AV - Procedimentos, técnicas e ferramentas forenses

Prévia do material em texto

Procedimentos, técnicas e ferramentas forenses
Professor(a): Ariel da Silva Dias (Mestrado acadêmico)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e
corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode
responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova!
Com o acesso à internet cada vez mais facilitado, criou-se uma ideia de impunidade com relação ao que é feito através dos mais diversos
tipos de dispositivos disponíveis. Sobre esta suposta impunidade e anonimidade, analise as afirmativas a seguir e assinale-as com V
(verdadeiro) ou F (falso):
( ) É possível recuperar parte das informações do meio digital por meio da perícia forense.
( ) Todas as informações das publicações digitais podem ser recuperadas na íntegra pelo perito.
( ) O uso de perfis fakes impossibilita a identificação do usuário que se utilizou deste meio.
( ) Os acessos realizados por todos os dispositivos no ambiente da internet possuem um endereço.
( ) Um scan de rede é capaz de acessar todas as ações gravadas nos acessos à internet do usuário.
Assinale a alternativa que contenha a sequência correta.
Alternativas:
V – V – F – V – F.
V – F – F – V – F.  CORRETO
F – V – F – V – V.
V – F – V – V – F.
F – F – F – V – V.
Código da questão: 64519
Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes. Na
realização da investigação em um ambiente ligado, os dados se tornam voláteis e o risco de contaminação do ambiente suspeito é maior.
Sobre a investigação em ambientes ligados, assinale a alternativa correta.
Alternativas:
O perito em computação forense precisa desligar o sistema apenas enquanto faz a coleta dos dados.
Durante a Live Forensic, o risco de contaminação dos dados é menor do que nos ambientes ligados.
Para a realização da coleta dos dados e a clonagem bit-a-bit, é fundamental desligar o equipamento.
É importante considerar a volatilidade das informações na coleta, por exemplo, a memória do dispositivo.  CORRETO
Para evitar que os dados sejam contaminados durante a coleta, é necessário evitar a Live Forensic.
Código da questão: 64517
Resolução comentada:
Com o acesso à internet cada vez mais facilitado, criou-se uma ideia de impunidade com relação ao que é feito através dos mais
diversos tipos de dispositivos disponíveis. O falso sentimento de impunidade e anonimidade faz até mesmo as pessoas criarem perfis
fakes nas redes sociais. Entretanto, praticamente tudo que é realizado no meio digital pode ser recuperado, se não totalmente, ao
menos pedaços de evidências, as quais, unidas com outras recuperadas, podem ser utilizadas como vestígios de um crime suspeito e
acabarem gerando provas em um processo contra uma pessoa. Para isso, basta a pessoa ter um conhecimento mais avançado, como é
o caso de um perito em computação forense. Todos os acessos realizados por dispositivos ao ambiente da internet possuem um
endereço de acesso, chamado de TCP/IP (Transmission Control Protocol/Internet Protocol), que fica registrado nos provedores, bem
como pode ser escaneado na rede enquanto o acesso à internet é realizado. Para isso, usa-se um scan de rede, por exemplo, que pode
capturar tudo que a pessoa está realizando no momento, basta ter acesso ao mesmo ambiente.
Resolução comentada:
Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes.
Quando o sistema está desligado, é mais simples de realizar cópias sem alteração do ambiente, evitando contaminação do material,
mas, na realização de investigação em um equipamento ligado, os dados se tornam voláteis e o risco de contaminação do ambiente
suspeito é muito grande. Se desligar o equipamento para realizar uma clonagem bit-a-bit, pode perder dados muito importantes. A
investigação em ambientes ligados é nomeada como Live Forensic e, neste caso, é fundamental que a volatilidade das informações seja
considerada, assim como a necessidade de priorizá-las no momento da coleta, por exemplo, a memória do dispositivo e as conexões de
redes ativas. Quando o perito em computação forense for realizar uma coleta de dados em um equipamento ligado, ele precisa pensar
em ações que evitem qualquer tipo de contaminação.
