1-Fase 4 - Realizar Actividad Práctica de Modelado de Amenazas.

RIESGOS Y CONTROL INFORMATICO (Posgrado)

Fase 4 - Realizar Actividad Práctica de Modelado de Amenazas

Presentado por:

Raúl Alberto Avellaneda  – Cód. 79.720.169

Grupo 233004_12

Director:

LUIS FERNANDO ZAMBRANO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA “UNAD”

Bogotá, Mayo de 2018

Introducción

Este documento tiene como finalidad seguir paso a paso con la recolección del inventario informático para realiza la actividad Fase 4 - Realizar Actividad Práctica de Modelado de  Amenazas,  Amenazas, A partir de los conocimientos conocimientos adquiridos adquiridos en las actividades actividades anteriores y haciendo uso de la herramienta de Threat Analysis and Modeling Tool 2016, realizar el modelado de amenazas.

2

Objetivos



Partiendo del aprendizaje, basado en proyectos llevar a cabo el tratamiento del riesgo para el establecimiento de controles de acuerdo a las normas vigentes



Haciendo uso de la herramienta de Threat Analysis and Modeling Tool 2016, revisar vulnerabilidades. vulnerabilidades.



Por medio de la herramienta determinar cuál es la amenaza que más se presenta.

3

Actividad a desarrollar 

 A partir de los conocimientos conocimientos adquiridos adquiridos en las actividades actividades anteriores anteriores y haciendo haciendo uso de la herramienta de Threat Analysis and Modeling Modeli ng Tool 2016, realizar el modelado de amenazas teniendo en cuenta el siguiente ejercicio: ejercici o: Una aplicación web desarrollada desarrol lada a tres capas para un proceso de facturación cuenta con la siguiente estructura lógica:

El sistema se basa en arquitectura de una aplicación web de tres capas, donde el cliente es un navegador que acceder a los servicios proporcionados por el sitio web del centro de facturación, esta contiene una base de datos de clientes y procesos de facturación, alojada en un servidor uno de bases de datos y un servidor web que implementa toda la lógica de negocio.

Identificar las amenazas teniendo en cuenta su categoría, proponer salvaguardas que ayuden a mitigarlas los riesgos encontrados. En la prioridad se determina el resultado del riesgo (bajo, medio o alto) teniendo en cuenta la suma de la probabilidad de impacto la cual va de 1 a 3, tenga presente que esta evaluación se hace de forma manual.

4

Por último, se determinan tres posibles salvaguardas Como ayudas de salvaguardas a incluir en la aplicación, para mitigar las amenazas se incluye el siguiente gráfico:

Nombre de las amenazas identificadas

5

Descripción de Amenazas

6

7

El resto de Threat se aprecia en la plantilla (2-Plantilla Ejerc. Raul Avellaneda) 8

Interaction: Consulta SQL Categoría:  Elevación de privilegio Descripción:   Server SQL puede suplantar el contexto del servidor web para obtener

privilegios adicionales. adicionales. Justificación:

Un atacante puede pasar datos a Server SQL para cambiar el flujo de ejecución del programa dentro del Server SQL a elección del atacante. El servidor SQL puede estar sujeto a la elevación de privilegios mediante la ejecución remota de código El flujo de datos IPsec está potencialmente interrumpido, Un agente externo interrumpe el flujo de datos a través de un límite de confianza en cualquier dirección. Posible bloqueo o detención del proceso para SQL del servidor, Server SQL se bloquea, se detiene, se detiene o se ejecuta lentamente; en todos los casos violando una métrica de disponibilidad Repudio de datos potenciales por SQL Server, el servidor SQL afirma que no recibió datos de una fuente fuera del límite de confianza. Considere usar el registro o la auditoría para registrar la fuente, la hora y el resumen de los datos recibidos. Interaction: Datos Categoría:  Cross-site scripting Descripción: Es un tipo de inseguridad informática o agujero de seguridad típico de las

aplicaciones Web, El servidor web 'Servidor web' podría estar sujeto a un ataque de scripts entre sitios porque no desinfecta las entradas que no son de confianza. Spoofing de Source Data Store web en disco, Justificación:

Web en disco puede ser falsificado por un atacante y esto puede conducir a que se entreguen datos incorrectos al servidor web. Considere usar un mecanismo de autenticación estándar para identificar el almacén de datos de origen. Persistent Cross Site Scripting, El servidor web 'Servidor web' podría estar sujeto a un persistente ataque de secuencias de comandos entre sitios porque no desinfecta las entradas y salidas de 'web en disco' del almacén de datos. Débil control de acceso para un recurso, La protección de datos mproper de web en disco puede permitir que un atacante lea información no destinada a la divulgación. Revisar configuración de autorización

9

Repudio de datos potenciales por servidor web, Web Server afirma que no recibió datos de una fuente fuera del límite de confianza. Considere usar el registro o la auditoría para registrar la fuente, la hora y el resumen de los datos recibidos Posible bloqueo o detención del proceso para el servidor web, El servidor web se bloquea, se detiene, se detiene o se ejecuta lentamente; en todos los casos violando una métrica de disponibilidad. El flujo de datos Datos está potencialmente interrumpido, Un agente externo interrumpe el flujo de datos a través de un límite de confianza en cualquier dirección.  Almacén de de datos inaccesible, inaccesible, Un Un agente externo impide impide el acceso acceso a un almacén de datos en el otro lado del límite de confianza. El servidor web puede estar sujeto a la elevación de privilegios mediante la ejecución remota de código, web en disco puede ejecutar remotamente código para el servidor web. Elevación al cambiar el flujo de ejecución en el servidor web, Un atacante puede pasar datos al Servidor Web para cambiar el flujo de ejecución del programa dentro del Servidor Web a elección del atacante. Interaction: HTTPS Categoría:  Repudio de datos potenciales por servidor web Descripción: Web Server claims that it did not receive data from a source outside the trust

boundary. Consider using logging or auditing to record the source, time, and summary of the received data Justificación:

Suplantar el proceso del cliente del navegador, El atacante puede falsificar al navegador y esto puede provocar el acceso no autorizado al servidor web. Considere usar un mecanismo de autenticación estándar para identificar el proceso fuente. Cross Site Scripting, El servidor web 'Servidor web' podría estar sujeto a un ataque de scripts entre sitios porque no desinfecta las entradas que no son de confianza. Elevación mediante suplantación, El servidor web puede suplantar el contexto del cliente del navegador para obtener privilegios adicionales Elevación al cambiar el flujo de ejecución en el servidor web, Un atacante puede pasar datos al Servidor Web para cambiar el flujo de ejecución del programa dentro del Servidor Web a elección del atacante. El servidor web puede estar sujeto a la elevación de privilegios mediante la ejecución remota de código, El cliente del navegador puede ejecutar código de forma remota para el servidor web. Flujo de datos HTTPS potencialmente se interrumpe, Un agente externo interrumpe el flujo de datos a través de un límite de confianza en cualquier dirección. 10

Posible bloqueo o detención del proceso para el servidor web, El servidor web se bloquea, se detiene, se detiene o se ejecuta lentamente; en todos los casos violando una métrica de disponibilidad. Falsificación de solicitudes cruzadas, La falsificación de solicitudes entre sitios (CSRF o XSRF) es un tipo de ataque en el que un atacante fuerza al navegador de un usuario a realizar una solicitud falsificada a un sitio vulnerable explotando una relación de confianza existente entre el navegador y el sitio web vulnerable. En un escenario simple, un usuario inicia sesión en el sitio web A usando una cookie como credencial. El otro busca en el sitio web B. El sitio web B devuelve una página con un formulario oculto que se publica en el sitio web A. Dado que el navegador llevará la cookie del usuario al sitio web A, el sitio web B ahora puede realizar cualquier acción en el sitio web A , por ejemplo, agregar un administrador a una cuenta. El ataque se puede usar para explotar cualquier solicitud que el navegador autentique automáticamente, p. por sesión cookie, autenticación integrada, IP whitelisting, ... El ataque puede llevarse a cabo de muchas maneras, como atraer a la víctima a un sitio bajo control del atacante, hacer que el usuario haga clic en un enlace en un correo phishing o piratear un sitio web de buena reputación que la víctima visitará. El problema solo puede resolverse por el lado del servidor al exigir que todas las solicitudes autenticadas de cambio de estado incluyan una pieza adicional de carga secreta (token canario o CSRF) que solo es conocida por el sitio web legítimo y el navegador y que está protegida en tránsito. a través de SSL / TLS. Consulte la propiedad de Protección contra falsificación en la plantilla de flujo para obtener una lista de mitigaciones. Interaction: HTTPS Categoría:  Web Server Process Memory Tampered Descripción:  Si el Servidor Web tiene acceso a la memoria, como memoria compartida o

apuntadores, o tiene la capacidad de controlar lo que ejecuta el Cliente del Navegador (por ejemplo, devolver un puntero a la función), entonces el Servidor Web puede manipular el Cliente del Navegador. Considere si la función podría funcionar con menos acceso a la memoria, como pasar datos en lugar de punteros. Copie los datos provistos y luego valídelo. Justificación:

Elevación mediante suplantación, El cliente del navegador puede suplantar el contexto del servidor web para obtener privilegios adicionales. Suplantar el proceso del servidor web, Web Server may be spoofed by an attacker and this may lead to unauthorized access to Browser Client. Consider using a standard authentication mechanism to identify the source process. Repudio de datos potenciales por el cliente del navegador, El cliente del navegador afirma que no recibió datos de una fuente fuera del límite de confianza. Considere usar el registro o la auditoría para registrar la fuente, la hora y el resumen de los datos recibidos. Posible bloqueo o detención del proceso para el cliente del navegador, El cliente del navegador se bloquea, se detiene, se detiene o se ejecuta lentamente; en todos los casos violando una métrica de disponibilidad.

11

Flujo de datos HTTPS potencialmente se interrumpe, Un agente externo interrumpe el flujo de datos a través de un límite de confianza en cualquier dirección. El cliente del navegador puede estar sujeto a la elevación de privilegios mediante la ejecución remota de código, El servidor web puede ejecutar código de forma remota para el cliente del navegador. Elevación al cambiar el flujo de ejecución en el cliente del navegador, Un atacante puede pasar datos al Cliente del navegador para cambiar el flujo de ejecución del programa dentro del Cliente del navegador a elección del atacante. Interaction: IPsec Categoría:  Spoofing of Destination Data Store SQL Database Descripción: La base de datos SQL puede ser falsificada por un atacante y esto puede

conducir a que los datos se escriban e scriban en el destino del atacante at acante en lugar de la base de datos SQL. Considere usar un mecanismo de autenticación estándar para identificar el almacén de datos de destino. Vulnerabilidad de inyección SQL potencial para base de datos SQL, La inyección SQL es un ataque en el que se inserta código malicioso en cadenas que luego se pasan a una instancia de SQL Server para su análisis y ejecución. Cualquier procedimiento que construya declaraciones declaraci ones SQL debe ser revisado para detectar vulnerabilidades de inyección porque SQL Server ejecutará todas las consultas sintácticamente válidas que reciba. Incluso los datos parametrizados pueden ser manipulados por un atacante experto y determinado. Consumo de recursos excesivo potencial para el servidor SQL o base de datos SQL, ¿Puede el servidor SQL o SQL Database toman pasos explícitos para controlar el consumo de recursos? Los ataques de consumo de recursos pueden ser difíciles de manejar, y hay momentos en los que tiene sentido dejar que el SO haga el trabajo. Tenga cuidado de que sus solicitudes de recursos no se estanquen y que se agote el tiempo de espera. Interaction: Procesos Categoría:  Spoofing the Human User External Entity Descripción: El usuario humano puede ser falsificado por un atacante y esto puede

conducir a un acceso no autorizado al cliente client e del navegador. Considere usar un mecanismo mecanism o de autenticación estándar para identificar la entidad externa. Usuario humano.

Justificación:

Elevación mediante suplantación, El cliente del navegador puede suplantar el contexto del usuario humano para obtener privilegios adicionales Interaction: Respuesta Categoría: Spoofing of Source Data Store SQL Database

12

Descripción:  La base de datos SQL puede ser falsificada por un atacante y esto puede

llevar a datos incorrectos entregados a Server SQL. Considere usar un mecanismo de autenticación estándar para identificar el almacén de datos de origen. Base de datos SQL Justificación:

Débil control de acceso para un recurso, La protección de datos mproper de la Base de datos SQL puede permitir que un atacante lea información no destinada a la divulgación. Revise la configuración de autorización. Interaction: Respuesta Categoría: Cross Site Scripting Descripción: El servidor web 'Servidor web' podría estar sujeto a un ataque de scripts entre

sitios porque no desinfecta las entradas que no son de confianza. Justificación:

