Baixe o app para aproveitar ainda mais
Prévia do material em texto
Procedimentos, técnicas e ferramentas forenses Professor(a): Ariel da Silva Dias (Mestrado acadêmico) 1) 2) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! Com o acesso à internet cada vez mais facilitado, criou-se uma ideia de impunidade com relação ao que é feito através dos mais diversos tipos de dispositivos disponíveis. Sobre esta suposta impunidade e anonimidade, analise as afirmativas a seguir e assinale-as com V (verdadeiro) ou F (falso): ( ) É possível recuperar parte das informações do meio digital por meio da perícia forense. ( ) Todas as informações das publicações digitais podem ser recuperadas na íntegra pelo perito. ( ) O uso de perfis fakes impossibilita a identificação do usuário que se utilizou deste meio. ( ) Os acessos realizados por todos os dispositivos no ambiente da internet possuem um endereço. ( ) Um scan de rede é capaz de acessar todas as ações gravadas nos acessos à internet do usuário. Assinale a alternativa que contenha a sequência correta. Alternativas: V – V – F – V – F. V – F – F – V – F. CORRETO F – V – F – V – V. V – F – V – V – F. F – F – F – V – V. Código da questão: 64519 Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes. Na realização da investigação em um ambiente ligado, os dados se tornam voláteis e o risco de contaminação do ambiente suspeito é maior. Sobre a investigação em ambientes ligados, assinale a alternativa correta. Alternativas: O perito em computação forense precisa desligar o sistema apenas enquanto faz a coleta dos dados. Durante a Live Forensic, o risco de contaminação dos dados é menor do que nos ambientes ligados. Para a realização da coleta dos dados e a clonagem bit-a-bit, é fundamental desligar o equipamento. É importante considerar a volatilidade das informações na coleta, por exemplo, a memória do dispositivo. CORRETO Para evitar que os dados sejam contaminados durante a coleta, é necessário evitar a Live Forensic. Código da questão: 64517 Resolução comentada: Com o acesso à internet cada vez mais facilitado, criou-se uma ideia de impunidade com relação ao que é feito através dos mais diversos tipos de dispositivos disponíveis. O falso sentimento de impunidade e anonimidade faz até mesmo as pessoas criarem perfis fakes nas redes sociais. Entretanto, praticamente tudo que é realizado no meio digital pode ser recuperado, se não totalmente, ao menos pedaços de evidências, as quais, unidas com outras recuperadas, podem ser utilizadas como vestígios de um crime suspeito e acabarem gerando provas em um processo contra uma pessoa. Para isso, basta a pessoa ter um conhecimento mais avançado, como é o caso de um perito em computação forense. Todos os acessos realizados por dispositivos ao ambiente da internet possuem um endereço de acesso, chamado de TCP/IP (Transmission Control Protocol/Internet Protocol), que fica registrado nos provedores, bem como pode ser escaneado na rede enquanto o acesso à internet é realizado. Para isso, usa-se um scan de rede, por exemplo, que pode capturar tudo que a pessoa está realizando no momento, basta ter acesso ao mesmo ambiente. Resolução comentada: Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes. Quando o sistema está desligado, é mais simples de realizar cópias sem alteração do ambiente, evitando contaminação do material, mas, na realização de investigação em um equipamento ligado, os dados se tornam voláteis e o risco de contaminação do ambiente suspeito é muito grande. Se desligar o equipamento para realizar uma clonagem bit-a-bit, pode perder dados muito importantes. A investigação em ambientes ligados é nomeada como Live Forensic e, neste caso, é fundamental que a volatilidade das informações seja considerada, assim como a necessidade de priorizá-las no momento da coleta, por exemplo, a memória do dispositivo e as conexões de redes ativas. Quando o perito em computação forense for realizar uma coleta de dados em um equipamento ligado, ele precisa pensar em ações que evitem qualquer tipo de contaminação. 3) 4) 5) Tem sido difícil conceituar crimes informáticos em razão da inexistência de uma unanimidade dos doutrinadores. Portanto é de fundamental importância que se desenvolva o Direito Criminal da Informática. Referente ao crime informático, leia as afirmativas a seguir e associe as colunas: Assinale a alternativa que traz a associação correta entre as colunas. Alternativas: I – C; II – B; III – A. I – B; II – A; III – C. I – C; II – A; III – B. CORRETO I – A; II – C; III – B. I – B; II – C; III – A. Código da questão: 64499 Na realização da perícia forense computacional, é necessário seguir algumas etapas importantes para a efetividade do processo. Sobre a forma de atuar do perito durante a perícia forense computacional, assinale a alternativa correta. Alternativas: Na perícia forense computacional, geralmente, as descrições dos fatos são limitadas e condicionadas à interpretação do perito. No processo da perícia forense computacional, o perito tem um papel fundamental, pois a opinião dele é essencial. A leitura dos itens e do processo possibilita ao perito a conclusão e a solução do problema encontrado. Na perícia forense computacional, as