Baixe o app para aproveitar ainda mais
Prévia do material em texto
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 1/21 AS Geral Entrega Sem prazo Pontos 10 Perguntas 20 Limite de tempo Nenhum Tentativas permitidas Sem limite Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 59 minutos 9,5 de 10 As respostas corretas estão ocultas. Pontuação desta tentativa: 9,5 de 10 Enviado 13 abr em 16:31 Esta tentativa levou 59 minutos. Fazer o teste novamente 0,5 / 0,5 ptsPergunta 1 Todos os incidentes de segurança devem ser respondidos. Contudo, nem todos o são pela equipe que fez a descoberta do incidente, uma vez que pode ocorrer um desalinhamento entre o incidente e o time de resposta (CSIRT), no que diz respeito à sua capacidade técnica e/ou escopo percebidos no momento da triagem do incidente. Quando isso ocorre, é necessário que o CSIRT faça o repasse desse incidente para que ele seja respondido por um time com capacitação e escopo mais abrangentes. Assinale a alternativa que contempla o formato de envio desse repasse, obedecendo à recomendação proposta pela ENISA: TCP Server-side Router-based https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682/history?version=1 https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682/take?user_id=248417 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 2/21 IODEF GPO O XML IODEF favorece a automação de envio de mensagens entre CSIRTs, e possibilita a adição de serviços de segurança na comunicação, como o sigilo por meio da criptografia e garantia de integridade e não repúdio, por meio de certificado digital e assinatura desse XML. 0,5 / 0,5 ptsPergunta 2 Analisando a afirmação acerca da atividade de “solicitação de atuação do perito forense computacional” a seguir, assinale a alternativa que a classifica e descreve como V (verdadeira) ou F (falsa), em relação à corretude da afirmação: Avaliando casos separados, mas atrelados pelo mesmo espaço de tempo (data) e local de ocorrência dos eventos, um juiz chama um perito, escolhendo entre os disponíveis no cadastro do fórum local, e solicita um parecer comparando as evidências. Verdadeira, pois o juiz deve solicitar a análise de evidências no final da arguição de testemunhas para depois comparar com sua sentença. Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de um mesmo perito, em razão de sigilo imposto entre casos distintos e por impedimento regulado por requisito descrito no Código de Processo Civil. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 3/21 Falsa, pois o juiz não é a autoridade que convoca a atuação do perito forense, que deve ser feita pelo notário local, único com essa atribuição/autoridade. Falsa, pois o juiz não pode solicitar a entrada de um perito no processo de instrução, sem antes obter a autorização do STF. Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também porque pode analisar casos diferentes que compartilham do mesmo provedor de Internet, por exemplo, como infraestrutura de TI. Segundo a determinação contida atualmente no Código de Processo Civil (CPC), para contribuir com a isenção e diminuição de viés, um juiz deve selecionar diferentes profissionais em suas solicitações, o que acaba contribuindo para uma certa “rotatividade” dos profissionais atuantes e, também, abre portas para que novos peritos se inscrevam nesses bancos para ofertarem seus serviços. 0,5 / 0,5 ptsPergunta 3 De uma foma geral, a resposta aos incidentes e, em alguns casos, à investigação do perito forense computacional, coletando evidências desse incidente, depende, inicialmente, de um processo de monitoração de ativos que aponte a ocorrência desse incidente. Dos 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 4/21 ativos listados abaixo, aponte o que demonstra maior dificuldade para esse processo de monitoramento: Ativos de informação. Ativos de serviço. Ativos intangíveis. Ativos de software/sistema. Ativos abstratos. Exemplos de ativos neste ambiente corporativo: • Ativos digitais (conteúdo textual, imagens e multimídia); • Ativos de informação; • Ativos de software/sistema; • Ativos físicos (equipamentos); • Ativos de serviço (eletricidade, comunicação, refrigeração, entre outros); • Ativos humanos (colaboradores, parceiros, entre outros); • Ativos intangíveis (imagem e a reputação da empresa). Destes, ativos intangíveis são difíceis de serem monitorados em relação à ocorrência de incidentes. 