Elevation Using Impersonation, El servidor web puede suplantar el contexto de SQL del servidor para obtener privilegios adicionales. Repudio de datos potenciales por servidor web, Web Server afirma que no recibió datos de una fuente fuera del límite de confianza. Considere usar el registro o la auditoría para registrar la fuente, la hora y el resumen de los datos recibidos Posible bloqueo o detención del proceso para el servidor web, El servidor web se bloquea, se detiene, se detiene o se ejecuta lentamente; en todos los casos violando una métrica de disponibilidad El flujo de datos IPsec está potencialmente interrumpido, Un agente externo interrumpe el flujo de datos a través de un límite de confianza en cualquier dirección El servidor web puede estar sujeto a la elevación de privilegios mediante la ejecución remota de código, El servidor SQL puede ejecutar código de forma remota para el servidor web. Elevación al cambiar el flujo de ejecución en el servidor web, Un atacante puede pasar datos al Servidor Web para cambiar el flujo de ejecución del programa dentro del Servidor Web a elección del atacante. Salvaguardas

1. Suplantación SQL Se puede resolver la suplantación, usando SQL Server Configuration Manager para cambiar la cuenta de dominio a una cuenta de inicio. Luego, use SQL Server Configuration Manager para cambiar la cuenta de inicio a una cuenta de dominio. Al hacer esto, SQL Server Configuration Manager agregará la cuenta de dominio al grupo de seguridad siguiente:

13

SQLServer2005SQLAgentUser$ComputerName$InstanceName Por lo tanto, SQL Server Configuration Manager concederá a la cuenta de dominio los permisos necesarios para ejecutar los trabajos del agente. Para resolver el problema, siga estos pasos: Establezca la cuenta del servicio Agente SQL Server de SQL Server Configuration Manager en la cuenta LocalSystem. Detenga y luego inicie el servicio Agente SQL Server. Restablezca la cuenta del servicio Agente SQL Server de SQL Server Configuration Manager en la cuenta original. Detenga y luego inicie el servicio Agente SQL Server. Protecciones contra malware 2. Cross-site scripting

Se debe contar con una solución de seguridad malware o exploits, los cuales apenas se ejecuten, automáticamente será bloqueada, Además, si se trata de una redirección a algún sitio de phishing, se cuenta con la protección del antivirus y el bloqueo proactivo por parte de los navegadores. Existen complementos o extensiones exclusivamente exclusi vamente para los navegadores que se encarga de bloquear estos scripts en sitios web. Como ejemplo tenemos NoScript, que permite realizar configuraciones personalizadas (y es gratuito). 3. Web Server Process Memory Tampered

Validación de entrada / datos No confíes en la entrada Validar entrada: longitud, rango, formato y tipo Restrinja, rechace y desinfecte la información Codificar salida  Autenticación  Autenticación Usa políticas de contraseñas seguras No almacene credenciales Utilice mecanismos de autenticación que no requieren credenciales de texto claro para pasar a través de la red Encriptar canales de comunicación para proteger tokens de autenticación Use HTTPS solo con cookies de autenticación de formularios Separar el anonimato de las páginas autenticadas  Autorización  Autorización Use cuentas de privilegios mínimos Considere la granularidad del acceso Hacer cumplir la separación de privilegios Usa múltiples guardianes  Asegure los los recursos del sistema contra las las identidades identidades del sistema sistema Gestión de configuración Use cuentas de servicios con menos privilegios No almacene credenciales en texto claro Use autenticación y autorización sólidas en las interfaces administrativas 14

No use la autoridad de seguridad local (LSA) Evite almacenar información confidencial en el espacio web Utilice solo la administración local Informacion delicada No almacene secretos en el software Cifrar datos confidenciales a través de la red  Asegure el el canal Gestión de sesiones Sitio de particiones por usuarios anónimos, identificados y autenticados Reduce los tiempos de espera de la sesión Evite almacenar datos confidenciales en tiendas de sesión  Asegure el el canal a la tienda tienda de sesiones sesiones  Autenticar  Autenticar y autorizar autorizar el acceso a la tienda tienda de sesiones sesiones Criptografía No desarrolle ni use algoritmos propios (XOR no es cifrado. Utilice la criptografía proporcionada por la plataforma) Utilice el método RNGCryptoServiceProvider para generar números aleatorios Evite la administración de claves. Utilice la API de protección de datos de Windows (DPAPI) cuando corresponda Periódicamente cambia tus llaves 4. Spoofin

