Cómo funciona

En el modelado de amenazas a partir de código, utilizas un programa (código) para analizar información creada en un formato legible por máquina que describe un modelo de sistema, sus componentes y datos sobre esos componentes. El programa interpreta el modelo de sistema y los datos de entrada, y utiliza una taxonomía de amenazas y debilidades, y criterios de detección, para (a) identificar posibles hallazgos y (b) producir resultados que puedan ser interpretados por un humano. Normalmente, el resultado será un documento de texto o un informe tipo PDF.

Cómo funciona

Un usuario escribe un programa en un lenguaje de programación para construir una representación de un sistema y sus componentes , así como información sobre dichos componentes. Este programa describe la información sobre el sistema en código y proporciona restricciones para realizar el análisis. El proceso resultante utiliza un conjunto de API (funciones) para realizar el análisis de amenazas sobre el estado y las propiedades del sistema modelado. Cuando se compila y ejecuta el "código fuente" (o se interpreta, según las particularidades del lenguaje utilizado), el programa resultante produce conclusiones sobre amenazas a la seguridad basadas en las características y restricciones del sistema modelado.

El concepto de crear modelos sin dibujar en una pizarra existe al menos desde 1976, cuando A. Wayne Wymore, entonces profesor de la Universidad de Arizona, publicó Systems Engineering Methodology for Interdisciplinary Teams (Wiley). Este libro, y otros que le siguieron, sentaron las bases del dominio técnico conocido como ingeniería de sistemas basada en modelos (MBSE). Las lecciones que la industria aprendió de la MBSE influyeron en las construcciones de modelado de sistemas a las que se hace referencia en el Capítulo 1, y en los lenguajes de descripción de sistemas para el análisis computacional que trataremos brevemente.⁸

Los lenguajes de descripción de arquitecturas (ADL) describen representaciones de sistemas. Relacionados con los ADL están los lenguajes de diseño de sistemas , o SDL. Dentro del conjunto de los ADL, dos lenguajes relacionados proporcionan la capacidad de construir y analizar modelos de sistemas que buscan amenazas a la seguridad:⁹

• Lenguaje de Análisis y Diseño de Arquitecturas, o AADL

• El lenguaje de descripción Acme para el modelado de sistemas basados en componentes

La ingeniería de sistemas utiliza AADL, que es más amplio y expresivo, cuando crea modelos de sistemas embebidos y en tiempo real. Esto es especialmente cierto en los campos de la aviónica y los sistemas de automoción, que requieren seguridad funcional -la propiedad de preservar la salud y la vida de los ocupantes humanos- cuando se trata del comportamiento del sistema. ACME es menos expresivo y, por tanto, más aplicable a sistemas menos complejos o de menor tamaño (definido por el número de componentes e interacciones). ACME también es una especificación de lenguaje de libre acceso, mientras que AADL requiere una licencia de pago, aunque hay disponible material de formación gratuito para que puedas familiarizarte con el lenguaje.¹⁰

Estos lenguajes introducen conceptos sencillos que los ingenieros de sistemas y de software siguen utilizando hoy en día. Puede que notes similitudes con los conceptos que describimos en el Capítulo 1:

Componentes

Representar unidades funcionales como procesos o almacenes de datos

Conectores

Establecer relaciones y conductos de comunicación entre los componentes

Sistemas

Representar configuraciones específicas de componentes y conectores

Puertos

Puntos de interacción entre componentes y conectores

Funciones

Proporcionar información útil sobre la función de los elementos del sistema

Propiedades o anotaciones

Proporcionar información sobre cada constructo que pueda utilizarse para el análisis o la documentación

Element:
  contains      
  exposes       
  calls         
  is_type:      
    - cloud.saas
    - cloud.iaas
    - cloud.paas
    - mobile.ios
    - mobile.android
    - software
    - firmware.embedded
    - firmware.kernel_mod
    - firmware.driver
    - firmware
    - hardware
    - operating_system
    - operating_system.windows.10
    - operating_system.linux
    - operating_system.linux.fedora.23
    - operating_system.rtos
  is_containerized                  
  deploys_to:
    - windows
    - linux
    - mac_os_x
    - aws_ec2
  provides
    - protection                    
    - protection.signed
    - protection.encrypted
    - protection.signed.cross       
    - protection.obfuscated
  packaged_as:                      
    - source
    - binary
    - binary.msi
    - archive
  source_language:                  
    - c
    - cpp
    - python
  uses.technology:                  
    - cryptography
    - cryptography.aes128
    - identity
    - identity.oauth
    - secure_boot
    - attestation
  requires:                         
    - assurance
    - assurance.privacy
    - assurance.safety
    - assurance.thread_safety
    - assurance.fail_safe
    - privileges.root
    - privileges.guest              
  metadata:                         
    - name
    - label
    - namespace
    - created_by
    - ref.source.source             
    - ref.source.acquisition        
    - source_type.internal          
    - source_type.open_source
    - source_type.commercial
    - source_type.commercial.vendor
    - description                   

Port:
  requires:                 
    - security              
    - security.firewall     
  provides:                 
    - confidentiality
    - integrity
    - qos
    - qos.delivery_receipt
  protocol:                 
    - I2C
    - DTLS
    - ipv6
    - btle                  
    - NFS                   
  data:                     
    - incoming              
    - outbound              
    - service_name          
    - port                  
  metadata:                 
    - name
    - label
    - description           

Data:
  encoding:
    - json
    - protobuf
    - ascii
    - utf8
    - utf16
    - base64
    - yaml
    - xml
  provides:
    - protection.signed
    - protection.signed.xmldsig
    - protection.encrypted
  requires:
    - security
    - availability
    - privacy
    - integrity
  is_type:                      
    - personal
    - personal.identifiable     
    - personal.health           
    - protected
    - protected.credit_info     
    - voice
    - video
    - security
  metadata:                     
    - name
    - label
    - description               

Análisis de gráficos y metadatos

Consideremos por un momento el sencillo ejemplo de la Figura 4-2.

