Baixe o app para aproveitar ainda mais
Prévia do material em texto
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 1/23 AS Geral Entrega Sem prazo Pontos 10 Perguntas 20 Limite de tempo Nenhum Tentativas permitidas Sem limite Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 268.284 minutos 8,5 de 10 As respostas corretas estão ocultas. Pontuação desta tentativa: 8,5 de 10 Enviado 13 abr em 17:08 Esta tentativa levou 268.284 minutos. Fazer o teste novamente 0,5 / 0,5 ptsPergunta 1 De uma foma geral, a resposta aos incidentes e, em alguns casos, à investigação do perito forense computacional, coletando evidências desse incidente, depende, inicialmente, de um processo de monitoração de ativos que aponte a ocorrência desse incidente. Dos ativos listados abaixo, aponte o que demonstra maior dificuldade para esse processo de monitoramento: Ativos de serviço. Ativos intangíveis. Ativos de software/sistema. https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451/history?version=1 https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451/take?user_id=215772 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 2/23 Ativos abstratos. Ativos de informação. Exemplos de ativos neste ambiente corporativo: • Ativos digitais (conteúdo textual, imagens e multimídia); • Ativos de informação; • Ativos de software/sistema; • Ativos físicos (equipamentos); • Ativos de serviço (eletricidade, comunicação, refrigeração, entre outros); • Ativos humanos (colaboradores, parceiros, entre outros); • Ativos intangíveis (imagem e a reputação da empresa). Destes, ativos intangíveis são difíceis de serem monitorados em relação à ocorrência de incidentes. 0 / 0,5 ptsPergunta 2IncorretaIncorreta Analisando a afirmação acerca da atividade de “solicitação de atuação do perito forense computacional” a seguir, assinale a alternativa que a classifica e descreve como V (verdadeira) ou F (falsa), em relação à corretude da afirmação: Avaliando casos separados, mas atrelados pelo mesmo espaço de tempo (data) e local de ocorrência dos eventos, um juiz chama um perito, escolhendo entre os disponíveis no cadastro do fórum local, e solicita um parecer comparando as evidências. Verdadeira, pois o juiz deve solicitar a análise de evidências no final da arguição de testemunhas para depois comparar com sua sentença. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 3/23 Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também porque pode analisar casos diferentes que compartilham do mesmo provedor de Internet, por exemplo, como infraestrutura de TI. Falsa, pois o juiz não pode solicitar a entrada de um perito no processo de instrução, sem antes obter a autorização do STF. Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de um mesmo perito, em razão de sigilo imposto entre casos distintos e por impedimento regulado por requisito descrito no Código de Processo Civil. Falsa, pois o juiz não é a autoridade que convoca a atuação do perito forense, que deve ser feita pelo notário local, único com essa atribuição/autoridade. Segundo a determinação contida atualmente no Código de Processo Civil (CPC), para contribuir com a isenção e diminuição de viés, um juiz deve selecionar diferentes profissionais em suas solicitações, o que acaba contribuindo para uma certa “rotatividade” dos profissionais atuantes e, também, abre portas para que novos peritos se inscrevam nesses bancos para ofertarem seus serviços. 0,5 / 0,5 ptsPergunta 3 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 4/23 Diferentemente da versão simplificada do fluxo de resposta a incidente proposta pelo NIST, a ISO 27035 (2016) propõe cinco processos principais. Descreva a alternativa que descreve corretamente o primeiro processo de resposta, chamado “Preparação”: Atividade de avaliação inicial e definição do profissional/equipe adequada para a resposta. Atividades de documentação e capacitação do time de respostas a incidentes. Atividade de contenção do incidente e análise de triagem. Investigação forense, iniciando-se pela coleta de evidências locais. Análise de impacto e recuperação do ativo comprometido pelo incidente. Preparação: preparação de documentação (política, escopo, procedimentos) e capacitação do time de respostas a incidentes. 0,5 / 0,5 ptsPergunta 4 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 5/23 Ao avaliar um incidente para a coleta de evidências computacionais, um perito analisa a infraestrutura de rede envolvida e estabelece os ativos para obter informações de eventos e alertas ocorridos desde o momento imediatamente anterior ao incidente até a percepção de paradas de serviço ou evento principal reportado. Neste sentido, assinale a alternativa que descreve o formato de envio desses eventos e alertas, internacionalmente adotado, quando o objetivo é centralizar essas informações em um repositório: SaaS Syslog Trail IODEF MITM Uma boa prática de mercado é padronizar o conteúdo dos logs produzidos pelos equipamentos da rede (Ex. Syslog), centralizar o envio para um repositório único, facilitando a análise, além de sincronizar todos os equipamentos (Ex. Usando fonte de Network Time Protocol – NTP externa no sincronismo dos relógios de todos os ativos de rede). 