Portifolio Arquitetura de Segurança

Nome: Wesley da Silva Oliveira 

Portifolio Arquitetura de Segurança

Seção: Funções Hash

Principais conceitos das Funções Hash

Função Hash

 A função que mapeia dados de entrada de comprimento variável para dados de saída de comprimento fixo, geralmente uma sequência alfanumérica de tamanho fixo.

 Propriedade de resistência à colisão

A função hash ideal deve ser resistente à colisão, o que significa que é altamente improvável que dois conjuntos de dados de entrada diferentes produzam a mesma saída de hash. Isso garante que mesmo pequenas alterações nos dados de entrada resultem em saídas de hash completamente diferentes.

Propriedade de ocultação

É uma pequena alteração nos dados de entrada deve resultar em uma saída de hash completamente diferente.Dessa maneira garante que  que uma parte dos dados de entrada  seja alterado e a saida de hash sera diferente.

 Propriedade de resistência a pré-imagem

 Dada uma saída de hash, deve ser computacionalmente inviável encontrar uma entrada que produza essa saída de hash,não deve ser possível reverter a função hash para recuperar os dados de entrada apenas com a saída de hash.

Eficiência

 As funções hash devem ser eficientes em termos de tempo de computação, ou seja, devem ser rápidas para calcular, especialmente quando aplicadas a grandes volumes de dados.

Tipos de ataques às Funções Hash:

Ataques de colisão: Nesses ataques, um adversário procura encontrar duas entradas diferentes que produzem a mesma saída de hash. Isso comprometeria a integridade dos dados, especialmente em sistemas onde a verificação de autenticidade é feita com base na igualdade das saídas de hash.

Ataques de pré-imagem:  O Atacante tenta encontrar uma entrada  que  corresponda com a saida de hash ,se bem-sucedido  isso comprometeria a integridade dos dados, permitindo que o atacante falsificasse os dados originais correspondentes a uma determinada saída de hash.

Ataques de força bruta:   As tentativas repetidas de encontrar uma entrada que produza uma saída de hash específica por meio de tentativa e erro. Isso é geralmente feito por meio de computação de hashes repetidamente até que uma correspondência seja encontrada.

Como um código hash é constituído:

O  código hash é composto por uma sequência de caracteres alfanuméricos de comprimento fixo, gerada por uma função hash aplicada aos dados de entrada. A estrutura de um código hash é determinada pela função hash específica utilizada, o processo de criação de um código hash envolve as seguintes etapas:

Seleção da função hash: Escolha da função hash apropriada com base nos requisitos de segurança e desempenho do sistema.

Processamento dos dados de entrada: Os dados de entrada são processados pela função hash, que pode envolver técnicas como quebra em blocos, transformações matemáticas e iterações.

Geração do código hash: A função hash gera um código hash único e irreversível que representa os dados de entrada. Esse código é geralmente uma sequência alfanumérica de tamanho fixo.

Armazenamento ou transmissão: O código hash pode ser armazenado em conjunto com os dados originais ou transmitido separadamente para fins de verificação de integridade ou autenticidade dos dados.

Em resumo, um código hash é constituído pela aplicação de uma função hash aos dados de entrada, resultando em uma representação única e fixa desses dados, que é utilizada para diversos fins, como verificação de integridade, autenticação e segurança da informação.

Exemplo abaixo de uma funçao hash convertida para alfanumerico

[pic 1]

Seção: Processos e políticas de segurança

Cenário Fictício: Empresa com Informações Confidenciais

Imagine uma empresa de tecnologia que armazena dados confidenciais de clientes. Nesse cenário:

Risco de Ataque Cibernético: A empresa corre o risco de sofrer ataques cibernéticos, como invasões de hackers ou roubo de dados.

Vazamento de Informações: Se os sistemas de segurança forem comprometidos, informações confidenciais dos clientes podem ser expostas.

Acesso Não Autorizado: Funcionários desonestos ou mal-intencionados podem acessar dados sensíveis.

Falta de Treinamento em Segurança: Se os funcionários não forem treinados adequadamente em práticas de segurança, podem inadvertidamente expor informações confidenciais.

Justificativa:

O risco de ataque cibernético é real, especialmente para empresas que lidam com dados sensíveis.

O vazamento de informações pode prejudicar a reputação da empresa e resultar em perdas financeiras.

Acesso não autorizado pode levar à exploração indevida de dados.

O treinamento em segurança é essencial para mitigar esses riscos.

Resumo: Os fatores de risco e os cenários de ataque devem ser cuidadosamente gerenciados para proteger informações confidenciais e garantir a segurança da empresa. 

...