Prévia do material em texto
Introdução à computação forense Professor(a): Juliane Adélia Soares (Especialização) 1) 2) O Programa de dependência e recuperação (PDR) é a última oportunidade de conquistar a sua APROVAÇÃO na disciplina. A avaliação é realizada eletronicamente, composta por questões objetivas e é permitida a consulta ao material de estudos. Ela tem duração de 30 (trinta) dias corridos para realização e você tem até três tentativas para “Enviar” as questões, que são automaticamente corrigidas. Boa prova! Sobre o processo de identificação de reconstituição de ataques, considere as seguintes afirmações: ( ) Deve-se utilizar uma máquina separada na rede, e de preferência isolada, para a análise de um executável, devido aos perigos que ele pode trazer consigo. ( ) O analista, ao executar a análise de um código-fonte, pode utilizar a sua máquina para testar o programa, pois um ambiente real é o mais indicado. ( ) Há situações em que o investigador encontra uma quantidade tão pequena de evidências que faltam dados para montar uma sequência lógica de eventos. ( ) Mais um detalhe bem importante é a busca por evidências escondidas intencionalmente ou pelo próprio sistema durante a sua execução. ( ) As evidências sempre serão escondidas por processos automáticos do sistema operacional, que acaba camuflando junto aos seus processos. Assinale a alternativa que contenha a sequência correta: Alternativas: F – F – V – V – F. V – F – V – V – F. CORRETO V – V – F – F – V. F – F – V – F – V. F – V – F – V – F. Código da questão: 59336 É de extrema importância que o investigador tenha um conhecimento em análise e perícia __________ mais aprofundado, pois, em alguns momentos, será necessária uma ________, como coleta de dump de memória e sistema de dados, __________, análise de código-fonte e outros. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Forense computacional; coleta de dados; área de trabalho. De dados; análise mais avançada; arquivos executáveis. De telefonia; análise; registros do chip de memória. De dados; análise; área de trabalho. Forense computacional; análise mais avançada; arquivos executáveis. CORRETO Código da questão: 59335 Resolução comentada: deve-se utilizar uma máquina separada na rede e isolada, pois, ao executar um código-fonte malicioso, este pode infectar a sua máquina e comprometer a estrutura da organização. Há situações em que o investigador encontra uma quantidade tão pequena de evidências que faltam dados para montar uma sequência lógica de eventos, necessitando, desta forma, uma análise mais profunda no dispositivo em questão. Mais um detalhe bem importante é a busca por evidências escondidas intencionalmente ou pelo próprio sistema durante a sua execução, também necessitando de um conhecimento maior para uma análise mais completa do dispositivo. Resolução comentada: é de extrema importância que o investigador tenha um conhecimento em análise e perícia forense computacional mais aprofundado, pois, em alguns momentos, será necessária uma análise mais avançada, como coleta de dump de memória e sistema de dados, arquivos executáveis, análise de código-fonte e outros. 3) 4) 5) Sobre a avaliação de um PPCN (projeto de plano de continuidade de negócios), podemos afirmar que: I. Sua elaboração compreende desde sua concepção e utilização até sua revisão. II. Para a avaliação de um PPCN, conta-se com a opinião de especialistas. III. Na avaliação da qualidade de um PPCN, leva-se em conta uma das fases apenas. IV. A utilização do PPCN garante o alcance do objetivo da retomada do tempo (RTO). V. O uso do PPCN de qualidade restabelece o ambiente computacional de uma organização. São verdadeiras: Alternativas: II – IV – V. I – II – IV. I – II – V. CORRETO III – IV – V. I – III. Código da questão: 59347 Sobre a computação forense para segurança digital, há alguns conceitos importantes a serem levados em questão. Referente a alguns destes conceitos, leia e associe as duas colunas: Assinale a alternativa que traz a associação correta entre as duas colunas: Alternativas: I – B; II – C; III – A. CORRETO I – B; II – A; III – C. I – A; II – B; III – C. I – C; II – A; III – B. I – A; II – C; III – B. Código da questão: 59316 Sobre os cuidados ao realizar uma investigação de ataques, podemos afirmar que: I. Recomenda-se o uso de máquinas virtuais (VM) para a realização da análise das evidências, por precaução. II. Recomenda-se a utilização da máquina do investigador para realização da análise, desde que esteja fora da rede da organização. III. O uso de máquinas virtuais é de extrema importância, visto que