3)
4)
5)
Tem sido difícil conceituar crimes informáticos em razão da inexistência de uma unanimidade dos doutrinadores. Portanto é de fundamental
importância que se desenvolva o Direito Criminal da Informática.
Referente ao crime informático, leia as afirmativas a seguir e associe as colunas:
Assinale a alternativa que traz a associação correta entre as colunas.
Alternativas:
I – C; II – B; III – A.
I – B; II – A; III – C.
I – C; II – A; III – B.  CORRETO
I – A; II – C; III – B.
I – B; II – C; III – A.
Código da questão: 64499
Na realização da perícia forense computacional, é necessário seguir algumas etapas importantes para a efetividade do processo.
Sobre a forma de atuar do perito durante a perícia forense computacional, assinale a alternativa correta.
Alternativas:
Na perícia forense computacional, geralmente, as descrições dos fatos são limitadas e condicionadas à interpretação do perito.
No processo da perícia forense computacional, o perito tem um papel fundamental, pois a opinião dele é essencial.
A leitura dos itens e do processo possibilita ao perito a conclusão e a solução do problema encontrado.
Na perícia forense computacional, as técnicas usadas para desvendar o evento ocorrido envolvem a parcialidade.
No processo da perícia forense computacional, todos os resultados devem ser alicerçados em confirmações.  CORRETO
Código da questão: 64503
Uma estratégia para reduzir os riscos à confidencialidade, integridade e disponibilidade de ativos de uma organização é a gestão de
incidentes. Ela também diminui as perdas.
Sobre as fases mais importantes de uma estratégia de gestão de incidentes, leia as afirmativas a seguir e associe as colunas:
Resolução comentada:
Os crimes informáticos são classificados como próprios, impróprios, mistos, medianos ou indiretos. Os crimes informáticos próprios são
aqueles em que o bem tutelado é a inviolabilidade de dados ou sistemas computacionais. Os crimes impróprios são aqueles em que
computadores são usados como instrumentos para perpetração de delito, sem que o bem tutelado seja a inviolabilidade de dados ou
sistemas computacionais. Os crimes mistos são aqueles cuja norma busca tutelar, além da inviolabilidade da coisa digital, outro bem
jurídico diverso. Os crimes medianos ou indiretos são os delitos não informáticos que herdam a característica de outro delito praticado,
para que se alcance a consumação deste último.
Resolução comentada:
Para a realização da perícia forense computacional, efetivamente, são essenciais algumas etapas. Faz-se necessária a compreensão da
situação para tomar conhecimento do que ocorreu ou o que se pensa ter ocorrido. Na perícia forense, normalmente, há relatos no
processo e alguns quesitos levantados que o perito precisará responder, sendo que ele jamais deverá responder o que acha que
ocorreu ou não ocorreu. Todas as respostas devem estar embasadas em evidências e nunca em opiniões. Ao ler os quesitos e o
processo, o perito terá uma boa ideia sobre a situação, inclusive do que precisará informar às partes e solicitar ao juiz.
6)
7)
Assinale a alternativa que traz a associação correta entre as colunas.
Alternativas:
I – A; II – B; III – C.
I – C; II – A; III – B.
I – B; II – C; III – A.
I – B; II – A; III – C.
I – A; II – C; III – B.  CORRETO
Código da questão: 64506
Evidência digital se relaciona a toda e qualquer informação digital capaz de indicar se realmente ocorreu um incidente. Ela poderá ser
armazenada em outro dispositivo sem nenhuma alteração. Sobre a evidência digital,analise as afirmativas a seguir:
I. Quanto menor a volatilidade de uma informação, mais difícil a sua extração.
II. O local onde a evidência está armazenada interfere no seu tempo de vida.
III. Quanto mais difícil a extração da evidência, menor a volatilidade.
IV. As informações para a evidência digital podem estar criptografadas.
V. A maior ou menor volatilidade da informação interfere na sua extração.
Assinale a alternativa que apresenta corretamente quais afirmativas são corretas.