técnicas usadas para desvendar o evento ocorrido envolvem a parcialidade. No processo da perícia forense computacional, todos os resultados devem ser alicerçados em confirmações. CORRETO Código da questão: 64503 Uma estratégia para reduzir os riscos à confidencialidade, integridade e disponibilidade de ativos de uma organização é a gestão de incidentes. Ela também diminui as perdas. Sobre as fases mais importantes de uma estratégia de gestão de incidentes, leia as afirmativas a seguir e associe as colunas: Resolução comentada: Os crimes informáticos são classificados como próprios, impróprios, mistos, medianos ou indiretos. Os crimes informáticos próprios são aqueles em que o bem tutelado é a inviolabilidade de dados ou sistemas computacionais. Os crimes impróprios são aqueles em que computadores são usados como instrumentos para perpetração de delito, sem que o bem tutelado seja a inviolabilidade de dados ou sistemas computacionais. Os crimes mistos são aqueles cuja norma busca tutelar, além da inviolabilidade da coisa digital, outro bem jurídico diverso. Os crimes medianos ou indiretos são os delitos não informáticos que herdam a característica de outro delito praticado, para que se alcance a consumação deste último. Resolução comentada: Para a realização da perícia forense computacional, efetivamente, são essenciais algumas etapas. Faz-se necessária a compreensão da situação para tomar conhecimento do que ocorreu ou o que se pensa ter ocorrido. Na perícia forense, normalmente, há relatos no processo e alguns quesitos levantados que o perito precisará responder, sendo que ele jamais deverá responder o que acha que ocorreu ou não ocorreu. Todas as respostas devem estar embasadas em evidências e nunca em opiniões. Ao ler os quesitos e o processo, o perito terá uma boa ideia sobre a situação, inclusive do que precisará informar às partes e solicitar ao juiz. 6) 7) Assinale a alternativa que traz a associação correta entre as colunas. Alternativas: I – A; II – B; III – C. I – C; II – A; III – B. I – B; II – C; III – A. I – B; II – A; III – C. I – A; II – C; III – B. CORRETO Código da questão: 64506 Evidência digital se relaciona a toda e qualquer informação digital capaz de indicar se realmente ocorreu um incidente. Ela poderá ser armazenada em outro dispositivo sem nenhuma alteração. Sobre a evidência digital,analise as afirmativas a seguir: I. Quanto menor a volatilidade de uma informação, mais difícil a sua extração. II. O local onde a evidência está armazenada interfere no seu tempo de vida. III. Quanto mais difícil a extração da evidência, menor a volatilidade. IV. As informações para a evidência digital podem estar criptografadas. V. A maior ou menor volatilidade da informação interfere na sua extração. Assinale a alternativa que apresenta corretamente quais afirmativas são corretas. Alternativas: I e II, apenas. II, IV e V, apenas. CORRETO I, III e IV, apenas. I, II e V, apenas. IV e V, apenas. Código da questão: 64521 Diversas estratégias poderão ser utilizadas por um sistema operacional para a alocação de unidades de dado. Tradicionalmente, um sistema operacional aloca unidades de dado consecutivas. Sobre este procedimento, analise as afirmativas a seguir e assinale-as com V (verdadeiro) ou F (falso): ( ) Um arquivo que não tem unidades de dados consecutivas é chamado de acumulação. ( ) Os sistemas operacionais modernos tentam evitar a fragmentação dos arquivos. ( ) Um modelo de fragmentação é derivado da observação de como ela acontece na prática. Resolução comentada: Gestão de incidentes é uma estratégia para reduzir os riscos à confidencialidade, integridade e disponibilidade de ativos de uma organização e diminuir sua perda. As fases relevantes de uma estratégia de gestão de incidentes são: preparação (são organizados os ambientes, para diminuir os impactos de um incidente, e é definido o time de resposta à incidente, o qual determina o que ocorreu e as ações a serem tomadas); detecção (tem como objetivo minimizar o risco das ameaças que não foram antecipadas); resposta ao incidente (possui as seguintes fases: contenção, erradicação e recuperação); pós-incidente (sua principal preocupação é a coleta de informações das três fases anteriores, para alimentar um processo de aprendizado, visando evitar futuros incidentes semelhantes). Resolução comentada: Evidência digital se relaciona a toda e qualquer informação digital capaz de indicar se realmente ocorreu um incidente. Ela poderá ser armazenada em outro dispositivo sem nenhuma alteração. A captura de evidências em um sistema computacional ocorre através de uma varredura minuciosa na busca por informações. Essas informações podem estar em arquivos, na memória, ter sido excluídas, criptografadas, ser apenas parte de um arquivo ou estarem em arquivos danificados, o que torna a afirmativa IV verdadeira. O tempo de vida de uma evidência digital varia de acordo com o local onde ela está armazenada, o que torna a afirmativa II verdadeira. Quanto maior a volatilidade de uma informação, mais difícil se torna a sua extração e menos tempo há para a sua captura, o que torna as afirmativas I e III falsas, e a afirmativa V verdadeira. 