Figura 4-2. Modelo simple de sistema cliente/servidor

Estas anotaciones acompañan al esquema del sistema de la Figura 4-2:

• El cliente está escrito en C y llama al servidor en el puerto 8080 para autenticar al usuario del cliente.

• El servidor comprueba una base de datos interna, y si la información enviada por el cliente coincide con lo esperado, el servidor devuelve un testigo de autorización al cliente.

Ponte el sombrero de seguridad (consulta la Introducción si necesitas repasar la autenticación y otros fallos aplicables) e identifica los problemas de seguridad en este sencillo modelo de sistema.²⁰ Ahora, piensa en cómo has llegado a la conclusión a la que has llegado. (Probablemente) observaste el modelo de sistema, viste la información proporcionada como anotaciones y determinaste las amenazas potenciales. Realizaste un análisis de patrones comparándolo con una base de datos de información sobre amenazas almacenada en tu memoria. Esto es lo que hacen regularmente los asesores de seguridad de los equipos de desarrollo, y es uno de los retos de la escalabilidad de : no hay suficiente "memoria" y "potencia de cálculo" para todos.

Este análisis de patrones y extrapolación es fácil de hacer para un cerebro humano. Nuestros cerebros, con los conocimientos adecuados, pueden ver fácilmente patrones y hacer extrapolaciones. Incluso tenemos un subconsciente que nos permite tener "corazonadas" sobre nuestro análisis. Establecemos conexiones con y entre cosas que parecen aleatorias y ambiguas. Ni siquiera procesamos todos los pasos que da nuestro cerebro al trabajar; nuestros pensamientos "simplemente suceden". Los ordenadores, a diferencia de nuestros cerebros, hacen las cosas rápidamente, pero necesitan ser conscientes de cada paso y proceso que se necesita. Los ordenadores no pueden inferir ni suponer. Así pues, lo que nosotros damos por supuesto, los ordenadores necesitan ser programados para hacerlo.

Entonces, ¿cómo analizaría este escenario un programa informático?

En primer lugar, tienes que desarrollar un marco de análisis. Este marco debe ser capaz de aceptar entradas (del modelo) y realizar análisis de patrones, sacar conclusiones, establecer conexiones y, ocasionalmente, adivinar, para producir un resultado que los humanos puedan interpretar como significativo. ¿Ya estás preparado con esa IA?

En realidad, no es un gran reto, y no lo ha sido durante bastante tiempo. El planteamiento básico es sencillo:

1. Crea un formato para describir una representación del sistema con información, utilizando algo parecido a un ADL.

2. Crea un programa para interpretar la información del modelo del sistema.

3. Amplía el programa para realizar análisis basados en un conjunto de reglas que rigen los patrones de información presentes en el modelo del sistema.

Veamos de nuevo ese sencillo ejemplo de la Figura 4-3.

Figura 4-3. Modelo de sistema cliente/servidor simple revisado

Ahora, utilicemos nuestro lenguaje de descripción idealizado de antes para describir la información del modelo del sistema. Para hacer referencia a cada objeto de forma diferenciada en el modelo del sistema, utilizamos un identificador de marcador de posición para cada objeto, y conectamos las propiedades a ese identificador:

# Describe 'Node1' (the client)
Node1.name: client
Node1.is_type: software
Node1.source_language: c
Node1.packaged_type: binary

# Describe 'Node2' (the server)
Node2.name: server
Node2.is_type: software

# Describe 'Node3' (an exposed port)
Node3.is_type: port
Node3.port: 8080
Node3.protocol: http

# Establish the relationships
Node2.exposes.port: Node3
Node1.connects_to: Node3

# Describe the data that will be passed on the channel
Data1.is_type: credential
Data1.requires: [confidentiality, integrity, privacy]
Data1.metadata.description: "Data contains a credential to be checked by
the server"

Data2.is_type: credential
Data2.requires: [confidentiality, integrity]
Data2.metadata.description: "Data contains a session token that gives/
 authorization to perform actions"

Node3.data.incoming = Data1
Node3.data.outbound = Data2

Ahora bien, obviamente, en el ejemplo anterior (que nos hemos inventado por completo y creado sólo con fines explicativos), puedes notar una o dos cosas preocupantes. Tu cerebro humano es capaz de hacer inferencias sobre el significado de las propiedades y el aspecto que podría tener el sistema. En el Capítulo 3, aprendiste a determinar algunas de las vulnerabilidades que pueden existir en un sistema de ejemplo.

Pero, ¿cómo hará el programa informático esta misma tarea? Tiene que estar programado para hacerlo: necesita un conjunto de reglas y estructuras para unir la información y obtener los resultados necesarios para el análisis.

Construir reglas significa examinar las fuentes de amenazas disponibles e identificar los "indicadores" que revelan que una amenaza es posible. La lista de Conceptos Arquitectónicos CWE o Mecanismos de Ataque CAPEC son repositorios que constituyen excelentes recursos atener en cuenta.

Nota

Habrás observado que nos referimos a las bases de datos CWE y CAPEC varias veces a lo largo del libro. Nos gusta especialmente utilizarlas como recursos centrales porque son abiertas, públicas y están llenas de información consumible y aplicable que ha sido aportada por expertos de toda la comunidad de seguridad.

Para nuestra demostración, veamos dos posibles fuentes de una regla:

• CWE-319: Transmisión Cleartext de Información Sensible

• CAPEC-157: Ataques de sniffing

La CWE-319 nos dice que la debilidad se produce cuando "el software transmite datos sensibles o críticos para la seguridad en texto claro en un canal de comunicación que puede ser olfateado por actores no autorizados". A partir de esta sencilla descripción, deberías ser capaz de identificar los indicadores que deben estar presentes para que exista una amenaza potencial en un sistema:

• Un proceso: Realiza una acción.

• "Transmite": La unidad de software se comunica con otro componente.

• "Datos sensibles o críticos para la seguridad": Datos de valor para un atacante.

• Sin encriptación: En el canal o protegiendo directamente los paquetes de datos (es necesario que se dé una de estas condiciones).

