Procedimentos técnicas e ferramentas forenses

Prévia do material em texto

<p>Procedimentos, técnicas e ferramentas forenses</p><p>Professor(a): Ariel Da Silva Dias (Mestrado acadêmico)</p><p>1)</p><p>2)</p><p>3)</p><p>Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e</p><p>corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode</p><p>responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova!</p><p>Na realização da perícia forense computacional, é necessário seguir algumas etapas importantes para a efetividade do processo.</p><p>Sobre a forma de atuar do perito durante a perícia forense computacional, assinale a alternativa correta.</p><p>Alternativas:</p><p>Na perícia forense computacional, geralmente, as descrições dos fatos são limitadas e condicionadas à interpretação do perito.</p><p>No processo da perícia forense computacional, todos os resultados devem ser alicerçados em confirmações.  CORRETO</p><p>A leitura dos itens e do processo possibilita ao perito a conclusão e a solução do problema encontrado.</p><p>No processo da perícia forense computacional, o perito tem um papel fundamental, pois a opinião dele é essencial.</p><p>Na perícia forense computacional, as técnicas usadas para desvendar o evento ocorrido envolvem a parcialidade.</p><p>Código da questão: 64503</p><p>Diversas estratégias poderão ser utilizadas por um sistema operacional para a alocação de unidades de dado. Tradicionalmente, um sistema</p><p>operacional aloca unidades de dado consecutivas. Sobre este procedimento, analise as afirmativas a seguir e assinale-as com V (verdadeiro) ou</p><p>F (falso):</p><p>( ) Um arquivo que não tem unidades de dados consecutivas é chamado de acumulação.</p><p>( ) Os sistemas operacionais modernos tentam evitar a fragmentação dos arquivos.</p><p>( ) Um modelo de fragmentação é derivado da observação de como ela acontece na prática.</p><p>( ) A fragmentação independe das características dos sistemas de arquivos ou de suposições.</p><p>( ) Apesar de os arquivos fragmentados serem incomuns, pode existir uma região contígua suficiente.</p><p>Assinale a alternativa que contenha a sequência correta.</p><p>Alternativas:</p><p>V – V – F – F – V.</p><p>V – V – V – F – V.</p><p>F – V – V – F – F.  CORRETO</p><p>F – F – F – V – F.</p><p>F – F – V – V – F.</p><p>Código da questão: 64512</p><p>Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes. Na</p><p>realização da investigação em um ambiente ligado, os dados se tornam voláteis e o risco de contaminação do ambiente suspeito é maior.</p><p>Sobre a investigação em ambientes ligados, assinale a alternativa correta.</p><p>Resolução comentada:</p><p>Para a realização da perícia forense computacional, efetivamente, são essenciais algumas etapas. Faz-se necessária a compreensão da</p><p>situação para tomar conhecimento do que ocorreu ou o que se pensa ter ocorrido. Na perícia forense, normalmente, há relatos no</p><p>processo e alguns quesitos levantados que o perito precisará responder, sendo que ele jamais deverá responder o que acha que</p><p>ocorreu ou não ocorreu. Todas as respostas devem estar embasadas em evidências e nunca em opiniões. Ao ler os quesitos e o</p><p>processo, o perito terá uma boa ideia sobre a situação, inclusive do que precisará informar às partes e solicitar ao juiz.</p><p>Resolução comentada:</p><p>Um sistema operacional pode utilizar diferentes estratégias para a alocação de unidades de dados. Tipicamente, ele aloca unidades de</p><p>dados consecutivas, mas isso nem sempre é possível. Um arquivo que não possui unidade de dados consecutivas é chamado de</p><p>fragmentação. Os sistemas operacionais modernos buscam evitar que os arquivos sejam fragmentados, mas eles ainda são comuns,</p><p>pois pode não haver uma região contígua suficiente para armazenar um novo arquivo. Um modelo de fragmentação é um conjunto de</p><p>suposições derivadas da observação de como a fragmentação ocorre na prática, sendo que isso depende da característica dos sistemas</p><p>de arquivos ou de outras generalizações de suposições.</p><p>4)</p><p>5)</p><p>Alternativas:</p><p>Para evitar que os dados sejam contaminados durante a coleta, é necessário evitar a Live Forensic.</p><p>É importante considerar a volatilidade das informações na coleta, por exemplo, a memória do dispositivo.  CORRETO</p><p>O perito em computação forense precisa desligar o sistema apenas enquanto faz a coleta dos dados.</p><p>Durante a Live Forensic, o risco de contaminação dos dados é menor do que nos ambientes ligados.