0,5 / 0,5 ptsPergunta 4 Incidentes de segurança da informação demandam atividade de investigação de um perito forense, normalmente quando os ativos envolvidos estão relacionados a um ilícito. Neste sentido, especialmente em ambiente corporativo, é correto afirmar que alguns ativos de informação despertam mais interesse de atacantes e, portanto, serão alvo de investigação mais frequentes do perito porque: 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 5/21 Estão relacionados aos logs de eventos corporativos mais recentes. São públicos e facilmente acessíveis. São protegidos por criptografia e Jitter. Possuem alto valor probatório. Possuem ligação com processos e sistemas corporativos internos. A informação contém valor, pois está integrada com os processos, pessoas e tecnologias na corporação. A informação é um ativo que, por sua importância para o negócio, tem um valor para a organização e consequentemente necessita ser adequadamente protegida. 0,5 / 0,5 ptsPergunta 5 Ao avaliar um incidente para a coleta de evidências computacionais, um perito analisa a infraestrutura de rede envolvida e estabelece os ativos para obter informações de eventos e alertas ocorridos desde o momento imediatamente anterior ao incidente até a percepção de paradas de serviço ou evento principal reportado. Neste sentido, assinale a alternativa que descreve o formato de envio desses eventos e alertas, internacionalmente adotado, quando o objetivo é centralizar essas informações em um repositório: 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 6/21 MITM Syslog Trail IODEF SaaS Uma boa prática de mercado é padronizar o conteúdo dos logs produzidos pelos equipamentos da rede (Ex. Syslog), centralizar o envio para um repositório único, facilitando a análise, além de sincronizar todos os equipamentos (Ex. Usando fonte de Network Time Protocol – NTP externa no sincronismo dos relógios de todos os ativos de rede). 0,5 / 0,5 ptsPergunta 6 Nem sempre é possível a obtenção de uma evidência sem viés, interferências e contaminação. Quando realizamos a cópia do tipo “Imagem Lógica”, as propriedades de MAC Times podem ser alteradas, impedindo a correta interpretação pelo perito. Assinale a alternativa que descreve ou exemplifica essa coleta de evidência. Cópia do tipo sync. Cópia de arquivos de page file. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 7/21 Cópia bit-a-bit. Cópia de arquivos de diretórios. Cópia mangle. Dependendo do SO, o MAC Times é referente à propriedade ctime, como ocorre, por exemplo, na maioria das distribuições Linux. 0,5 / 0,5 ptsPergunta 7 Exemplificando a atividade de um perito forense computacional em contribuição a uma investigação criminal envolvendo invasão de um site, é CORRETO afirmar acerca do processo de coleta de evidência típico que o perito deve coletar também EMEI e memória heap do roteador remoto. o perfil psicológico do suspeito sob acusação. informações de conexão com logs do roteador de borda e/ou firewall e logs do servidor Web envolvido.EMEI e memória heap do roteador local. testemunho dos seguranças do andar do data center. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 8/21 Em casos de perícia envolvendo invasão de servidor Web, é importante reconstruir, com a maior completude possível, a linha temporal envolvendo as conexões de rede até a chegada ao ativo alvo. 0,5 / 0,5 ptsPergunta 8 Ao realizar uma extração de evidência, um perito forense computacional deve tomar uma série de cuidados para preservá-la, de modo que seja aceita pelo juiz como parte das provas materiais na instrução de um caso. Uma das 5 (cinco) propriedades que a evidência deve conter para que seja aceita diz respeito à sua confiabilidade. Para conferir essa propriedade à evidência, um processo comum realizado pelo perito é efetuar a extração acompanhado de um notário, com fé pública, e coletar todas as evidências relacionadas ao objeto, de forma a ligar o incidente aos artefatos colhidos, diretamente. e descrever, de forma não técnica, os achados, de forma que seja possível a compreensão do laudo para um leigo em TI. que realizará a cópia seletiva, de forma conjunta, com o perito. munido de autorização formal (mandado de busca, por exemplo). 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 9/21 e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um código para conferência posterior. Controles de integridade por meio de HASH são comumente usados para comprovação de confiabilidade que resiste ao tempo (intervalo entre a extração e apresentação ou conferência da prova). 0,5 / 0,5 ptsPergunta 9 Incidentes de segurança da informação demandam atividade de investigação de um perito forense, normalmente quando os ativos envolvidos estão relacionados a um ilícito. Nesse sentido, especialmente em casos que precisem de cópia dos arquivos em disco (HD ou SD, por exemplo), o perito deve, preferencialmente, escolher cópias do tipo CMIT. memória volátil. RAW. ZIP. SNMP. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 10/21 A informação completa “bit-a-bit” disponível em cópias do tipo RAW favorece menor contaminação da evidência. 0,5 / 0,5 ptsPergunta 10 Diferentemente da evidência digital original, esta evidência não contempla os itens físicos, pois não foi possível recolher os equipamentos envolvidos para exame em laboratório. De posse da cópia, estamos, então, com uma evidência do tipo evidência digital interpolada. evidência digital duplicada. evidência digital completa. evidência digital virtual. evidência sem registro. Evidência digital duplicada: uma réplica exata da evidência digital original (normalmente efetuada pelo perito no local da coleta). 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 11/21 0,5 / 0,5 ptsPergunta 11 Com relação à atividade de um perito forense computacional em contribuição a uma investigação criminal, é correto afirmar que o objetivo da coleta de evidências é exportar dados em disco para comprovar o uso de programas proibidos. comprovar ou refutar uma tese estabelecida na linha de investigação do caso. estabelecer uma ligação entre o PID e PPID, vista na resposta da análise do programa volatility. estabelecer uma acusação formal contra o acusado, com base no resultado da perícia no disco do computador investigado. exportar dados em memória (dump) para comprovar o uso de programas proibidos. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 12/21 É função principal, estabelecer provas materiais para serem anexadas ao caso e permitir a comprovação, ou não, de tese conduzida na investigação. 0,5 / 0,5 ptsPergunta 12 Em casos de investigação envolvendo a necessidade de perícia computacional em data centers, a impossibilidade de retirada de itens físicos (pois estão relacionados normalmente a múltiplos usuários, não relacionados ao ilícito em questão), torna inviável a coleta de qual tipo de evidência digital? Objetos em memória. Evidência digital duplicada. Itens físicos. Evidência digital coexistente. Evidência digital original. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 13/21 Sem a possibilidade de obtenção dos itens físicos relacionados, não é possível a obtenção do cenário original. Resta ao perito realizar uma cópia. Evidência digital original: Objetos físicos que guardavam as informações (dados) relacionadas ao incidente no momento da coleta (Ex.: Servidores, computadores, etc.). 0,5 / 0,5 ptsPergunta 13 Para a preservação da evidência e para que ela seja aceita em um caso em juízo, é importante que possamos comprovar onde a evidência esteve e quais foram os atores que realizaram manipulações durante todo o ciclo de vida desta evidência. Chamamos esse controle de Controle de manipulações. Cadeia de custódia. Prova material. Controle de Piazza. OOV. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 14/21 Caso não comprovemos o controle sobre o ciclo de vida de uma evidência desde sua extração do ativo computacional sob investigação, esta prova é passível de rejeição pelo juiz. É importante comprovarmos o controle de registro de todas as ações e manipulações em uma evidência, inclusive informando o ator ou atores que as executaram. Chamamos esse controle de cadeia de custódia. 0 / 0,5 ptsPergunta 14IncorretaIncorreta Ao realizar uma extração de evidência, para a observação de memória, uma parte dos dados pode não estar disponível, caso o sistema operacional (SO) use memória virtual. Nesta situação, o perito deve realizar a coleta dos dados em disco e relacionar os dados no espaço destinado ao armazenamento da memória virtual com referência/controle fornecido por MemVol. Memória RAM. Page table. SysShare. SysVol. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 15/21 Os controles relacionados à organização dos dados guardados em disco, correspondentes à memória virtual, são: Page files e Page table. 0,5 / 0,5 ptsPergunta 15 Analisando a atividade de um perito forense computacional em contribuição a uma investigação criminal, a atividade inicial de definição de atores participantes do incidente resulta nas seguintes diferenciações de participação: Ativa, passiva ou externa. Vítima, força policial e investigado. Autor, suspeito e mediador. Autor, coautor e cúmplice. Vítima, gateway e atacante. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 16/21 De uma maneira geral, a tarefa de participação dos atores pode ser executada diferenciando-os da seguinte forma: • Vítima(s)- Indícios computacionais apontam que dados foram subtraídos, deturpados ou inseridos por terceiro (atacante). O ativo computacional sofreu um ataque e foi alvo cibernético de ação deliberada de atacante(s). • Gateway(s)- Indícios computacionais apontam que o ativo foi comprometido, mas não se caracteriza como alvo. O ativo computacional serviu de ponte para que a vítima fosse atingida pelo(s) atacante(s). • Atacante(s)- Indícios computacionais apontam que o ativo encaminhou ou controlou remotamente artefatos digitais capazes de realizar ações de subtração, deturpação ou inserção de dados em ativo computacional de terceiro (vítima). 