• Impacto: Confidencialidad.

CAPEC-157 describe un ataque contra información sensible como "en este patrón de ataque, el adversario intercepta información transmitida entre dos terceros. El adversario debe ser capaz de observar, leer y/o escuchar el tráfico de comunicación, pero no necesariamente bloquear la comunicación o cambiar su contenido. En teoría, cualquier medio de transmisión puede ser interceptado si el adversario puede examinar el contenido entre el emisor y el receptor." A partir de esta descripción, obtenemos detalles de cómo un atacante puede realizar este ataque:

• Se intercepta el tráfico entre dos partes (puntos finales).

• El ataque es pasivo; no se espera ninguna modificación ni denegación de servicio.

• El atacante (actor) necesita acceder al canal de comunicación.

Así pues, con estas dos descripciones, podríamos considerar las siguientes reglas unificadas (en texto):

• El punto final de origen se comunica con el punto final de destino.

• El flujo de datos entre puntos finales contiene datos sensibles.

• El flujo de datos no está protegido en cuanto a confidencialidad.

El impacto de la presencia de estas condiciones en un sistema permitiría a un actor malicioso obtener datos sensibles mediante sniffing.

El código para identificar este patrón e indicar la condición de existencia de amenaza podría parecerse (en pseudocódigo, sin todas las comprobaciones de seguridad) a lo siguiente:

def evaluate(node n, "Threat from CWE-319"):
    if n.is_type is "software":
        for i in range(0, len(n.exposes)):
            return (n.exposes[i].p.data.incoming[0].requires.security)
            and
            (n.exposes[i].p.provides.confidentiality)

Éste es un ejemplo extremadamente simplificado de lo que podría conseguir una herramienta o automatización. Sin duda existen algoritmos más eficientes para realizar esta concordancia de patrones, pero esperamos que este ejemplo te dé una idea de cómo el modelado de amenazas utiliza el código para realizar la detección automática de amenazas.

Aunque el modelado de amenazas con código es un truco bastante ingenioso, el modelado de amenazas a partir del código hace que la tecnología sea potencialmente más accesible. En este paradigma, en lugar de utilizar código para ayudar a gestionar la información sobre amenazas, o utilizar un programa para analizar una descripción textual de un modelo "con código" para hacer coincidir construcciones con reglas para determinar amenazas, se escribe un programa real que, cuando se ejecuta, realiza el análisis del modelado de amenazas y la representación "automáticamente".

Para que esto sea posible, el autor de un programa necesita crear una lógica de programa y APIs para describir elementos, flujos de datos, etc. y las reglas por las que se analizarán. A continuación, los desarrolladores utilizan las API para crear programas ejecutables. La ejecución (con o sin precompilación, dependiendo del lenguaje elegido para las API) del código del programa da lugar a estos pasos básicos:

1. Traduce las directivas que describen objetos para construir una representación del sistema (como un gráfico, o sólo una matriz de propiedades, o en otra representación interna del programa).

2. Carga un conjunto de reglas.

3. Recorre el gráfico de objetos realizando la comparación de patrones con el conjunto de reglas para identificar los hallazgos.

4. Genera resultados basados en plantillas para dibujar el gráfico como un diagrama que sea (esperemos) visualmente aceptable para un humano y para dar salida a los detalles de los resultados.

Escribir código para autogenerar información sobre amenazas proporciona algunas ventajas:

• Como programador, ya estás acostumbrado a escribir código, así que esto te ofrece la oportunidad de tener algo procesable en tus propios términos.

• El modelado de amenazas como código se alinea perfectamente con las filosofías de todo como código o DevOps.

• Puedes registrar código y mantenerlo bajo control de revisión en herramientas a las que tú, como desarrollador, ya estás acostumbrado, lo que debería ayudar a la adopción, así como a la gestión de la información.

• Si las API y las bibliotecas que se construyen para contener los conocimientos y la experiencia de los profesionales de la seguridad admiten la capacidad de cargar dinámicamente reglas para el análisis, el mismo programa puede dar servicio a múltiples dominios. Un programa puede volver a analizar un sistema previamente descrito en código a medida que nuevas investigaciones o inteligencia sobre amenazas revelen nuevas amenazas, de modo que siempre estén actualizadas, sin cambiar el modelo ni tener que rehacer ningún trabajo.

Sin embargo, este método también tiene algunas desventajas que hay que tener en cuenta:

• Los desarrolladores como tú ya escriben código todos los días para aportar valor a tu empresa o a tus clientes. Escribir código adicional para documentar tu arquitectura puede parecer una carga adicional.

• Con tantos lenguajes de programación disponibles hoy en día, la probabilidad de que encuentre un paquete de código que utilice (o admita la integración con) un lenguaje que utilice tu equipo de desarrollo puede ser todo un reto.

• La atención sigue centrándose en los desarrolladores que, como guardianes del código, necesitan las habilidades para comprender conceptos como la programación orientada a objetos y las funciones (y las convenciones de llamada, etc.).

Estos retos no son insuperables; sin embargo, el espacio del modelado de amenazas a partir del código aún está inmaduro. El mejor ejemplo que podemos ofrecer de módulo de código y API para realizar modelado de amenazas a partir del código es pytm.

Nota

Descargo de responsabilidad: estamos muy, muy, muy predispuestos hacia pytm, como creadores/líderes del proyecto de código abierto. Queremos ser justos en este libro con todas las grandes innovaciones en el campo de la automatización del modelado de amenazas. Pero creemos sinceramente que pytm ha abordado una laguna en los métodos que se han puesto a disposición de los profesionales de la seguridad y los equipos de desarrollo que intentan hacer que el modelado de amenazas sea procesable y eficaz para ellos.

pytm

Una de las principales razones por las que escribimos este libro fue el sincero deseo de que las personas implicadas en el desarrollo tuvieran información inmediatamente accesible que les ayudara a desarrollar sus capacidades de seguridad en el ciclo de vida del desarrollo de software seguro. Por eso hablamos de formación, del reto de "pensar como un hacker", de árboles de ataques y bibliotecas de amenazas, de motores de reglas y de diagramas.