Filtrando en el router: Implementando filtros de entrada y salida en su router es una buena idea para comenzar su defensa ante el spoofing. Usted deberá implementar un ACL (lista de control de acceso) que bloquea direcciones de IP privadas por debajo de su interfaz.  Además, este interfaz no debería aceptar direcciones direcciones de tu rango interno int erno como dirección de origen (técnica común de spoofing que se usaba para engañar a los cortafuegos). Por encima de la interfaz, usted debería restringir direcciones direcc iones de origen fuera de su rango válido, esto evitará que alguien en su red envíe tráfico spoofeado a Internet. Es importante que no se permita la salida de ningún paquete que tenga como dirección IP de origen una que no pertenezca a su subred. El cifrado y la Autenticación: la Realización del cifrado y la autenticación también reducirán amenazas de spoofing. Estas dos características están incluidas en Ipv6, que eliminará las actuales amenazas de spoofing.

Informe Generado:

1 Threat Modeling Report Created on 24/04/2018 12:00:43 p. m. Threat Model Name: Owner: Reviewer: Contributors:

15

Description: Assumptions: External Dependencies:

2 Threat Model Summary: Not Started 47 Not Applicable 0 Needs Investigation 0 Mitigation Implemented 0 Total 47 Total Migrated 0

3 Validation Messages: 1. Error [ignored]: More than one arc trust boundary of the same type on the same data flow. 2. Error [ignored]: More than one arc trust boundary of the same type on the same data flow. 4 Consulta SQL Diagram Summary: Not Started 47 Not Applicable 0 Needs Investigation 0 Mitigation Implemented 0 Total 47 Total Migrated 0 5 Interaction: Consulta SQL

16

1. Elevation Using Impersonation [State: Not Started] [Priority: High] Category: Elevation Of Privilege Description: Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

Server SQL may be able to impersonate the context of Web Server in order to gain additional privilege. Medium Medium Medium Medium Medium

Safeguard 1: Safeguard 2: Safeguard 3: 2. Elevation by Changing the Execution Flow in Server SQL [State: Not Started] [Priority: [Priority: High] Category: Elevation Of Privilege Description:

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

 An attacker may pass data into Server SQL in order to change the flow of program execution within Server SQL to the attacker's choosing. High Medium High High High

Safeguard 1:

17

Safeguard 2: Safeguard 3: 3. Server SQL May be Subject to Elevation of Privilege Using Remote Code Execution [State: Not Started] [Priority: [Priority: High] High] Category: Elevation Of Privilege Description: Web Server may be able to remotely execute code for Server Justification: Dread-damage: DreadReproducibility:

SQL. High High

Dread-Exploitability: High Dread-Affected users:   High Dread-Discoverablity: Low Safeguard 1: Safeguard 2: Safeguard 3: 4. Data Data Flow IPsec Is Potentially Potentially Interrupted [State: Not Started] [Priority: High] Category: Denial Of Service Description: Justification:

 An external external agent agent interrupts data flowing across across a trust boundary boundary in either direction. Medium Medium

Dread-damage: DreadReproducibility: Dread-Exploitability: High Dread-Affected Medium users: DreadMedium Discoverablity: Safeguard 1:

Safeguard 2: Safeguard 3: 5. Potential Process Crash or Stop for Server SQL [State: Not Started] [Priority: High] Category: Denial Of Service Description: Server SQL crashes, halts, stops or runs slowly; in all cases Justification: Dread-damage: DreadReproducibility:

violating an availability metric. Low High

Dread-Exploitability: Low

18

Dread-Affected users:

High

DreadDiscoverablity:

Low

Safeguard 1: Safeguard 2: Safeguard 3: 6. Potential Data Repudiation by Server SQL [State: Not Started] [Priority: High] Category: Repudiation Description: Server SQL claims that it did not receive data from a source outside

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity: Safeguard 1:

the trust boundary. Consider using logging or auditing to record the source, time, and summary of the received data. High High High High High

Safeguard 2: Safeguard 3:

Interaction: Datos

19

7. Cross Site Scripting [State: Not Started] [Priority: High] Category: Tampering Description: The web server 'Web Server' could be a subject to a cross-site Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

scripting attack because it does not sanitize untrusted input. Medium Medium Medium High Medium