</p><p>Para a realização da coleta dos dados e a clonagem bit-a-bit, é fundamental desligar o equipamento.</p><p>Código da questão: 64517</p><p>As informações que serão examinadas em uma perícia deverão ser coletadas de maneira que não aconteça nenhum tipo de alteração das</p><p>provas.</p><p>Sobre os cuidados a serem tomados nesta etapa da coleta, assinale a alternativa correta.</p><p>Alternativas:</p><p>Para evitar que ocorra uma gravação acidental na mídia questionada, é importante proteger o hardware.</p><p>Para proteger a mídia questionada de uma gravação, pode-se utilizar um dispositivo específico de hardware.  CORRETO</p><p>O risco de uma gravação na mídia questionada poderá ser descartado isolando-a das demais provas.</p><p>Para proteção contra a gravação na mídia questionada, pode-se usar o dispositivo de hardware Caine.</p><p>Uma opção de proteção contra gravação da mídia questionada é através do sistema de software Tableau.</p><p>Código da questão: 64510</p><p>O objetivo de toda árvore de decisão é criar um modelo possível que possa antever o valor de uma variável de destino, conforme o</p><p>conjunto de variáveis de entrada. Como características positivas para a escolha dos modelos baseados em árvores de decisão, analise as</p><p>afirmativas a seguir:</p><p>I. Uma das características é a complexidade de interpretação do modelo, facilitando a confidencialidade.</p><p>II. Durante o modelamento da árvore, a impossibilidade de acompanhar seus passos torna-a segura.</p><p>III. A característica de que dados de atributos de tipos numéricos e nominais possam ser tratados.</p><p>IV. A característica de que tanto problemas binomiais como multinomiais podem ser resolvidos.</p><p>V. A característica de que o funcionamento interno não poderá ser observado, garantindo o sigilo.</p><p>Assinale a alternativa que apresenta corretamente quais afirmativas são corretas.</p><p>Alternativas:</p><p>III e IV, apenas.  CORRETO</p><p>I, II e V, apenas.</p><p>I, III e IV, apenas.</p><p>III e V, apenas.</p><p>II e V, apenas.</p><p>Resolução comentada:</p><p>Para a realização de uma investigação de computação forense, é fundamental que sejam considerados os dados voláteis existentes.</p><p>Quando o sistema está desligado, é mais simples de realizar cópias sem alteração do ambiente, evitando contaminação do material,</p><p>mas, na realização de investigação em um equipamento ligado, os dados se tornam voláteis e o risco de contaminação do ambiente</p><p>suspeito é muito grande. Se desligar o equipamento para realizar uma clonagem bit-a-bit, pode perder dados muito importantes. A</p><p>investigação em ambientes ligados é nomeada como Live Forensic e, neste caso, é fundamental que a volatilidade das informações seja</p><p>considerada, assim como a necessidade de priorizá-las no momento da coleta, por exemplo, a memória do dispositivo e as conexões de</p><p>redes ativas. Quando o perito em computação forense for realizar uma coleta de dados em um equipamento ligado, ele precisa pensar</p><p>em ações que evitem qualquer tipo de contaminação.</p><p>Resolução comentada:</p><p>A etapa de coleta é importante para que uma perícia seja bem-sucedida, e é a partir dela que serão examinadas e analisadas as</p><p>informações, por isso é fundamental que seja evitada a contaminação da prova de um possível crime. É essencial proteger a mídia</p><p>questionada contra gravação, e isso poderá ser realizado com a utilização de hardware específico ou por meio de software. Exemplo de</p><p>dispositivo de proteção por hardware é o Tableau TD3 Forensic Imager; já a proteção por software pode ocorrer através da distribuição</p><p>de sistemas operacionais (SO) específicos para perícia digital, como FDTK ou Caine, ou por bloqueio de gravação em portas USB.</p><p>Resolução comentada:</p><p>6)</p><p>7)</p><p>Código da questão: 64507</p><p>Com a computação forense, é possível identificar os vestígios e encontrar evidências sobre os crimes nos ambientes e sistemas</p><p>computacionais. Através da _________, pode-se buscar as provas desses crimes. A prova pericial exige uma fundamentação _________, _________</p><p>ou _________, produzida por um perito oficial. A prova pericial não se confunde com a prova _________, a qual também pode ser submetida à</p><p>perícia.</p><p>Assinale a alternativa que completa adequadamente as lacunas.</p><p>Alternativas:</p><p>Coleta; técnica; documental; artística; avaliativa.</p><p>Perícia; técnica; científica; artística; documental.  CORRETO</p><p>Análise; conclusiva; técnica; científica; documental.