Como profesionales experimentados de la seguridad, hemos oído muchos argumentos de los equipos de desarrollo contra el uso de herramientas de modelado de amenazas: "¡Es demasiado pesada!", "¡No es agnóstica a la plataforma; yo trabajo en X, y la herramienta sólo funciona en Y!", "¡No tengo tiempo para aprender una aplicación más, y ésta requiere que aprenda una sintaxis completamente nueva!". Aparte de la presencia de muchos signos de exclamación, un patrón común en estas declaraciones es que se pide al programador que salga de su zona de confort inmediata y añada una habilidad más a su caja de herramientas o que interrumpa un flujo de trabajo conocido y añada un proceso extraño. Así que pensamos, ¿y si en lugar de eso intentáramos aproximar el proceso de modelado de amenazas a uno ya familiar para el codificador?

Al igual que ocurre con el modelado continuo de amenazas (que describimos en profundidad en el Capítulo 5), basarse en herramientas y procesos de ya conocidos por el equipo de desarrollo ayuda a crear comunalidad y confianza en el proceso. Ya te sientes cómodo con ellos y los utilizas a diario.

Luego nos fijamos en la automatización. ¿Qué áreas del modelado de amenazas planteaban más retos al equipo de desarrollo? Aparecieron los sospechosos habituales: identificar amenazas, diagramar y anotar, y mantener actualizado el modelo de amenazas (y por extensión, el modelo del sistema) con el mínimo esfuerzo. Charlamos sobre los lenguajes de descripción, pero entraban en la categoría de "una cosa más que el equipo tiene que aprender", y su aplicación parecía pesada en el proceso de desarrollo, mientras los equipos intentaban hacerlo más ligero. ¿Cómo podíamos ayudar al equipo de desarrollo a cumplir su objetivo (eficacia/fiabilidad) y seguir alcanzando nuestro objetivo de educación en seguridad?

Entonces se nos ocurrió: ¿por qué no describir un sistema como una colección de objetos de una forma orientada a objetos, utilizando un lenguaje de programación conocido, fácil, accesible y existente, y generar diagramas y amenazas a partir de esa descripción? Añade Python, y ahí lo tienes: una biblioteca pitónica para el modelado de amenazas.

Disponible en https://oreil.ly/nuPja (y en https://oreil.ly/wH-Nl como proyecto de la Incubadora OWASP), en su primer año de vida, pytm ha captado el interés de muchos en la comunidad de modelado de amenazas. La adopción interna en nuestras propias empresas y en otras, las charlas y talleres de Jonathan Marcil en conferencias de seguridad populares como OWASP Global AppSec DC y los debates en la Cumbre de Seguridad Abierta, e incluso el uso por parte de Trail of Bits en su modelo de amenazas de Kubernetes, ¡indican que nos estamos moviendo en la dirección correcta!

Aquí tienes un ejemplo de descripción del sistema utilizando pytm:

#!/usr/bin/env python3   


from pytm.pytm import TM, Server, Datastore, Dataflow, Boundary, Actor, Lambda  


tm = TM("my test tm")  
tm.description = "This is a sample threat model of a very simple system - a /
web-based comment system. The user enters comments and these are added to a /
database and displayed back to the user. The thought is that it is, though /
simple, a complete enough example to express meaningful threats."

User_Web = Boundary("User/Web")   
Web_DB = Boundary("Web/DB")

user = Actor("User")   
user.inBoundary = User_Web   

web = Server("Web Server")
web.OS = "CloudOS"
web.isHardened = True   

db = Datastore("SQL Database (*)")
db.OS = "CentOS"
db.isHardened = False
db.inBoundary = Web_DB
db.isSql = True
db.inScope = False

my_lambda = Lambda("cleanDBevery6hours")
my_lambda.hasAccessControl = True
my_lambda.inBoundary = Web_DB

my_lambda_to_db = Dataflow(my_lambda, db, "(λ)Periodically cleans DB")  
my_lambda_to_db.protocol = "SQL"
my_lambda_to_db.dstPort = 3306

user_to_web = Dataflow(user, web, "User enters comments (*)")
user_to_web.protocol = "HTTP"
user_to_web.dstPort = 80
user_to_web.data = 'Comments in HTML or Markdown'
user_to_web.order = 1   

web_to_user = Dataflow(web, user, "Comments saved (*)")
web_to_user.protocol = "HTTP"
web_to_user.data = 'Ack of saving or error message, in JSON'
web_to_user.order = 2

web_to_db = Dataflow(web, db, "Insert query with comments")
web_to_db.protocol = "MySQL"
web_to_db.dstPort = 3306
web_to_db.data = 'MySQL insert statement, all literals'
web_to_db.order = 3

db_to_web = Dataflow(db, web, "Comments contents")
db_to_web.protocol = "MySQL"
db_to_web.data = 'Results of insert op'
db_to_web.order = 4

tm.process()   

pytm es una biblioteca de Python 3. No hay disponible ninguna versión para Python 2.

En pytm, todo gira en torno a los elementos. Los elementos específicos son Process, Server, Datastore, Lambda, (Confianza) Boundary, y Actor. El objeto TM contiene todos los metadatos sobre el modelo de amenaza, así como la potencia de procesamiento. Importa sólo lo que vaya a utilizar tu modelo de amenazas, o amplía Element en tus propios específicos (¡y luego compártelos con nosotros!)

Instanciamos un objeto TM que contendrá toda la descripción de nuestro modelo.

Aquí instanciamos un límite de confianza que utilizaremos para separar distintas áreas de confianza del modelo.

También instanciamos un actor genérico para representar al usuario del sistema.

E inmediatamente lo colocamos en el lado correcto de un límite de confianza.

Cada elemento específico tiene atributos que influirán en las amenazas que se puedan generar. Todos ellos tienen valores por defecto comunes, y sólo debemos cambiar los que sean exclusivos del sistema.

