Introducao a computacao forense

Prévia do material em texto

Introdução à computação forense
Professor(a): Juliane Adélia Soares (Especialização)
1)
2)
O Programa de dependência e recuperação (PDR) é a última oportunidade de conquistar a sua APROVAÇÃO na disciplina. A avaliação é
realizada eletronicamente, composta por questões objetivas e é permitida a consulta ao material de estudos. Ela tem duração de 30 (trinta)
dias corridos para realização e você tem até três tentativas para “Enviar” as questões, que são automaticamente corrigidas. Boa prova!
Sobre o processo de identificação de reconstituição de ataques, considere as seguintes afirmações:
( ) Deve-se utilizar uma máquina separada na rede, e de preferência isolada, para a análise de um executável, devido aos perigos que ele
pode trazer consigo.
( ) O analista, ao executar a análise de um código-fonte, pode utilizar a sua máquina para testar o programa, pois um ambiente real é o
mais indicado.
( ) Há situações em que o investigador encontra uma quantidade tão pequena de evidências que faltam dados para montar uma
sequência lógica de eventos.
( ) Mais um detalhe bem importante é a busca por evidências escondidas intencionalmente ou pelo próprio sistema durante a sua
execução.
( ) As evidências sempre serão escondidas por processos automáticos do sistema operacional, que acaba camuflando junto aos seus
processos.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
F – F – V – V – F.
V – F – V – V – F.  CORRETO
V – V – F – F – V.
F – F – V – F – V.
F – V – F – V – F.
Código da questão: 59336
É de extrema importância que o investigador tenha um conhecimento em análise e perícia __________ mais aprofundado, pois, em
alguns momentos, será necessária uma ________, como coleta de dump de memória e sistema de dados, __________, análise de
código-fonte e outros.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Forense computacional; coleta de dados; área de trabalho.
De dados; análise mais avançada; arquivos executáveis.
De telefonia; análise; registros do chip de memória.
De dados; análise; área de trabalho.
Forense computacional; análise mais avançada; arquivos executáveis.  CORRETO
Código da questão: 59335
Resolução comentada:
deve-se utilizar uma máquina separada na rede e isolada, pois, ao executar um código-fonte malicioso, este pode infectar a sua
máquina e comprometer a estrutura da organização. Há situações em que o investigador encontra uma quantidade tão pequena
de evidências que faltam dados para montar uma sequência lógica de eventos, necessitando, desta forma, uma análise mais
profunda no dispositivo em questão. Mais um detalhe bem importante é a busca por evidências escondidas intencionalmente ou
pelo próprio sistema durante a sua execução, também necessitando de um conhecimento maior para uma análise mais completa
do dispositivo.
Resolução comentada:
é de extrema importância que o investigador tenha um conhecimento em análise e perícia forense computacional mais
aprofundado, pois, em alguns momentos, será necessária uma análise mais avançada, como coleta de dump de memória e
sistema de dados, arquivos executáveis, análise de código-fonte e outros.
3)
4)
5)
Sobre a avaliação de um PPCN (projeto de plano de continuidade de negócios), podemos afirmar que:
I. Sua elaboração compreende desde sua concepção e utilização até sua revisão.
II. Para a avaliação de um PPCN, conta-se com a opinião de especialistas.
III. Na avaliação da qualidade de um PPCN, leva-se em conta uma das fases apenas.
IV. A utilização do PPCN garante o alcance do objetivo da retomada do tempo (RTO).
V. O uso do PPCN de qualidade restabelece o ambiente computacional de uma organização.
São verdadeiras:
Alternativas:
II – IV – V.
I – II – IV.
I – II – V.  CORRETO
III – IV – V.
I – III.
Código da questão: 59347
Sobre a computação forense para segurança digital, há alguns conceitos importantes a serem levados em questão. Referente a alguns
destes conceitos, leia e associe as duas colunas:
Assinale a alternativa que traz a associação correta entre as duas colunas:
Alternativas:
I – B; II – C; III – A.  CORRETO
I – B; II – A; III – C.
I – A; II – B; III – C.
I – C; II – A; III – B.
I – A; II – C; III – B.
Código da questão: 59316
Sobre os cuidados ao realizar uma investigação de ataques, podemos afirmar que:
I. Recomenda-se o uso de máquinas virtuais (VM) para a realização da análise das evidências, por precaução.
II. Recomenda-se a utilização da máquina do investigador para realização da análise, desde que esteja fora da rede da organização.