</p><p>Técnica; científica; artística; avaliativa; documental.</p><p>Coleta; científica; técnica; documental; artística.</p><p>Código da questão: 64502</p><p>Um fator importante na aquisição de evidências é saber por qual dispositivo começar o trabalho para a obtenção das provas, porque,</p><p>dependendo do dispositivo, a definição da prioridade de análise está condicionada ao tempo em que o conteúdo de uma instrução</p><p>permanece armazenado.</p><p>Sobre os procedimentos de acordo com a ordem de volatilidade, assinale a alternativa correta.</p><p>Alternativas:</p><p>Os dispositivos, como aparelhos de fax, não costumam ser úteis para a coleta de dados a serem analisados.</p><p>As memórias de vídeo não são muito úteis para extração de informações, pois não poderão ser capturadas.</p><p>As impressoras podem conter informações armazenadas que já não se encontram mais no sistema analisado.  CORRETO</p><p>As informações registradas na CPU são de grande e fundamental importância para a extração de provas.</p><p>As informações contidas nos registradores e nas memórias caches são importantes, pois têm longa durabilidade.</p><p>Código da questão: 64522</p><p>O objetivo de qualquer árvore de decisão é criar um modelo viável que possa prever o valor de uma variável de destino, conforme o</p><p>conjunto de variáveis de entrada. Os modelos baseados em árvores de decisão apresentam características positivas para a sua escolha,</p><p>como a facilidade de análise e interpretação do modelo, o que torna a afirmativa I incorreta. O seu funcionamento interno pode ser</p><p>observado e, assim, os passos que estão sendo usados podem ser vistos quando a árvore está sendo modelada, o que torna as</p><p>afirmativas II e V incorretas. A possibilidade de tratar dados de atributos de tipos numéricos e nominais, o que torna a afirmativa III</p><p>correta. A disponibilidade de algoritmos que permitem resolver tanto problemas binomiais quanto multinomiais, o que torna a</p><p>afirmativa IV correta.</p><p>Resolução comentada:</p><p>Através da perícia, é possível encontrar provas de diversos crimes nos ambientes e sistemas computacionais. A prova pericial é um meio</p><p>de prova que exige uma fundamentação técnica, científica ou artística produzida por um perito oficial. Ela é diferente das demais provas</p><p>subjetivas, uma vez que é baseada em um princípio científico aplicado por meio de técnica adequada – ela não se confunde com a</p><p>prova documental. Poderá resultar de um mesmo documento (tradicional ou eletrônico), que deu origem a uma prova documental.</p><p>Resolução comentada:</p><p>Um fator importante na aquisição de evidências é saber por qual dispositivo começar o trabalho para a obtenção das provas, porque,</p><p>dependendo do dispositivo, a definição da prioridade de análise está condicionada ao tempo em que o conteúdo de uma instrução</p><p>permanece armazenado. As informações contidas nos registradores da CPU são de pouca importância, pois tanto as informações dos</p><p>registradores quanto das memórias caches são impraticáveis, devido ao tempo de vida muito curto delas. Os dispositivos, como</p><p>modems, pagers, aparelhos de fax e impressoras, possuem memórias que podem ser acessadas e cujos dados salvos. Nelas, podem</p><p>estar armazenadas informações que não mais residem no sistema analisado, como documentos e mensagens de texto ou números de</p><p>fax e telefone. A memória de vídeo também pode ter informações úteis no caso de o invasor utilizar um console ou terminal gráfico, de</p><p>modo que a tela corrente pode ser capturada ou reproduzida.</p><p>8)</p><p>9)</p><p>10)</p><p>Existem duas etapas fundamentais para o sucesso de uma perícia computacional, são elas: a coleta e o exame. Cada uma dessas etapas é</p><p>formada por diversos procedimentos.</p><p>Sobre estes procedimentos, assinale a alternativa correta.</p><p>Alternativas:</p><p>Durante a etapa do exame, é feita a filtragem aplicada sobre o assunto em questão.  CORRETO</p><p>Na etapa da coleta, também é feita a documentação do material que foi encontrado.</p><p>Tanto na coleta quanto no exame, é feita a embalagem de evidências.</p><p>A identificação é um procedimento que só acontece na coleta dos materiais.</p><p>Na coleta, procura-se reduzir ao máximo o material apreendido e que será analisado.