Alternativas:
I e II, apenas.
II, IV e V, apenas.  CORRETO
I, III e IV, apenas.
I, II e V, apenas.
IV e V, apenas.
Código da questão: 64521
Diversas estratégias poderão ser utilizadas por um sistema operacional para a alocação de unidades de dado. Tradicionalmente, um sistema
operacional aloca unidades de dado consecutivas. Sobre este procedimento, analise as afirmativas a seguir e assinale-as com V (verdadeiro)
ou F (falso):
( ) Um arquivo que não tem unidades de dados consecutivas é chamado de acumulação.
( ) Os sistemas operacionais modernos tentam evitar a fragmentação dos arquivos.
( ) Um modelo de fragmentação é derivado da observação de como ela acontece na prática.
Resolução comentada:
Gestão de incidentes é uma estratégia para reduzir os riscos à confidencialidade, integridade e disponibilidade de ativos de uma
organização e diminuir sua perda. As fases relevantes de uma estratégia de gestão de incidentes são: preparação (são organizados os
ambientes, para diminuir os impactos de um incidente, e é definido o time de resposta à incidente, o qual determina o que ocorreu e as
ações a serem tomadas); detecção (tem como objetivo minimizar o risco das ameaças que não foram antecipadas); resposta ao
incidente (possui as seguintes fases: contenção, erradicação e recuperação); pós-incidente (sua principal preocupação é a coleta de
informações das três fases anteriores, para alimentar um processo de aprendizado, visando evitar futuros incidentes semelhantes).
Resolução comentada:
Evidência digital se relaciona a toda e qualquer informação digital capaz de indicar se realmente ocorreu um incidente. Ela poderá ser
armazenada em outro dispositivo sem nenhuma alteração. A captura de evidências em um sistema computacional ocorre através de
uma varredura minuciosa na busca por informações. Essas informações podem estar em arquivos, na memória, ter sido excluídas,
criptografadas, ser apenas parte de um arquivo ou estarem em arquivos danificados, o que torna a afirmativa IV verdadeira. O tempo
de vida de uma evidência digital varia de acordo com o local onde ela está armazenada, o que torna a afirmativa II verdadeira. Quanto
maior a volatilidade de uma informação, mais difícil se torna a sua extração e menos tempo há para a sua captura, o que torna as
afirmativas I e III falsas, e a afirmativa V verdadeira.
8)
9)
( ) A fragmentação independe das características dos sistemas de arquivos ou de suposições.
( ) Apesar de os arquivos fragmentados serem incomuns, pode existir uma região contígua suficiente.
Assinale a alternativa que contenha a sequência correta.
Alternativas:
F – V – V – F – F.  CORRETO
F – F – V – V – F.
F – F – F – V – F.
V – V – F – F – V.
V – V – V – F – V.
Código da questão: 64512
O processo de análise forense em um evento de crime digital é especificado em quatro fases, que são: _________, _________, _________ e
_________. A fase mais importante nesse processo é a _________.
Assinale a alternativa que completa adequadamente as lacunas.
Alternativas:
Visualizar; examinar; provar; preservar; visualização.
Perceber; detalhar; examinar; apresentar; apresentação.
Identificar; preservar; examinar; apresentar; preservação.  CORRETO
Examinar; apresentar; legalizar; detalhar; legalização.
Processar; examinar; legalizar; examinar, legalização.
Código da questão: 64504
A Convenção sobre a Cibercriminalidade, que foi adotada pelo Conselho da Europa, em 2001, a respeito dos tipos penais dos crimes
eletrônicos, tipifica algumas condutas que se encontram abertas para a assinatura dos demais países. Sobre essas condutas, assinale a
alternativa correta.