Safeguard 1: Safeguard 2: Safeguard 3: 8. Spoofing of Source Data Store web en disco [State: Not Started] [Priority: High] Category: Spoofing Description: web en disco may be spoofed by an attacker and this may lead to

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity: Safeguard 1:

incorrect data delivered to Web Server. Consider using a standard authentication mechanism to identify the source data store. Low Low Low Low Low

Safeguard 2: Safeguard 3: 9. Persistent Cross Site Scripting [State: Not Started] [Priority: High] Category: Tampering Description:

Justification: Dread-damage:

The web server 'Web Server' could be a subject to a persistent crosssite scripting attack because it does not sanitize data store 'web en disco' inputs and output. High

20

DreadReproducibility:

High

DreadExploitability:

Medium

Dread-Affected users: DreadDiscoverablity: Safeguard 1:

Medium Medium

Safeguard 2: Safeguard 3: 10. Weak Access Access Control for a Resource [State: Not Started] [Priority: High] Category: Information Disclosure Description: Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

Improper data protection protecti on of web en disco can allow an attacker to read information not intended for disclosure. Review authorization settings. Medium High Medium Medium High

Safeguard 1: Safeguard 2: Safeguard 3: 11. Potential Data Repudiation by Web Server [State: Not Started] [Priority: High] Category: Repudiation Description: Web Server claims that it did not receive data from a source outside

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

the trust boundary. Consider using logging or auditing to record the source, time, and summary of the received data. High High High High High

21

Safeguard 1: Safeguard 2: Safeguard 3: 12. Potential Process Crash or Stop for Web Server [State: Not Started] [Priority: High] Category: Denial Of Service Description:

Web Server crashes, halts, stops or runs slowly; in all cases violating an availability metric. High Medium

Justification: Dread-damage: DreadReproducibility: Dread-Exploitability:  High Dread-Affected users:

High

DreadHigh Discoverablity: Safeguard 1: Safeguard 2: Safeguard 3: 13. Data Data Flow Datos Is Potentially Potentiall y Interrupted Interrupt ed [State: Not Started] [Priority: [Priorit y: High] Category: Denial Of Service Description: Justification: Dread-damage:

 An external external agent agent interrupts interrupts data flowing across across a trust boundary boundary in either direction. Medium Medium

DreadReproducibility: Dread-Exploitability: High Dread-Affected Medium users: DreadDiscoverablity: Safeguard 1:

Medium

Safeguard 2: Safeguard 3: 14. Data Store Inaccessible [State: Not Started] [Priority: High] Category: Denial Of Service Description:  An external external agent agent prevents prevents access to a data data store on the other side side Justification: Dread-damage:  

of the trust boundary. Medium

22

Medium

DreadReproducibility:

Dread-Exploitability: High Dread-Affected Medium users: DreadMedium Discoverablity: Safeguard 1: Safeguard 2: Safeguard 3: 15. Web Server May be Subject to Elevation of Privilege Using Remote Code Execution [State: Not Started] [Priority: [Priority: High] High] Category: Elevation Of Privilege Description: Justification: Dread-damage: DreadReproducibility: Dread-Exploitability:

web en disco may be able to remotely execute code for Web Server. Low Low

Medium Dread-Affected users: Low Dread-Discoverablity: Low

Safeguard 1: Safeguard 2: Safeguard 3: 16. Elevation by Changing the Execution Flow in Web Server [State: Not Started] [Priority: [Priority: High] Category: Elevation Of Privilege Description:  An attacker may pass data into Web Server in order to change the

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity: Safeguard 1: Safeguard 2: Safeguard 3:

flow of program execution within Web Server to the attacker's choosing. Medium Medium Medium Medium Medium

23

Interaction: HTTPS

17. Potential Data Repudiation by Web Server [State: Not Started] [Priority: High] Category: Repudiation Description: Web Server claims that it did not receive data from a source outside

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

the trust boundary. Consider using logging or auditing to record the source, time, and summary of the received data. Medium Medium Medium Medium Medium

Safeguard 1: Safeguard 2: Safeguard 3: 18. Spoofing the Browser Client Process [State: Not Started] [Priority: High] Category: Spoofing Description: Browser Client may be spoofed by an attacker and this may lead to

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users:

unauthorized access to Web Server. Consider using a standard authentication mechanism to identify the source process. Medium Low Low High

24

DreadDiscoverablity:

Low

Safeguard 1: Safeguard 2: Safeguard 3: 19. Cross Site Scripting [State: Not Started] [Priority: High] Category: Tampering Description: The web server 'Web Server' could be a subject to a cross-site Justification: Dread-damage: DreadReproducibility:

scripting attack because it does not sanitize untrusted input. Medium Medium

DreadExploitability:

Medium

Dread-Affected users: DreadDiscoverablity: Safeguard 1:

Low Medium

Safeguard 2: Safeguard 3: 20. Elevation Using Impersonation Impersonatio n [State: Not Started] [Priority: High] Category: Elevation Of Privilege Description: Web Server may be able to impersonate the context of Browser Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

Client in order to gain additional privilege. High High High Medium High

Safeguard 1: Safeguard 2: Safeguard 3: 21. Elevation by Changing the Execution Flow in Web Server [State: Not Started] [Priority: [Priority: High] Category: Elevation Of Privilege

25

Description:

Justification: Dread-damage: DreadReproducibility:

 An attacker may pass data into Web Server in order to change the flow of program execution within Web Server to the attacker's choosing. Medium Medium

DreadExploitability:

Medium

Dread-Affected users: DreadDiscoverablity: Safeguard 1:

Medium Medium

Safeguard 2: Safeguard 3: 22. Web Server May be Subject to Elevation of Privilege Using Remote Code Execution [State: Not Started] [Priority: [Priority: High] High] Category: Elevation Of Privilege Description: Browser Client may be able to remotely execute code for Web Justification: Dread-damage: DreadReproducibility:

Server. Medium Low

Dread-Exploitability: Low Dread-Affected users: High Dread-Discoverablity: Low Safeguard 1: Safeguard 2: Safeguard 3: 23. Data Flow HTTPS Is Potentially Interrupted [State: Not Started] [Priority: High] Category: Denial Of Service Description:

 An external external agent agent interrupts data flowing across across a trust boundary boundary in either direction. Medium Medium

Justification: Dread-damage: DreadReproducibility: Dread-Exploitability: High Dread-Affected Medium users:

26

DreadDiscoverablity:

Medium

Safeguard 1: Safeguard 2: Safeguard 3: 24. Potential Process Crash or Stop for Web Server [State: Not Started] [Priority: High] Category: Denial Of Service Description: Web Server crashes, halts, stops or runs slowly; in all cases Justification:

violating an availability metric. High Medium

Dread-damage: DreadReproducibility: Dread-Exploitability: High Dread-Affected High users: DreadHigh Discoverablity: Safeguard 1:

Safeguard 2: Safeguard 3: 25. Cross Site Request Forgery [State: Not Started] [Priority: High] Category: Elevation Of Privilege Description: Cross-site request forgery (CSRF or XSRF) is a type of attack in which

an attacker forces a user's browser to make a forged request to a vulnerable site by exploiting an existing trust relationship between the browser and the vulnerable web site. In a simple scenario, a user is logged in to web site A using a cookie as a credential. The other browses to web site B. Web site B returns a page with a hidden form that posts to web site A. Since the browser will carry the user's cookie to web site A, web site B now can take any action on web site A, for example, adding an admin to an account. The attack can be used to exploit any requests that the browser automatically authenticates, e.g. by session cookie, integrated authentication, IP whitelisting, … The

Justification: Dread-damage:

attack can be carried out in many ways such as by luring the victim to a site under control of the attacker, getting the user to click a link in a phishing email, or hacking a reputable web site that the victim will visit. The issue can only be resolved on the server side by requiring that all authenticated state-changing requests include an additional piece of secret payload (canary or CSRF token) which is known only to the legitimate web site and the browser and which is protected in transit through SSL/TLS. See the Forgery Protection property on the flow stencil for a list of mitigations. High

27

DreadReproducibility:

High

DreadExploitability:

High

Dread-Affected users: DreadDiscoverablity: Safeguard 1:

High High

Safeguard 2: Safeguard 3:

Interaction: HTTPS

26. Web Server Process Memory Tampered [State: Not Started] [Priority: [Priorit y: High] Category: Tampering Description: If Web Server is given access to memory, such as shared memory or

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

pointers, or is given the ability to control what Browser Client executes (for example, passing back a function pointer.), then Web Server can tamper with Browser Client. Consider Consi der if the function could work with less access to memory, such as passing data rather than pointers. Copy in data provided, and then validate it. High Medium Medium Medium High