</p><p>Código da questão: 64515</p><p>Com o acesso à internet cada vez mais facilitado, criou-se uma ideia de impunidade com relação ao que é feito através dos mais diversos</p><p>tipos de dispositivos disponíveis. Sobre esta suposta impunidade e anonimidade, analise as afirmativas a seguir e assinale-as com V</p><p>(verdadeiro) ou F (falso):</p><p>( ) É possível recuperar parte das informações do meio digital por meio da perícia forense.</p><p>( ) Todas as informações das publicações digitais podem ser recuperadas na íntegra pelo perito.</p><p>( ) O uso de perfis fakes impossibilita a identificação do usuário que se utilizou deste meio.</p><p>( ) Os acessos realizados por todos os dispositivos no ambiente da internet possuem um endereço.</p><p>( ) Um scan de rede é capaz de acessar todas as ações gravadas nos acessos à internet do usuário.</p><p>Assinale a alternativa que contenha a sequência correta.</p><p>Alternativas:</p><p>V – V – F – V – F.</p><p>V – F – F – V – F.  CORRETO</p><p>F – F – F – V – V.</p><p>F – V – F – V – V.</p><p>V – F – V – V – F.</p><p>Código da questão: 64519</p><p>É necessário caracterizar cada fragmento de arquivo como um conjunto de atributos para treinar uma máquina de classificação sobre os</p><p>dados de fragmento de arquivo. Esses atributos não podem ser montados para descrever invariantes de tipos de arquivos específicos, mas</p><p>invariantes gerais de conteúdos de arquivo. Sobre este processo, leia e associe as duas colunas:</p><p>Resolução comentada:</p><p>Duas etapas são muito importantes para uma perícia computacional de sucesso, são elas: a coleta e o exame. A etapa da coleta é</p><p>responsável pela identificação e pelo isolamento da área necessária, pela preservação dos dados, pela coleta das evidências, pela</p><p>garantia da integridade e por embalar, etiquetar e manter a cadeia de custódia, mantendo a proteção do que foi coletado. Na etapa do</p><p>exame, ocorre a identificação do material que foi coletado, a extração destes dados e a filtragem aplicada sobre o assunto questionado,</p><p>bem como a documentação do que for encontrado. Apenas após estas duas etapas que se inicia a análise, pois o exame tem o objetivo</p><p>de reduzir a quantidade de material a ser analisado.</p><p>Resolução comentada:</p><p>Com o acesso à internet cada vez mais facilitado, criou-se uma ideia de impunidade com relação ao que é feito através dos mais</p><p>diversos tipos de dispositivos disponíveis. O falso sentimento de impunidade e anonimidade faz até mesmo as pessoas criarem perfis</p><p>fakes nas redes sociais. Entretanto, praticamente tudo que é realizado no meio digital pode ser recuperado, se não totalmente, ao</p><p>menos pedaços de evidências, as quais, unidas com outras recuperadas, podem ser utilizadas como vestígios de um crime suspeito e</p><p>acabarem gerando provas em um processo contra uma pessoa. Para isso, basta a pessoa ter um conhecimento mais avançado, como é</p><p>o caso de um perito em computação forense. Todos os acessos realizados por dispositivos ao ambiente da internet possuem um</p><p>endereço de acesso, chamado de TCP/IP (Transmission Control Protocol/Internet Protocol), que fica registrado nos provedores, bem</p><p>como pode ser escaneado na rede enquanto o acesso à internet é realizado. Para isso, usa-se um scan de rede, por exemplo, que pode</p><p>capturar tudo que a pessoa está realizando no momento, basta ter acesso ao mesmo ambiente.</p><p>Assinale a alternativa que traz a associação correta entre as colunas.</p><p>Alternativas:</p><p>I – A; II – B; III – C.</p><p>I – B; II – C; III – A.</p><p>I – B; II – A; III – C.</p><p>I – C; II – B; III – A.  CORRETO</p><p>I – C; II – A; III – B.</p><p>Código da questão: 64513</p><p>Resolução comentada:</p><p>Para treinar uma máquina de classificação sobre os dados de fragmento de arquivo, é necessário representar cada fragmento de</p><p>arquivo como um conjunto de atributos, sendo que cada atributo deve ser extraível de qualquer tipo de arquivo ou fragmento. Para</p><p>descrever e diferenciar todos os tipos de arquivo, os atributos não podem ser montados para descrever invariantes de tipos de arquivos</p><p>específicos, e sim invariantes gerais de conteúdo de arquivo, tais como: fragmentos de dado que não possuem uma ordem específica</p><p>(por exemplo: funções de arquivos fontes de linguagem de programação); fragmentos de dados que podem ser reordenados sem se</p><p>tornarem completamente diferentes (por exemplo: imagens não comprimidas); dados que podem ser deslocados, mantendo-se</p><p>sintaticamente corretos e semanticamente semelhantes (por exemplo: introdução de feeds de linha em arquivos de texto).</p><p>Arquivos e Links</p>