El elemento Dataflow enlaza dos elementos previamente definidos, y lleva detalles sobre la información que fluye, el protocolo utilizado y los puertos de comunicación en uso.

Además de los DFD habituales, pytm también sabe generar diagramas de secuencia. Añadiendo un atributo .order a Dataflow, es posible organizarlos de forma que tengan sentido una vez expresados en ese formato.

Tras declarar todos nuestros elementos y sus atributos, una llamada a TM.process() ejecuta las operaciones requeridas en la línea de comandos.

Además del análisis línea por línea, lo que podemos aprender de este trozo de código es que cada modelo de amenaza es un script individual separado. De este modo, un proyecto grande puede mantener los scripts pytm pequeños y colocados con el código que representan, de modo que puedan mantenerse actualizados y controlados por versiones más fácilmente. Cuando cambia una parte concreta del sistema, sólo es necesario editar y cambiar ese modelo de amenaza concreto. Esto concentra el esfuerzo en la descripción del cambio, y evita los errores que se cometen al editar una gran pieza de código.

En virtud de la llamada a process(), cada script pytm tiene el mismo conjunto de conmutadores y argumentos de la línea de comandos:

tm.py [-h] [--debug] [--dfd] [--report REPORT] [--exclude EXCLUDE] [--seq] /
[--lis] [--describe DESCRIBE]

optional arguments:
  -h, --help           show this help message and exit
  --debug              print debug messages
  --dfd                output DFD (default)
  --report REPORT      output report using the named template file /
(sample template file is under docs/template.md)
  --exclude EXCLUDE    specify threat IDs to be ignored
  --seq                output sequential diagram
  --list               list all available threats
  --describe DESCRIBE  describe the properties available for a given element

Destacan --dfd y --seq: generan los diagramas en formato PNG. El DFD lo genera pytm escribiendo en Dot, un formato consumido por Graphviz, y el diagrama de secuencia por PlantUML. También tiene soporte multiplataforma. Los formatos intermedios son textuales, por lo que puedes hacer modificaciones, y el diseño está gobernado por las herramientas respectivas y no por pytm. Trabajando así, cada herramienta puede centrarse en lo que mejor sabe hacer.²¹

Consulta las Figuras 4-4 y 4-5.

Figura 4-4. Representación DFD del código de muestra

Figura 4-5. El mismo código, ahora representado como un diagrama de secuencia

Poder diagramar a la velocidad del código ha demostrado ser una propiedad útil de pytm. Hemos visto cómo se anotaba código durante las reuniones iniciales de diseño para describir el sistema en juego. pytm permite a los miembros del equipo salir de una sesión de modelado de amenazas con una representación funcional de su idea que tiene el mismo valor que un dibujo en una pizarra, pero que se puede compartir, editar y en la que se puede colaborar inmediatamente. Este enfoque evita todos los escollos de las pizarras blancas ("¿Alguien ha visto los rotuladores? No, ¡los rotuladores negros!", "¿Puedes mover un poco la cámara? El resplandor oculta la mitad de la vista", "Sarah es la responsable de convertir el dibujo en un archivo Visio. Espera, ¿quién es Sarah?", y los temidos carteles de "No borrar").

Pero aunque todo eso es valioso, una herramienta de modelado de amenazas es bastante deficiente si no, bueno, revela las amenazas. pytm tiene esa capacidad, aunque con una advertencia: en esta fase de su desarrollo, nos preocupa más identificar las capacidades iniciales que ser exhaustivos en las amenazas identificadas. El proyecto comenzó con un subconjunto de amenazas que es aproximadamente paralelo a las capacidades de la Herramienta de Modelado de Amenazas de Microsoft descritas en este capítulo, y añadió algunas amenazas relacionadas con lambda. Actualmente, pytm reconoce más de 100 amenazas detectables, basándose en un subconjunto de CAPEC. Aquí puedes ver algunas de las amenazas que pytm es capaz de identificar (y se pueden listar todas las amenazas utilizando el modificador --list ):

INP01 - Buffer Overflow via Environment Variables
INP02 - Overflow Buffers
INP03 - Server Side Include (SSI) Injection
CR01 - Session Sidejacking
INP04 - HTTP Request Splitting
CR02 - Cross Site Tracing
INP05 - Command Line Execution through SQL Injection
INP06 - SQL Injection through SOAP Parameter Tampering
SC01 - JSON Hijacking (aka JavaScript Hijacking)
LB01 - API Manipulation
AA01 - Authentication Abuse/ByPass
DS01 - Excavation
DE01 - Interception
DE02 - Double Encoding
API01 - Exploit Test APIs
AC01 - Privilege Abuse
INP07 - Buffer Manipulation
AC02 - Shared Data Manipulation
DO01 - Flooding
HA01 - Path Traversal
AC03 - Subverting Environment Variable Values
DO02 - Excessive Allocation
DS02 - Try All Common Switches
INP08 - Format String Injection
INP09 - LDAP Injection
INP10 - Parameter Injection
INP11 - Relative Path Traversal
INP12 - Client-side Injection-induced Buffer Overflow
AC04 - XML Schema Poisoning
DO03 - XML Ping of the Death
AC05 - Content Spoofing
INP13 - Command Delimiters
INP14 - Input Data Manipulation
DE03 - Sniffing Attacks
CR03 - Dictionary-based Password Attack
API02 - Exploit Script-Based APIs
HA02 - White Box Reverse Engineering
DS03 - Footprinting
AC06 - Using Malicious Files
HA03 - Web Application Fingerprinting
SC02 - XSS Targeting Non-Script Elements
AC07 - Exploiting Incorrectly Configured Access Control Security Levels
INP15 - IMAP/SMTP Command Injection
HA04 - Reverse Engineering
SC03 - Embedding Scripts within Scripts
INP16 - PHP Remote File Inclusion
AA02 - Principal Spoof
CR04 - Session Credential Falsification through Forging
DO04 - XML Entity Expansion
DS04 - XSS Targeting Error Pages
SC04 - XSS Using Alternate Syntax
CR05 - Encryption Brute Forcing
AC08 - Manipulate Registry Information
DS05 - Lifting Sensitive Data Embedded in Cache