III. O uso de máquinas virtuais é de extrema importância, visto que não há como saber se a evidência analisada é perigosa ou não.
Resolução comentada:
a afirmação I é verdadeira, porque a avaliação da qualidade de um PPCN engloba o processo de sua elaboração, desde sua
concepção e utilização até sua revisão; a afirmação II é verdadeira, pois este processo conta com a opinião dos especialistas e
permite uma análise abrangente desse tema por quaisquer organizações. A afirmação III está errada, porque, para que se possa
avaliar a qualidade de um PPCN, deve-se levar em consideração uma série de características de todas as fases do plano que
englobam a sua elaboração, utilização e manutenção. A afirmação IV está errada, pois o resultado da utilização de um PPCN de
alta qualidade é o restabelecimento do ambiente computacional de uma organização de forma adequada, em tempo hábil,
cumprindo-se os objetivos de tempo de recuperação (RTO) e ponto de recuperação (RPO) para cada uma de suas aplicações,
sendo esta a razão também para a afirmação V ser verdadeira.
Resolução comentada:
a segurança da informação visa a proteção dos ativos de uma organização. Ativos que incluem pessoas, processos, tecnologia e
informações. A gestão de incidentes visa a resposta de forma imediata às ocorrências de fraude, invasão, vulnerabilidades e
outros. A computação forense visa a execução de análise e perícia caso ocorra algum tipo de violação.
6)
7)
IV. Recomenda-se que a máquina seja isolada e que não possua acesso à rede interna da organização.
V. Pode-se utilizar a máquina na rede, simulando um ambiente real; as evidências, normalmente, são simples e incapazes de causar
outros danos.
São verdadeiras:
Alternativas:
II – IV.
I – III – IV.  CORRETO
I – III.
II – IV.
I – III – V.
Código da questão: 59338
O crime digital é considerado como qualquer ato delituoso utilizando um dispositivo que utilize recursos de tecnologia em seu
funcionamento. Sendo assim, o recurso tecnológico pode ser o agente, o facilitador ou o alvo do crime.
Sobre os tipos de crime digitais, assinale a alternativa correta.
Alternativas:
No crime cibernético próprio, os recursos tecnológicos são usados como meio para a realização do crime, em que este poderia ser
realizado sem o uso da tecnologia.
Os crimes digitais podem ser divididos em crimes cibernéticos próprios, impróprios e unificados.
A forense computacional utiliza métodos técnicos e padronizações na busca por evidências tecnológicas para servirem de provas em
crimes.
No crime cibernético impróprio, os recursos tecnológicos são usados como meio para a realização do crime, em que este poderia ser
realizado sem o uso da tecnologia.  CORRETO
O crime cibernético impróprio, depende do uso de recursos tecnológicos para a realização do crime, sendo este o objeto do crime.
Código da questão: 59320
Podemos definir que o direito brasileiro possui significado gramatical em três acepções: _____, o _______ e o resultado da ação de
provar. A prova digital possui características diferentes das tradicionais, devido à _______, reprodutibilidade e _______, dificultando,
muitas vezes, a análise.
Alternativas:
Ato de provar; meio da prova; portabilidade; volatilidade.  CORRETO
Ato de provar; prova; incompatibilidade; volatilidade.
Investigação; prova; incompatibilidade; instabilidade.
Investigação; meio da prova; portabilidade; instabilidade.
Prova; meio da prova;portabilidade; volatilidade.
Resolução comentada:
a afirmação I é verdadeira, pois recomenda-se o uso de máquinas virtuais (VM) para a realização da análise das evidências por
precaução; e da mesma forma, a III está correta, pois o uso de máquinas virtuais é de extrema importância, visto que não há como
saber se a evidência analisada é perigosa ou não; já a II está incorreta, pois não se recomenda a utilização da máquina do
investigador na realização da análise, independente de ela estar na rede da organização ou não. A IV está correta, pois
recomenda-se que a máquina seja isolada e que não possua acesso à rede interna da organização; e V é errônea, pois há sempre
a necessidade de isolamento da máquina para evitar maiores danos à estrutura da organização, jamais deve-se usar a máquina
ligada à rede da organização.
Resolução comentada:
no crime cibernético impróprio, os recursos tecnológicos são usados como meio para a realização do crime, em que este poderia
ser realizado sem o uso da tecnologia. As demais alternativas estão erradas, pois possuem inversão dos conceitos e acréscimo de
um item, crime cibernético unificado, que não existe, de acordo com a bibliografia utilizada. Sendo assim, os crimes digitais
podem ser divididos em duas partes: crimes cibernéticos próprios, que são os que dependem do uso de recursos tecnológicos
para a realização do crime, sendo este o objeto do crime; e crimes cibernéticos impróprios, definido na resposta correta. Sobre a
forense, na verdade, ela utiliza, em sua definição, métodos técnicos e cientificados.