Alternativas:
As infrações referentes ao conteúdo tipificam os crimes por comercialização de aplicativos ilegais.
As comunicações telemáticas estão incluídas nas infrações contra a confidencialidade de dados.  CORRETO
O crime de atentado à integridade de um sistema está tipificado como infração referente ao conteúdo.
Dividem-se as infrações em dois tipos gerais: infrações de produção e infrações de estelionatos.
O acesso doloso ilegal ainda não foi incorporado à relação de infrações tipificadas como crimes eletrônicos.
Resolução comentada:
Um sistema operacional pode utilizar diferentes estratégias para a alocação de unidades de dados. Tipicamente, ele aloca unidades de
dados consecutivas, mas isso nem sempre é possível. Um arquivo que não possui unidade de dados consecutivas é chamado de
fragmentação. Os sistemas operacionais modernos buscam evitar que os arquivos sejam fragmentados, mas eles ainda são comuns,
pois pode não haver uma região contígua suficiente para armazenar um novo arquivo. Um modelo de fragmentação é um conjunto de
suposições derivadas da observação de como a fragmentação ocorre na prática, sendo que isso depende da característica dos sistemas
de arquivos ou de outras generalizações de suposições.
Resolução comentada:
O processo de análise forense no evento de um crime digital é descrito, no Modelo Melhorado para Processo de Investigação Digital,
em quatro fases, que são: identificar, preservar, examinar e apresentar. A fase mais pertinente a este trabalho é a de preservação da
evidência, que precisa ser conduzida de forma forensicamente aceitável. As evidências devem ser coletadas de maneira que sejam
aceitas em um processo legal sem ter a sua credibilidade questionada durante ele, por exemplo, alterações da evidência por processos
investigativos.
Resolução comentada:
De acordo com a Convenção sobre a Cibercriminalidade, do Conselho da Europa, adotado em 2001, estão incluídas: as infrações contra
a confidencialidade, integridade e disponibilidade dos dados e sistemas informáticos em que constam o acesso doloso ilegal a um
sistema de informática; a interceptação ilegal de dados ou comunicações telemáticas; o atentado à integridade de um sistema;
10)
Código da questão: 64501
O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas ou públicas. Sobre a atuação desse profissional,
analise as afirmativas a seguir e assinale-as com V (verdadeiro) ou F (falso):
( ) Os peritos devem investigar e penalizar os responsáveis pelos incidentes.
( ) Uma das funções do perito é efetuar ensaios de prováveis vulnerabilidades.
( ) Com a atuação do perito, é possível realizar o processo reverso do incidente.
( ) O perito usa a perícia para evitar que qualquer incidente ocorra.
( ) O perito pode encontrar a falha ocorrida no sistema de segurança.
Assinale a alternativa que contenha a sequência correta.
Alternativas:
V – V – F – F – V.
F – V – V – F – V.  CORRETO
F – V – V – V – V.
V – F – V – V – F.
F – F – V – F – F.
Código da questão: 64498
obtenção ou posse de aplicativos ou códigos de acesso que permitam a prática dos crimes citados. Também fazem parte da convenção
as infrações informáticas que incluem a falsificação de dados e os estelionatos eletrônicos, assim como as infrações relativas ao
conteúdo que tratam de forma detalhada sobre a pornografia infantil e o racismo e a xenofobia.
Resolução comentada:
O perito pode atuar como prestador de serviço ou colaborador nas empresas privadas ou públicas, pois estas possuem uma área
responsável pelos incidentes de segurança. Este profissional será responsável por realizar uma investigação quando da ocorrência de
um incidente e encontrar a falha da segurança que foi explorada para a efetivação da invasão. O perito pode realizar uma perícia
computacional para entender o fato e executar o processo reverso, evitando que incidentes iguais voltem a ocorrer.Também pode
realizar testes de vulnerabilidades em todo o ambiente, para verificar a segurança tecnológica da empresa.
Arquivos e Links