não há como saber se a evidência analisada é perigosa ou não. Resolução comentada: a afirmação I é verdadeira, porque a avaliação da qualidade de um PPCN engloba o processo de sua elaboração, desde sua concepção e utilização até sua revisão; a afirmação II é verdadeira, pois este processo conta com a opinião dos especialistas e permite uma análise abrangente desse tema por quaisquer organizações. A afirmação III está errada, porque, para que se possa avaliar a qualidade de um PPCN, deve-se levar em consideração uma série de características de todas as fases do plano que englobam a sua elaboração, utilização e manutenção. A afirmação IV está errada, pois o resultado da utilização de um PPCN de alta qualidade é o restabelecimento do ambiente computacional de uma organização de forma adequada, em tempo hábil, cumprindo-se os objetivos de tempo de recuperação (RTO) e ponto de recuperação (RPO) para cada uma de suas aplicações, sendo esta a razão também para a afirmação V ser verdadeira. Resolução comentada: a segurança da informação visa a proteção dos ativos de uma organização. Ativos que incluem pessoas, processos, tecnologia e informações. A gestão de incidentes visa a resposta de forma imediata às ocorrências de fraude, invasão, vulnerabilidades e outros. A computação forense visa a execução de análise e perícia caso ocorra algum tipo de violação. 6) 7) IV. Recomenda-se que a máquina seja isolada e que não possua acesso à rede interna da organização. V. Pode-se utilizar a máquina na rede, simulando um ambiente real; as evidências, normalmente, são simples e incapazes de causar outros danos. São verdadeiras: Alternativas: II – IV. I – III – IV. CORRETO I – III. II – IV. I – III – V. Código da questão: 59338 O crime digital é considerado como qualquer ato delituoso utilizando um dispositivo que utilize recursos de tecnologia em seu funcionamento. Sendo assim, o recurso tecnológico pode ser o agente, o facilitador ou o alvo do crime. Sobre os tipos de crime digitais, assinale a alternativa correta. Alternativas: No crime cibernético próprio, os recursos tecnológicos são usados como meio para a realização do crime, em que este poderia ser realizado sem o uso da tecnologia. Os crimes digitais podem ser divididos em crimes cibernéticos próprios, impróprios e unificados. A forense computacional utiliza métodos técnicos e padronizações na busca por evidências tecnológicas para servirem de provas em crimes. No crime cibernético impróprio, os recursos tecnológicos são usados como meio para a realização do crime, em que este poderia ser realizado sem o uso da tecnologia. CORRETO O crime cibernético impróprio, depende do uso de recursos tecnológicos para a realização do crime, sendo este o objeto do crime. Código da questão: 59320 Podemos definir que o direito brasileiro possui significado gramatical em três acepções: _____, o _______ e o resultado da ação de provar. A prova digital possui características diferentes das tradicionais, devido à _______, reprodutibilidade e _______, dificultando, muitas vezes, a análise. Alternativas: Ato de provar; meio da prova; portabilidade; volatilidade. CORRETO Ato de provar; prova; incompatibilidade; volatilidade. Investigação; prova; incompatibilidade; instabilidade. Investigação; meio da prova; portabilidade; instabilidade. Prova; meio da prova;portabilidade; volatilidade. Resolução comentada: a afirmação I é verdadeira, pois recomenda-se o uso de máquinas virtuais (VM) para a realização da análise das evidências por precaução; e da mesma forma, a III está correta, pois o uso de máquinas virtuais é de extrema importância, visto que não há como saber se a evidência analisada é perigosa ou não; já a II está incorreta, pois não se recomenda a utilização da máquina do investigador na realização da análise, independente de ela estar na rede da organização ou não. A IV está correta, pois recomenda-se que a máquina seja isolada e que não possua acesso à rede interna da organização; e V é errônea, pois há sempre a necessidade de isolamento da máquina para evitar maiores danos à estrutura da organização, jamais deve-se usar a máquina ligada à rede da organização. Resolução comentada: no crime cibernético impróprio, os recursos tecnológicos são usados como meio para a realização do crime, em que este poderia ser realizado sem o uso da tecnologia. As demais alternativas estão erradas, pois possuem inversão dos conceitos e acréscimo de um item, crime cibernético unificado, que não existe, de acordo com a bibliografia utilizada. Sendo assim, os crimes digitais podem ser divididos em duas partes: crimes cibernéticos próprios, que são os que dependem do uso de recursos tecnológicos para a realização do crime, sendo este o objeto do crime; e crimes cibernéticos impróprios, definido na resposta correta. Sobre a forense, na verdade, ela utiliza, em sua definição, métodos técnicos e cientificados. 