Como ya se ha mencionado, el formato que pytm utiliza para definir las amenazas está siendo revisado en para adaptarlo a un mejor motor de reglas y proporcionar más información. Actualmente, pytm define una amenaza como una estructura JSON con el siguiente formato:

{
   "SID":"INP01",
   "target": ["Lambda","Process"],
   "description": "Buffer Overflow via Environment Variables",
   "details": "This attack pattern involves causing a buffer overflow through/
 manipulation of environment variables. Once the attacker finds that they can/
 modify an environment variable, they may try to overflow associated buffers./
 This attack leverages implicit trust often placed in environment variables.",
   "Likelihood Of Attack": "High",
   "severity": "High",
   "condition": "target.usesEnvironmentVariables is True and target.sanitizesInp
ut is False and target.checksInputBounds is False",
   "prerequisites": "The application uses environment variables.An environment/
 variable exposed to the user is vulnerable to a buffer overflow.The vulnerable/
 environment variable uses untrusted data.Tainted data used in the environment/
 variables is not properly validated. For instance boundary checking is not /
done before copying the input data to a buffer.",
   "mitigations": "Do not expose environment variables to the user.Do not use /
untrusted data in your environment variables. Use a language or compiler that /
performs automatic bounds checking. There are tools such as Sharefuzz [R.10.3]/
 which is an environment variable fuzzer for Unix that support loading a shared/
 library. You can use Sharefuzz to determine if you are exposing an environment/
 variable  vulnerable to buffer overflow.",
   "example": "Attack Example: Buffer Overflow in $HOME A buffer overflow in
   sccw allows local users to gain root access via the $HOME
   environmental variable. Attack Example: Buffer Overflow in TERM A
   buffer overflow in the rlogin program involves its consumption of
   the TERM environment variable.",
   "references": "https://capec.mitre.org/data/definitions/10.html, CVE-1999-090
6, CVE-1999-0046, http://cwe.mitre.org/data/definitions/120.html, http://cwe.mit
re.org/data/definitions/119.html, http://cwe.mitre.org/data/definitions/680.html
"
 },

El campo objetivo describe un único elemento o una tupla de posibles elementos sobre los que actúa la amenaza. El campo condición es una expresión booleana que se evalúa como Verdadero (la amenaza existe) o Falso (la amenaza no existe) en función de los valores de los atributos del elemento objetivo.

Para completar el conjunto inicial de capacidades, añadimos una capacidad de elaboración de informes basada en plantillas .²² Aunque simple y sucinto, el mecanismo de plantillas es suficiente para proporcionar un informe utilizable. Permite crear informes en cualquier formato basado en texto, incluidos HTML, Markdown, RTF y texto simple. Nosotros hemos optado por Markdown:

# Threat Model Sample
***

## System Description
{tm.description}

## Dataflow Diagram
![Level 0 DFD](dfd.png)

## Dataflows
Name|From|To |Data|Protocol|Port
----|----|---|----|--------|----
{dataflows:repeat:{{item.name}}|{{item.source.name}}|{{item.sink.name}}/
|{{item.data}}|{{item.protocol}}|{{item.dstPort}}
}

## Potential Threats
{findings:repeat:* {{item.description}} on element "{{item.target}}"
}

Esta plantilla, aplicada al script anterior, generaría el informe que puedes ver en el Apéndice A.

Realmente esperamos seguir creciendo y desarrollando más capacidades en un futuro próximo, con la esperanza de reducir la barrera de entrada al modelado de amenazas por parte de los equipos de desarrollo, al tiempo que proporcionamos resultados útiles.

Threagile

Threagile, de Christian Schneider, es un sistema prometedor que acaba de entrar (en julio de 2020) en el espacio del modelado de amenazas como código. Actualmente está en modo oculto, pero pronto estará disponible en código abierto.

Al igual que pytm, Threagile entra en la categoría de modelado de amenazas con código, pero utiliza un archivo YAML de para describir el sistema que va a evaluar. Un equipo de desarrollo puede utilizar las herramientas que los miembros del equipo ya conocen, en su IDE nativo, y que se pueden mantener junto con el código del sistema que representa, controlado por versiones, compartido y en el que se puede colaborar. La herramienta está escrita en Go.

Dado que en el momento de escribir este artículo la herramienta aún está en desarrollo, te aconsejamos que visites el sitio web del autor de Threagile para ver ejemplos de los informes y diagramasgenerados.

Los elementos principales del archivo YAML que describe el sistema de destino son sus activos de datos, activos técnicos, enlaces de comunicación y límites de confianza. Por ejemplo, la definición de un activo de datos tiene el siguiente aspecto:

Customer Addresses:
	id: customer-addresses
	description: Customer Addresses
	usage: business
	origin: Customer
            owner: Example Company
            quantity: many
            confidentiality: confidential
	integrity: mission-critical
	availability: mission-critical
	justification_cia_rating: these have PII of customers and the system /
needs these addresses for sending invoices

En este momento, la definición de activos de datos es la principal diferencia de enfoque entre Threagile y pytm, ya que las definiciones de activos técnicos (en pytm, elementos como Server, Process, etc.), límites de confianza y enlaces de comunicación (flujos de datos pytm) siguen más o menos la misma amplitud de información sobre cada elemento específico del sistema.

Las diferencias son más marcadas en el sentido de que Threagile considera explícitamente distintos tipos de límites de confianza, como Red On Prem, Proveedor de Nube de Red y Grupo de Seguridad de Nube de Red (entre muchos otros), mientras que pytm no diferencia. Cada tipo impone una semántica diferente que interviene en la evaluación de las amenazas.