0,5 / 0,5 ptsPergunta 16 Ao realizar um dump de memória de um sistema operacional Windows e investigar a evidência por meio da execução do comando shellbags do framework Volatility, o perito forense computacionaldeseja, basicamente: Obter informações armazenadas em memória acerca de malwares no computador investigado. Obter informações armazenadas em disco acerca de uso da rede no computador investigado. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 17/21 Obter informações armazenadas em disco acerca de atividades de “navegação” em pastas e arquivos realizados no computador investigado. Obter informações armazenadas em disco acerca de malwares no computador investigado. Obter informações armazenadas em memória acerca de atividades de “navegação” em pastas e arquivos realizados no computador investigado. De uma maneira geral, o uso do comando shellbags resulta na visualização de histórico de navegação nas pastas e diretórios do sistema operacional Windows. Também é possível visualizar configurações de exibição e ordem de acesso a um arquivo ou pasta, por exemplo (pesquisa, navegação direta, ponto de origem etc). 0,5 / 0,5 ptsPergunta 17 Ao realizar um dump de memória de um sistema operacional Windows e investigar a evidência por meio da execução do comando netscan do framework Volatility, o perito forense computacional deseja, basicamente: 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 18/21 Obter informações armazenadas em memória acerca de atividades de login do usuário, realizadas no computador investigado Obter informações armazenadas em disco acerca de uso da rede no computador investigado Obter informações armazenadas em disco acerca de malwares no computador investigado Obter informações armazenadas em memória acerca de malwares no computador investigado Obter informações armazenadas em disco acerca de atividades de “navegação” em pastas e arquivos realizadas no computador investigado O comando resulta na visualização de conexões ativas na rede. 0,5 / 0,5 ptsPergunta 18 Segundo o fluxo geral de atividades do perito, descrito pelo departamento de justiça norte-americano, usado como referência em vários outros países e citado em nosso material da unidade (NCJ 199408, 2004), os quatro passos da investigação são corretamente descritos pela alternativa: 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 19/21 1) Coleta da cadeia de custódia; 2) Extração das evidências; 3) Prova continuada; e 4) Documentação e reporte (laudo) dos achados 1) Autorização do juiz; 2) Identificação das evidências; 3) Dump de memória e de disco; e 4) Exame Volatility 1) Avaliação do local; 2) Extração das evidências; 3) Examinação das evidências; e 4) Documentação e reporte (laudo) dos achados 1) Autorização do juiz; 2) Avaliação do local; 3) Prova continuada; e 4) Acusação formal 1) Avaliação do local; 2) Coleta da cadeia de custódia; 3) Prova continuada; e 4) Exame Volatility Os passos genéricos descritos pelo departamento de justiça norte-americano são: 1) Avaliação do local; 2) Extração das evidências; 3) Examinação das evidências; e 4) Documentação e reporte (laudo) dos achados. 0,5 / 0,5 ptsPergunta 19 Ao realizar um dump de memória de um sistema operacional Windows XP e investigar a evidência por meio da execução do comando malfind 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 20/21 do framework Volatility, o perito forense computacional deseja, basicamente obter informações de: dd if=<in> of=<off> pxvs malwares pslist mampage A execução do framework volatility, por meio do comando “malfind”, possibilita a verificação de assinaturas que podem permitir a identificação da presença de infecção por malware no computador investigado. 0,5 / 0,5 ptsPergunta 20 Ao realizar um dump de memória de um sistema operacional Windows 7 e investigar a evidência por meio da execução do comando yarascan – Y “Cache” do framework Volatility, o perito forense computacional deseja, basicamente: Verificação da compatibilidade do profile 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 21/21 Validação do header do dump de memória Verificação de rastreabilidade do DTB contidas no cache da memória virtual Validação do resultado KDBG Verificação de resquícios de informação de uso de internet contidas no cache do navegador O comando é utilizado para visualização de cache do navegador. Pontuação do teste: 9,5 de 10
Compartilhar