8) 9) ( ) A fragmentação independe das características dos sistemas de arquivos ou de suposições. ( ) Apesar de os arquivos fragmentados serem incomuns, pode existir uma região contígua suficiente. Assinale a alternativa que contenha a sequência correta. Alternativas: F – V – V – F – F. CORRETO F – F – V – V – F. F – F – F – V – F. V – V – F – F – V. V – V – V – F – V. Código da questão: 64512 O processo de análise forense em um evento de crime digital é especificado em quatro fases, que são: _________, _________, _________ e _________. A fase mais importante nesse processo é a _________. Assinale a alternativa que completa adequadamente as lacunas. Alternativas: Visualizar; examinar; provar; preservar; visualização. Perceber; detalhar; examinar; apresentar; apresentação. Identificar; preservar; examinar; apresentar; preservação. CORRETO Examinar; apresentar; legalizar; detalhar; legalização. Processar; examinar; legalizar; examinar, legalização. Código da questão: 64504 A Convenção sobre a Cibercriminalidade, que foi adotada pelo Conselho da Europa, em 2001, a respeito dos tipos penais dos crimes eletrônicos, tipifica algumas condutas que se encontram abertas para a assinatura dos demais países. Sobre essas condutas, assinale a alternativa correta. Alternativas: As infrações referentes ao conteúdo tipificam os crimes por comercialização de aplicativos ilegais. As comunicações telemáticas estão incluídas nas infrações contra a confidencialidade de dados. CORRETO O crime de atentado à integridade de um sistema está tipificado como infração referente ao conteúdo. Dividem-se as infrações em dois tipos gerais: infrações de produção e infrações de estelionatos. O acesso doloso ilegal ainda não foi incorporado à relação de infrações tipificadas como crimes eletrônicos. Resolução comentada: Um sistema operacional pode utilizar diferentes estratégias para a alocação de unidades de dados. Tipicamente, ele aloca unidades de dados consecutivas, mas isso nem sempre é possível. Um arquivo que não possui unidade de dados consecutivas é chamado de fragmentação. Os sistemas operacionais modernos buscam evitar que os arquivos sejam fragmentados, mas eles ainda são comuns, pois pode não haver uma região contígua suficiente para armazenar um novo arquivo. Um modelo de fragmentação é um conjunto de suposições derivadas da observação de como a fragmentação ocorre na prática, sendo que isso depende da característica dos sistemas de arquivos ou de outras generalizações de suposições. Resolução comentada: O processo de análise forense no evento de um crime digital é descrito, no Modelo Melhorado para Processo de Investigação Digital, em quatro fases, que são: identificar, preservar, examinar e apresentar. A fase mais pertinente a este trabalho é a de preservação da evidência, que precisa ser conduzida de forma forensicamente aceitável. As evidências devem ser coletadas de maneira que sejam aceitas em um processo legal sem ter a sua credibilidade questionada durante ele, por exemplo, alterações da evidência por processos investigativos. Resolução comentada: De acordo com a Convenção sobre a Cibercriminalidade, do Conselho da Europa, adotado em 2001, estão incluídas: as infrações contra a confidencialidade, integridade e disponibilidade dos dados e sistemas informáticos em que constam o acesso doloso ilegal a um sistema de informática; a interceptação ilegal de dados ou comunicações telemáticas; o atentado à integridade de um sistema; 10) Código da questão: 64501 O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas ou públicas. Sobre a atuação desse profissional, analise as afirmativas a seguir e assinale-as com V (verdadeiro) ou F (falso): ( ) Os peritos devem investigar e penalizar os responsáveis pelos incidentes. ( ) Uma das funções do perito é efetuar ensaios de prováveis vulnerabilidades. ( ) Com a atuação do perito, é possível realizar o processo reverso do incidente. ( ) O perito usa a perícia para evitar que qualquer incidente ocorra. ( ) O perito pode encontrar a falha ocorrida no sistema de segurança. Assinale a alternativa que contenha a sequência correta. Alternativas: V – V – F – F – V. F – V – V – F – V. CORRETO F – V – V – V – V. V – F – V – V – F. F – F – V – F – F. Código da questão: 64498 obtenção ou posse de aplicativos ou códigos de acesso que permitam a prática dos crimes citados. Também fazem parte da convenção as infrações informáticas que incluem a falsificação de dados e os estelionatos eletrônicos, assim como as infrações relativas ao conteúdo que tratam de forma detalhada sobre a pornografia infantil e o racismo e a xenofobia. Resolução comentada: O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas ou públicas, pois estas possuem uma área responsável pelos incidentes de segurança. Este profissional será responsável por realizar uma investigação quando da ocorrência de um incidente e encontrar a falha da segurança que foi explorada para a efetivação da invasão. O perito pode realizar uma perícia computacional para entender o fato e executar o processo reverso, evitando que incidentes iguais voltem a ocorrer.Também pode realizar testes de vulnerabilidades em todo o ambiente, para verificar a segurança tecnológica da empresa. Arquivos e Links
Compartilhar