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 6/23 0 / 0,5 ptsPergunta 5IncorretaIncorreta Todos os incidentes de segurança devem ser respondidos. Contudo, nem todos o são pela equipe que fez a descoberta do incidente, uma vez que pode ocorrer um desalinhamento entre o incidente e o time de resposta (CSIRT), no que diz respeito à sua capacidade técnica e/ou escopo percebidos no momento da triagem do incidente. Quando isso ocorre, é necessário que o CSIRT faça o repasse desse incidente para que ele seja respondido por um time com capacitação e escopo mais abrangentes. Assinale a alternativa que contempla o formato de envio desse repasse, obedecendo à recomendação proposta pela ENISA: Router-based GPO Server-side IODEF TCP O XML IODEF favorece a automação de envio de mensagens entre CSIRTs, e possibilita a adição de serviços de segurança na comunicação, como o sigilo por meio da criptografia e garantia de integridade e não repúdio, por meio de certificado digital e assinatura desse XML. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 7/23 0,5 / 0,5 ptsPergunta 6 Incidentes de segurança da informação demandam atividade de investigação de um perito forense, normalmente quando os ativos envolvidos estão relacionados a um ilícito. Nesse sentido, especialmente em casos que precisem de cópia dos arquivos em disco (HD ou SD, por exemplo), o perito deve, preferencialmente, escolher cópias do tipo ZIP. CMIT. SNMP. memória volátil. RAW. A informação completa “bit-a-bit” disponível em cópias do tipo RAW favorece menor contaminação da evidência. 0,5 / 0,5 ptsPergunta 7 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 8/23 Ao realizar uma extração de evidência, um perito forense computacional deve tomar uma série de cuidados para preservá-la, de modo que seja aceita pelo juiz como parte das provas materiais na instrução de um caso. Uma das 5 (cinco) propriedades que a evidência deve conter para que seja aceita diz respeito à sua confiabilidade. Para conferir essa propriedade à evidência, um processo comum realizado pelo perito é efetuar a extração acompanhado de um notário, com fé pública, que realizará a cópia seletiva,de forma conjunta, com o perito. e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um código para conferência posterior. e coletar todas as evidências relacionadas ao objeto, de forma a ligar o incidente aos artefatos colhidos, diretamente. munido de autorização formal (mandado de busca, por exemplo). e descrever, de forma não técnica, os achados, de forma que seja possível a compreensão do laudo para um leigo em TI. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 9/23 Controles de integridade por meio de HASH são comumente usados para comprovação de confiabilidade que resiste ao tempo (intervalo entre a extração e apresentação ou conferência da prova). 0,5 / 0,5 ptsPergunta 8 Para a preservação da evidência e para que ela seja aceita em um caso em juízo, é importante que possamos comprovar onde a evidência esteve e quais foram os atores que realizaram manipulações, durante todo o ciclo de vida dessa evidência. Chamamos esse controle de OOV. controle de manipulações. prova material. controle de Piazza. cadeia de custódia. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 10/23 Caso não comprovemos o controle sobre o ciclo de vida de uma evidência desde sua extração do ativo computacional sob investigação, esta prova é passível de rejeição pelo juiz. É importante comprovarmos o controle de registro de todas as ações e manipulações em uma evidência, inclusive informando o(s) ator(es) que as executaram. Chamamos esse controle de cadeia de custódia. 0,5 / 0,5 ptsPergunta 9 Fenômenos de contaminação da evidência, tanto em nível quântico, como os descritos inicialmente por Heisenberg, quanto os de contato e mais práticos para os objetivos do perito forense computacional, como descrito inicialmente por Lacard, são preocupações relativas à qualidade da evidência. Nesse sentido, é CORRETO afirmar que quanto mais isolarmos a evidência, desligando o servidor e retirando-o do local do incidente, maior vai ser a interferência / contaminação. quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, maior será a OOV e, portanto, maior vai ser a interferência / contaminação. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 11/23 quanto mais rápido logarmos no sistema com o usuário administrador, logo após o incidente, para deletar os arquivos suspeitos de vírus, menor vai ser a interferência / contaminação. quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, menor será a OOV e, portanto, maior vai ser a interferência / contaminação. quanto mais rápido efetuarmos o dump de memória da pasta heap e stack, menor será a OOV e, portanto, menor vai ser a interferência / contaminação. Na teoria que explora o dilema forense de extração de evidências computacionais, há a abordagem de isolamento do ativo computacional envolvido no incidente, aceitando que serão perdidas algumas informações importantes sobre o caso, e a abordagem que preconiza a preservação do ambiente como está, realizando extrações, na ordem de volatilidade (OOV), com o mínimo de interferência e contaminação possível. 0,5 / 0,5 ptsPergunta 10 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 12/23 Exemplificando a atividade de um perito forense computacional em contribuição a uma investigação criminal envolvendo invasão de um site, é CORRETO afirmar acerca do processo de coleta de evidência típico que o perito deve coletar também informações de conexão com logs do roteador de borda e/ou firewall e logs do servidor Web envolvido. EMEI e memória heap do roteador local. testemunho dos seguranças do andar do data center. EMEI e memória heap do roteador remoto. o perfil psicológico do suspeito sob acusação. Em casos de perícia envolvendo invasão de servidor Web, é importante reconstruir, com a maior completude possível, a linha temporal envolvendo as conexões de rede até a chegada ao ativo alvo. 0,5 / 0,5 ptsPergunta 11 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 13/23 Com relação à atividade de um perito forense computacional em contribuição a uma investigação criminal, é correto afirmar que o objetivo da coleta de evidências é estabelecer uma ligação entre o PID e PPID, vista na resposta da análise do programa volatility. exportar dados em memória (dump) para comprovar o uso de programas proibidos. exportar dados em disco para comprovar o uso de programas proibidos. comprovar ou refutar uma tese estabelecida na linha de investigação do caso. estabelecer uma acusação formal contra o acusado, com base no resultado da perícia no disco do computador investigado. É função principal, estabelecer provas materiais para serem anexadas ao caso e permitir a comprovação, ou não, de tese conduzida na investigação. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 14/23 0,5 / 0,5 ptsPergunta 12 Analisando a atividade de um perito forense computacional em contribuição a uma investigação criminal, a atividade inicial de definição de atores participantes do incidente resulta nas seguintes diferenciações de participação: Autor, coautor e cúmplice. Ativa, passiva ou externa. Autor, suspeito e mediador. Vítima, gateway e atacante. Vítima, força policial e investigado. De uma maneira geral, a tarefa de participação dos atores pode ser executada diferenciando-os da seguinte forma: • Vítima(s)- Indícios computacionais apontam que dados foram subtraídos, deturpados ou inseridos por terceiro (atacante). O ativo computacional sofreu um ataque e foi alvo cibernético de ação deliberada de atacante(s). • Gateway(s)- Indícios computacionais apontam que o ativo foi comprometido, mas não se caracteriza como alvo. O ativo computacional serviu de ponte para que a vítima fosse atingida pelo(s) atacante(s). • Atacante(s)- Indícios computacionais apontam que o ativo encaminhou ou controlou remotamente artefatos digitais capazes de realizar ações de subtração, deturpação ou inserção de dados em ativo computacional de terceiro (vítima). 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 15/23 0,5 / 0,5 ptsPergunta 13 Caso um perito forense computacional deseje executar a análise de um dump de memória realizado por outro colega, ou realizado por ele mesmo em data passada, para fins de autenticidade e confiabilidade, ele deve realizar o processo de: Verificação de rastreabilidade do DTB. Validação do resultado KDBG. Validação do header do dump de memória. Verificação da compatibilidade do profile. Verificação de correspondência HASH. A validação do hash garante que a análise a ser realizada corresponde ao objeto (evidência) extraído originalmente no processo de investigação e coleta de evidência digital. 0 / 0,5 ptsPergunta 14IncorretaIncorreta 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 16/23 Ao realizar uma extração de evidência, para a observação de memória, uma parte dos dados pode não estar disponível, caso o sistema operacional (SO) use memória virtual. Nesta situação, o perito deve realizar a coleta dos dados em disco e relacionar os dados no espaço destinado ao armazenamento da memória virtual com referência/controle fornecido por SysVol. SysShare. MemVol. Memória RAM. Page table. Os controles relacionados à organização dos dados guardados em disco, correspondentes à memória virtual, são: Page files e Page table. 