8)
9)
10)
Código da questão: 59332
Sobre a metodologia de análise forense, podemos afirmar que:
I. A análise consiste em coletar dados e informações que podem conter evidências digitais ou possuir alguma relação com o evento
investigado.
II. Apresentação dos resultados obtidos consiste em gerar um relatório em que devem estar descritos os procedimentos realizados e os
resultados obtidos.
III. O exame consiste em realizar a verificação dos dados filtrados para buscar informações úteis e relevantes.
IV. Coleta consiste em coletar dados e informações que podem conter evidências digitais ou possuir alguma relação com o evento
investigado.
V. A padronização da metodologia de análise forense auxilia no processo de forense computacional, sendo composta, no geral, por seis
etapas.
São verdadeiras:
Alternativas:
IV – V.
I – II – III.
II – IV.  CORRETO
I – III – V.
I – II – IV.
Código da questão: 59328
Ao realizar a análise e correlação dos eventos, é importante a criação de uma ___________ dos processos, baseada nos
_____________ importantes coletados. Com esta _______, fica mais visível a ordem exata de cada detalhe do acontecimento,
possibilitando entender ___________, quando aconteceu, por que aconteceu e talvez quem causou o ataque ou incidente.
Alternativas:
Linha do tempo; vestígios encontrados; análise; o que aconteceu.
Planilha em Excel; vestígios encontrados; ferramenta; o que aconteceu.
Linha do tempo; vestígios encontrados; linha; o ataque.
Linha do tempo; horários dos vestígios; linha; o que aconteceu.  CORRETO
Planilha em Excel; horários dos vestígios; ferramenta; o ataque.
Código da questão: 59339
A função________ significa desenvolver e implementar atividades apropriadas para __________ de incidentes, permitindo a
descoberta oportuna de eventos de segurança e incidentes. Já a função ________ significa desenvolver e implementar atividades
apropriadas para _____________em relação a um incidente _______ de segurança cibernética, e suporta a capacidade de conter o
Resolução comentada:
podemos definir que o direito brasileiro possui um significado gramatical em três acepções: o ato de provar, o meio de prova e o
resultado da ação de provar. A prova digital possui características diferentes das tradicionais, devido à portabilidade,
reprodutibilidade e volatilidade, dificultando, muitas vezes, a análise.
Resolução comentada:
a afirmação I está errada, pois o conceito citado é sobre a etapa de coleta e não a de exame; a II está correta, pois apresentação
dos resultados obtidos consiste em gerar um relatório em que devem estar descritos os procedimentos realizados e os resultados
obtidos; já a III está errada, este conceito se refere à etapa de análise e não de exame, e utiliza o termo análise dos dados filtrados;
a IV está correta, pois a coleta consiste em coletar dados e informações que podem conter evidências digitais ou possuir alguma
relação com o evento investigado; e a V está incorreta, pois é composta, no geral, por quatro etapas e não seis.
Resolução comentada:
ao realizar a análise e correlação dos eventos, é importante a criação de uma linha do tempo dos processos, baseada nos horários
dos vestígios importantes coletados. Com esta linha, fica mais visível a ordem exata de cada detalhe do acontecimento,
possibilitando entender o que aconteceu, quando aconteceu, por que aconteceu e talvez quem causou o ataque ou incidente.
impacto de um potencial incidente.
Alternativas:
Responder; identificar a ocorrência; detectar – tomar medidas; detectado.
Responder; tomar medidas; responder; analisar medidas; encontrado.
Detectar; identificar a ocorrência; responder; analisar métodos; encontrado.
Detectar; identificar a ocorrência; responder; tomar medidas; detectado.  CORRETO
Detectar; tomar medidas; responder; identificar ocorrência; encontrado.
Código da questão: 59340
Resolução comentada:
a função detectar significa desenvolver e implementar atividades apropriadas para identificar a ocorrência de incidentes,
permitindo a descoberta oportuna de eventos de segurança e incidentes. Já a função responder significa desenvolver e
implementar atividades apropriadas para tomar medidas em relação a um incidente detectado de segurança cibernética, e suporta
a capacidade de conter o impacto de um potencial incidente.
Arquivos e Links