Threagile dispone de un sistema de plug-ins para soportar reglas que analizan el grafo del sistema descrito por la entrada YAML. En el momento de escribir esto, admite unas 35 reglas, pero se están añadiendo más. Una selección aleatoria de reglas de muestra muestra lo siguiente:

• falsificación de petición de sitio cruzado

• respaldo de código

• inyección ldap

• acceso-desprotegido-de-internet

• servicio-registro-envenenamiento

• transferencia-innecesaria-de-datos

A diferencia de pytm, que funciona como un programa de línea de comandos, Threagile también proporciona una API REST que almacena modelos (encriptados) y te permite editarlos y ejecutarlos. El sistema Threagile mantendrá el YAML de entrada en un repositorio, junto con el código que el YAML describe, y se puede indicar al sistema que realice el procesamiento a través de la CLI o de la API. La salida de Threagile consiste en lo siguiente:

• Un informe de riesgos PDF

• Una hoja de cálculo Excel de seguimiento de riesgos

• Un resumen del riesgo con detalles del riesgo como JSON

• Un DFD trazado automáticamente (con coloreado que expresa la clasificación de activos, datos y enlaces de comunicación)

• Un diagrama de riesgos de los activos de datos

Este último diagrama es de especial interés, ya que expresa, para cada activo de datos, dónde se procesa y dónde se almacena, con colores que expresan el estado de riesgo por activo de datos y activo técnico. Que sepamos, ésta es la única herramienta que ofrece esa vista en este momento.

El formato del informe PDF generado es extremadamente detallado, y contiene toda la información necesaria para hacer llegar el riesgo a la dirección o para que los desarrolladores puedan mitigarlo. La clasificación STRIDE de las amenazas identificadas está presente, así como un análisis del impacto de los riesgos por categoría.

Estamos deseando ver más de esta herramienta y participar en su desarrollo, y te sugerimos encarecidamente que le eches un vistazo cuando se abra al público.

IriusRiesgo

Metodologías aplicadas: Basadas en cuestionarios, biblioteca de amenazas

Propuesta principal: La edición gratuita/comunitaria de IriusRisk (ver Figura 4-6) ofrece la misma funcionalidad que la versión Enterprise, con una limitación en el tipo de informes que puede producir y en los elementos que ofrece en su menú para incluir en el sistema. La edición gratuita tampoco contiene una API, pero es suficiente para mostrar las capacidades de la herramienta. La Figura 4-6 muestra un ejemplo de los resultados del análisis realizado por IriusRisk sobre el modelo de un sencillo sistema navegador/servidor. Su biblioteca de amenazas parece basarse al menos en CAPEC, con menciones a CWE; Web Application Security Consortium, o WASC; OWASP Top Ten; y OWASP Application Security Verification Standard (ASVS) y OWASP Mobile Application Security Verification Standard (MASVS).

Frescura: Actualizada constantemente

Obtener de: https://oreil.ly/TzjrQ

Figura 4-6. Resultados del análisis en tiempo real de IriusRisk

Un hallazgo típico en un informe IriusRisk contendría el componente donde se identificó, el tipo de fallo ("Acceso a datos sensibles"), una breve explicación de la amenaza ("Los datos sensibles se ven comprometidos mediante ataques contra SSL/TLS") y una representación gráfica/color del riesgo y el progreso de las contramedidas.

Al profundizar en una amenaza determinada se muestra un ID único (que contiene información CAPEC u otro índice), una división del impacto en confidencialidad, integridad y disponibilidad, una descripción más larga y una lista de referencias, debilidades asociadas y contramedidas que informarán al lector sobre cómo abordar el problema identificado.

Elementos SD

Metodologías aplicadas: Basadas en cuestionarios, biblioteca de amenazas

Propuesta principal: En el momento de escribir este artículo, en la versión 5, SD Elements pretende ser una solución de gestión de la seguridad de ciclo completo para tu empresa. Una de las capacidades que ofrece es el modelado de amenazas basado en cuestionarios. Dada una política de seguridad y cumplimiento predefinida, la aplicación intenta verificar la conformidad del sistema en desarrollo con esa política, sugiriendo contramedidas.

Frescura: Oferta comercial actualizada con frecuencia

Obtener de: https://oreil.ly/On7q2

ThreatModeler

Metodologías aplicadas: Diagramas de flujo del proceso; Amenaza Visual, Ágil y Simple (VAST); biblioteca de amenazas

Propuesta principal: ThreatModeler es una de las primeras herramientas de diagramación y análisis de modelado de amenazas disponibles comercialmente. ThreatModeler utiliza diagramas de flujo de procesos (que mencionamos brevemente en el Capítulo 1) e implementa el enfoque de modelado VAST para el modelado de amenazas.

Frescura: Oferta comercial

Obtener de: https://threatmodeler.com

Dragón de amenazas OWASP

Metodologías aplicadas: Biblioteca de amenazas basada en reglas, STRIDE

Propuesta principal: Threat Dragon es un proyecto que acaba de salir del estado de incubadora en OWASP. Es una aplicación de modelado de amenazas online y de escritorio (Windows, Linux y Mac) que proporciona una solución de diagramación (arrastrar y soltar), y un análisis basado en reglas de los elementos definidos, sugiriendo amenazas y mitigaciones. Esta herramienta multiplataforma y gratuita es utilizable y ampliable (ver Figura 4-7).

Frescura: En desarrollo activo, dirigido por Mike Goodwin y Jon Gadsden

Obtener de: https://oreil.ly/-n5uF

Figura 4-7. Un sistema de muestra, disponible como demostración

Observa en la Figura 4-7, que la DFD se ajusta a la simbología sencilla presentada a lo largo del libro; cada elemento tiene una hoja de propiedades que proporciona detalles y contexto sobre él. El elemento se muestra en el contexto del sistema completo, y se dispone de información básica sobre si está en el ámbito del modelo de amenaza, y qué contiene, y cómo se almacena o procesa.

Los usuarios también pueden crear sus propias amenazas, lo que añade un nivel de personalización que permite a una organización o equipo hacer hincapié en aquellas amenazas que son particulares de su entorno o del funcionamiento de su sistema. Existe una correlación directa con la elicitación de amenazas STRIDE y una simple clasificación de criticidad Alta/Media/Baja sin correlación directa con una puntuación CVSS.