0,5 / 0,5 ptsPergunta 15 Ao realizar uma análise forense observando um dump de memória extraído noprocesso de coleta de evidência digital, em que o objetivo é 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 17/23 comprovar os processos em execução há época, um perito usando o framework volatility usaria o comando mampage dd if=<in> of=<off> pxvs proccess-lk 512 pslist A execução do framework volatility, por meio do comando “pslist”, nos possibilitará a visualização dos programas/processos em uso que estavam “carregados” em memória à época. 0,5 / 0,5 ptsPergunta 16 Ao realizar um dump de memória de um sistema operacional Windows XP e investigar a evidência por meio da execução do comando malfind do framework Volatility, o perito forense computacional deseja, basicamente obter informações de: malwares 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 18/23 pxvs mampage pslist dd if=<in> of=<off> A execução do framework volatility, por meio do comando “malfind”, possibilita a verificação de assinaturas que podem permitir a identificação da presença de infecção por malware no computador investigado. 0,5 / 0,5 ptsPergunta 17 Ao realizar um dump de memória de um sistema operacional Windows e investigar a evidência por meio da execução do comando shellbags do framework Volatility, o perito forense computacional deseja, basicamente: Obter informações armazenadas em disco acerca de atividades de “navegação” em pastas e arquivos realizados no computador investigado. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 19/23 Obter informações armazenadas em memória acerca de atividades de “navegação” em pastas e arquivos realizados no computador investigado. Obter informações armazenadas em memória acerca de malwares no computador investigado. Obter informações armazenadas em disco acerca de uso da rede no computador investigado. Obter informações armazenadas em disco acerca de malwares no computador investigado. De uma maneira geral, o uso do comando shellbags resulta na visualização de histórico de navegação nas pastas e diretórios do sistema operacional Windows. Também é possível visualizar configurações de exibição e ordem de acesso a um arquivo ou pasta, por exemplo (pesquisa, navegação direta, ponto de origem etc). 0,5 / 0,5 ptsPergunta 18 Segundo o fluxo geral de atividades do perito, descrito pelo departamento de justiça norte-americano, usado como referência em vários outros países e citado em nosso material da unidade (NCJ 199408, 2004), os 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 20/23 quatro passos da investigação são corretamente descritos pela alternativa: 1) Autorização do juiz; 2) Identificação das evidências; 3) Dump de memória e de disco; e 4) Exame Volatility 1) Autorização do juiz; 2) Avaliação do local; 3) Prova continuada; e 4) Acusação formal 1) Avaliação do local; 2) Coleta da cadeia de custódia; 3) Prova continuada; e 4) Exame Volatility 1) Coleta da cadeia de custódia; 2) Extração das evidências; 3) Prova continuada; e 4) Documentação e reporte (laudo) dos achados 1) Avaliação do local; 2) Extração das evidências; 3) Examinação das evidências; e 4) Documentação e reporte (laudo) dos achados Os passos genéricos descritos pelo departamento de justiça norte-americano são: 1) Avaliação do local; 2) Extração das evidências; 3) Examinação das evidências; e 4) Documentação e reporte (laudo) dos achados. 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 21/23 0,5 / 0,5 ptsPergunta 19 Ao realizar um dump de memória de um sistema operacional Windows e investigar a evidência por meio da execução do comando netscan do framework Volatility, o perito forense computacional deseja, basicamente: Obter informações armazenadas em memória acerca de malwares no computador investigado Obter informações armazenadas em disco acerca de malwares no computador investigado Obter informações armazenadas em memória acerca de atividades de login do usuário, realizadas no computador investigado Obter informações armazenadas em disco acerca de atividades de “navegação” em pastas e arquivos realizadas no computador investigado Obter informações armazenadas em disco acerca de uso da rede no computador investigado 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 22/23 O comando resulta na visualização de conexões ativas na rede. 0,5 / 0,5 ptsPergunta 20 Ao realizar um dump de memória de um sistema operacional Windows 7 e investigar a evidência por meio da execução do comando yarascan – Y “Cache” do framework Volatility, o perito forense computacional deseja, basicamente: Validação do header do dump de memória Verificação de rastreabilidade do DTB contidas no cache da memória virtual Validação do resultado KDBG Verificação de resquícios de informação de uso de internet contidas no cache do navegador Verificação da compatibilidade do profile 13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 23/23 O comando é utilizado para visualização de cache do navegador. Pontuação do teste: 8,5 de 10
Compartilhar