8) 9) 10) Código da questão: 59332 Sobre a metodologia de análise forense, podemos afirmar que: I. A análise consiste em coletar dados e informações que podem conter evidências digitais ou possuir alguma relação com o evento investigado. II. Apresentação dos resultados obtidos consiste em gerar um relatório em que devem estar descritos os procedimentos realizados e os resultados obtidos. III. O exame consiste em realizar a verificação dos dados filtrados para buscar informações úteis e relevantes. IV. Coleta consiste em coletar dados e informações que podem conter evidências digitais ou possuir alguma relação com o evento investigado. V. A padronização da metodologia de análise forense auxilia no processo de forense computacional, sendo composta, no geral, por seis etapas. São verdadeiras: Alternativas: IV – V. I – II – III. II – IV. CORRETO I – III – V. I – II – IV. Código da questão: 59328 Ao realizar a análise e correlação dos eventos, é importante a criação de uma ___________ dos processos, baseada nos _____________ importantes coletados. Com esta _______, fica mais visível a ordem exata de cada detalhe do acontecimento, possibilitando entender ___________, quando aconteceu, por que aconteceu e talvez quem causou o ataque ou incidente. Alternativas: Linha do tempo; vestígios encontrados; análise; o que aconteceu. Planilha em Excel; vestígios encontrados; ferramenta; o que aconteceu. Linha do tempo; vestígios encontrados; linha; o ataque. Linha do tempo; horários dos vestígios; linha; o que aconteceu. CORRETO Planilha em Excel; horários dos vestígios; ferramenta; o ataque. Código da questão: 59339 A função________ significa desenvolver e implementar atividades apropriadas para __________ de incidentes, permitindo a descoberta oportuna de eventos de segurança e incidentes. Já a função ________ significa desenvolver e implementar atividades apropriadas para _____________em relação a um incidente _______ de segurança cibernética, e suporta a capacidade de conter o Resolução comentada: podemos definir que o direito brasileiro possui um significado gramatical em três acepções: o ato de provar, o meio de prova e o resultado da ação de provar. A prova digital possui características diferentes das tradicionais, devido à portabilidade, reprodutibilidade e volatilidade, dificultando, muitas vezes, a análise. Resolução comentada: a afirmação I está errada, pois o conceito citado é sobre a etapa de coleta e não a de exame; a II está correta, pois apresentação dos resultados obtidos consiste em gerar um relatório em que devem estar descritos os procedimentos realizados e os resultados obtidos; já a III está errada, este conceito se refere à etapa de análise e não de exame, e utiliza o termo análise dos dados filtrados; a IV está correta, pois a coleta consiste em coletar dados e informações que podem conter evidências digitais ou possuir alguma relação com o evento investigado; e a V está incorreta, pois é composta, no geral, por quatro etapas e não seis. Resolução comentada: ao realizar a análise e correlação dos eventos, é importante a criação de uma linha do tempo dos processos, baseada nos horários dos vestígios importantes coletados. Com esta linha, fica mais visível a ordem exata de cada detalhe do acontecimento, possibilitando entender o que aconteceu, quando aconteceu, por que aconteceu e talvez quem causou o ataque ou incidente. impacto de um potencial incidente. Alternativas: Responder; identificar a ocorrência; detectar – tomar medidas; detectado. Responder; tomar medidas; responder; analisar medidas; encontrado. Detectar; identificar a ocorrência; responder; analisar métodos; encontrado. Detectar; identificar a ocorrência; responder; tomar medidas; detectado. CORRETO Detectar; tomar medidas; responder; identificar ocorrência; encontrado. Código da questão: 59340 Resolução comentada: a função detectar significa desenvolver e implementar atividades apropriadas para identificar a ocorrência de incidentes, permitindo a descoberta oportuna de eventos de segurança e incidentes. Já a função responder significa desenvolver e implementar atividades apropriadas para tomar medidas em relação a um incidente detectado de segurança cibernética, e suporta a capacidade de conter o impacto de um potencial incidente. Arquivos e Links