Threat Dragon ofrece una completa capacidad de elaboración de informes que mantiene el diagrama del sistema en el punto de mira, y proporciona una lista de todos los hallazgos (con sus mitigaciones, si están disponibles) ordenados por elementos, o el motivo si un elemento determinado forma parte del diagrama pero está marcado como fuera del alcance del modelo de amenazas.

Herramienta de modelado de amenazas de Microsoft

Metodologías aplicadas: Dibujar y anotar, STRIDE

Proposición principal: Otra importante contribución de Adam Shostack y el Equipo SDL en Microsoft, la Herramienta de Modelado de Amenazas de Microsoft es una de las primeras apariciones en el espacio de las herramientas de modelado de amenazas. Inicialmente se basaba en una biblioteca de Visio (y, por tanto, requería una licencia para ese programa), pero esa dependencia se ha eliminado, y ahora la herramienta es una instalación independiente. Una vez instalada, ofrece opciones para añadir un nuevo modelo o plantilla, o cargar los existentes. La plantilla por defecto es una orientada a Azure, con una plantilla SDL genérica para los sistemas que no son específicos de Azure. Microsoft también admite una biblioteca de plantillas, que, aunque de momento no es muy extensa, es sin duda una contribución bienvenida al panorama. La herramienta utiliza una aproximación de la simbología DFD que usamos en el Capítulo 1, y ofrece herramientas que te permiten anotar cada elemento con atributos, tanto predefinidos como definidos por el usuario. Basándose en reglas preconfiguradas (que viven en un archivo XML y que, en teoría, pueden ser editadas por el usuario), la herramienta genera un informe del modelo de amenazas que contiene el diagrama, las amenazas identificadas (clasificadas según STRIDE) y algunos consejos de mitigación. Aunque los elementos y sus atributos están muy orientados a Windows, la herramienta tiene valor para los usuarios no Windows (véase la Figura 4-8).

Frescura: Parece que se actualiza cada dos años.

Obtener de: https://oreil.ly/YL-gI

Al igual que en otras herramientas, cada elemento puede editarse para proporcionar sus propiedades. La principal diferencia aquí es que algunas propiedades de los elementos están muy relacionadas con Windows; por ejemplo, el elemento Proceso del SO contiene propiedades como Ejecutar como, con Administrador como posible valor, o Tipo de código: Administrado. Cuando el programa genere amenazas, ignorará las opciones que no sean aplicables al entorno objetivo.

Los informes de esta herramienta están estrechamente ligados a STRIDE, y cada hallazgo tiene una categoría STRIDE, además de una descripción, una justificación, un estado de mitigación y unaprioridad.

Figura 4-8. DFD del sistema de demostración de muestra proporcionado con la herramienta

CAIRIS

Metodologías aplicadas: Diseño de seguridad basado en activos y en amenazas

Propuesta principal: Creada y desarrollada por Shamal Faily, CAIRIS, que significa Integración Asistida por Ordenador de Requisitos y Seguridad de la Información, es una plataforma para crear representaciones de sistemas seguros centradas en el análisis de riesgos que se basa en los requisitos y la usabilidad. Una vez definido un entorno (es decir, un contenedor en el que existe el sistema: una encapsulación de activos, tareas, personas y atacantes, objetivos, vulnerabilidades y amenazas), puedes definir el contenido del entorno. Las personas definen a los usuarios, y las tareas describen cómo interactúan las personas con el sistema. Las personas también tienen roles, que pueden ser parte interesada, atacante, controlador de datos, procesador de datos y sujeto de datos. Las personas interactúan con los activos, que tienen propiedades como Seguridad y Privacidad (como CIA), Responsabilidad, Anonimato e Inobservabilidad, valoradas como Ninguna, Baja, Media y Alta. Las tareas modelan el trabajo que una o varias personas realizan en el sistema en viñetas específicas del entorno. CAIRIS es capaz de generar DFD UML con la simbología habitual, así como representaciones textuales de un sistema. El sistema es complejo, y nuestra descripción nunca le hará justicia, pero en el transcurso de nuestra investigación, CAIRIS nos intrigó lo suficiente como para justificar una exploración más profunda. Un libro de que amplía la herramienta y las formas de utilizarla, y que ofrece un curso completo sobre seguridad por diseño es Designing Usable and Secure Software with IRIS and CAIRIS, de Shamal Faily (Springer).

Frescura: En desarrollo activo

Obtener de: https://oreil.ly/BfW2l

Esponja marina Mozilla

Metodologías aplicadas: Impulsada visualmente, sin elicitación de amenazas

Propuesta principal: Mozilla SeaSponge es una herramienta basada en web que funciona en cualquier navegador relativamente moderno y proporciona una interfaz de usuario limpia y de buen aspecto, que también promueve una experiencia intuitiva. En este momento, no ofrece un motor de reglas ni una capacidad de elaboración de informes, y su desarrollo parece haber finalizado en 2015 (ver Figura 4-9).

Frescura: El desarrollo parece haberse estancado.

Obtener de: https://oreil.ly/IOlh8

Figura 4-9. Interfaz de usuario de Mozilla SeaSponge

Automatizador del Modelo de Amenaza Tutamen

Metodologías aplicadas: Visually driven, STRIDE y bibliotecas de amenazas

Propuesta principal: Tutamen Threat Model Automator es una oferta comercial de software como servicio (SaaS) (a partir de octubre de 2019, en beta gratuita) con un planteamiento interesante: sube un diagrama de tu sistema en formatos draw.io o Visio, o una hoja de cálculo Excel, y recibe tu modelo de amenazas. Debes anotar tus datos con metadatos relacionados con la seguridad, zonas de confianza y permisos que quieras asignar a los elementos. El informe generado identificará los elementos, los flujos de datos y las amenazas, y propondrá mitigaciones.

Frescura: Oferta comercial actualizada con frecuencia

Obtener de: http://www.tutamantic.com