser recuperadas na íntegra 
pelo perito. 
( ) O uso de perfis fakes impossibilita a identificação do usuário que se utilizou deste 
meio. 
( ) Os acessos realizados por todos os dispositivos no ambiente da internet possuem 
um endereço. 
( ) Um scan de rede é capaz de acessar todas as ações gravadas nos acessos à internet 
do usuário. 
Assinale a alternativa que contenha a sequência correta. 
 
Alternativas: 
• V – F – F – V – F. 
checkCORRETO 
• V – V – F – V – F. 
• F – F – F – V – V. 
• F – V – F – V – V. 
• V – F – V – V – F. 
Resolução comentada: 
Com o acesso à internet cada vez mais facilitado, criou-se uma ideia de impunidade 
com relação ao que é feito através dos mais diversos tipos de dispositivos disponíveis. O 
falso sentimento de impunidade e anonimidade faz até mesmo as pessoas criarem perfis 
fakes nas redes sociais. Entretanto, praticamente tudo que é realizado no meio digital 
pode ser recuperado, se não totalmente, ao menos pedaços de evidências, as quais, 
unidas com outras recuperadas, podem ser utilizadas como vestígios de um crime 
suspeito e acabarem gerando provas em um processo contra uma pessoa. Para isso, 
basta a pessoa ter um conhecimento mais avançado, como é o caso de um perito em 
computação forense. Todos os acessos realizados por dispositivos ao ambiente da 
internet possuem um endereço de acesso, chamado de TCP/IP (Transmission Control 
Protocol/Internet Protocol), que fica registrado nos provedores, bem como pode ser 
escaneado na rede enquanto o acesso à internet é realizado. Para isso, usa-se um scan de 
rede, por exemplo, que pode capturar tudo que a pessoa está realizando no momento, 
basta ter acesso ao mesmo ambiente. 
Código da questão: 64519 
 
10) 
Na etapa da _________, durante uma perícia, existe um item muito relevante, que é a 
_________, a qual está relacionada à _________ e ao local onde existe a suspeita de 
_________ para serem analisados. 
Assinale a alternativa que completa adequadamente as lacunas. 
 
Alternativas: 
• Cena do crime; coleta; perícia; áreas. 
• Identificação; evidência; cena do crime; dispositivos. 
• Coleta; identificação; cena do crime; dispositivos. 
checkCORRETO 
• Identificação; coleta; cena do crime; evidências. 
• Coleta; evidência; perícia; dispositivos. 
Resolução comentada: 
Na etapa de coleta, existe um item bem importante, que é a identificação. Ele se refere 
efetivamente à cena do crime ou ao local de apreensão, quando se trata de uma perícia 
criminal, ou onde há suspeita de dispositivos a serem analisados. No caso deste tipo de 
procedimento, é importante que um perito esteja junto e realize as etapas com o cuidado 
necessário. 
Código da questão: 64511