Safeguard 1: Safeguard 2:

28

Safeguard 3: 27. Elevation Using Impersonation Impersonatio n [State: Not Started] [Priority: High] Category: Elevation Of Privilege Description: Justification: Dread-damage: DreadReproducibility: DreadExploitability:

Browser Client may be able to impersonate the context of Web Server in order to gain additional privilege. Medium Low Low

Dread-Affected users:

High

DreadDiscoverablity:

Low

Safeguard 1: Safeguard 2: Safeguard 3: 28. Spoofing the Web Server Process [State: Not Started] [Priority: High] Category: Spoofing Description: Web Server may be spoofed by an attacker and this may lead to

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity: Safeguard 1:

unauthorized access to Browser Client. Consider using a standard authentication mechanism to identify the source process. High High High High High

Safeguard 2: Safeguard 3: 29. Potential Data Repudiation by Browser Client [State: Not Started] [Priority: High] Category:   Repudiation Description: Browser Client claims that it did not receive data from a source outside

Justification: Dread-damage:

the trust boundary. Consider using logging or auditing to record the source, time, and summary of the received data. Low

29

DreadReproducibility:

Low

DreadExploitability:

Low

Dread-Affected users: DreadDiscoverablity: Safeguard 1:

Low Low

Safeguard 2: Safeguard 3: 30. Potential Process Crash or Stop for Browser Client [State: Not Started] [Priority: [Priority: High] Category: Denial Of Service Description: Browser Client crashes, halts, stops or runs slowly; in all cases Justification: Dread-damage: DreadReproducibility:

violating an availability metric. Medium Low

Dread-Exploitability: Low Dread-Affected High users: DreadDiscoverablity:

Low

Safeguard 1: Safeguard 2: Safeguard 3: 31. Data Flow HTTPS Is Potentially Interrupted [State: Not Started] [Priority: High] Category: Denial Of Service Description:  An external external agent agent interrupts data flowing across across a trust boundary boundary in Justification:

either direction. Medium Medium

Dread-damage: DreadReproducibility: Dread-Exploitability: High Dread-Affected Medium users: DreadMedium Discoverablity: Safeguard 1: Safeguard 2:

30

Safeguard 3: 32. Browser Client May be Subject to Elevation of Privilege Using Remote Code Execution [State: Not Started] [Priority: [Priority: High] High] Category: Elevation Of Privilege Description: Web Server may be able to remotely execute code for Browser Justification: Dread-damage: DreadReproducibility: Dread-Exploitability:

Client. High High

High Dread-Affected users: High Dread-Discoverablity:   Medium

Safeguard 1: Safeguard 2: Safeguard 3: 33. Elevation by Changing the Execution Flow in Browser Client [State: Not Started] [Priority: [Priority: High] Category: Elevation Of Privilege Description:

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity: Safeguard 1: Safeguard 2:

 An attacker attacker may pass pass data into into Browser Browser Client in order to change change the flow of program execution within Browser Client to the attacker's choosing. High Medium High High High

Safeguard 3: Interaction: IPsec

31

34. Spoofing of Destination Started] [Priority: [Priority: High] Category: Spoofing Description:

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

Data

Store

SQL

Database

[State:

Not

SQL Database may be spoofed by an attacker and this may lead to data being written to the attacker's target instead of SQL Database. Consider using a standard authentication mechanism to identify the destination data store. High High High Medium High

Safeguard 1: Safeguard 2: Safeguard 3: 35. Potential SQL Injection Vulnerability for SQL Database [State: Not Started] [Priority: [Priority: High] Category: Tampering Description: SQL injection is an attack in which malicious code is inserted into strings

Justification: Dread-damage: DreadReproducibility:

that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQL Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker. Medium Medium

DreadMedium Exploitability: Dread-Affected Low users: DreadMedium Discoverablity: Safeguard 1: Safeguard 2: Safeguard 3: 36. Potential Excessive Resource Consumption for Server SQL or SQL Database [State: Not Started] Started] [Priority: High]

32

Denial Of Service Description: Does Server SQL or SQL Database take explicit steps to control resource consumption? Resource consumption attacks can be hard to deal with, and there are times that it makes sense to let the OS do the  job. Be careful that your resource requests don't deadlock, deadlock, and that they do timeout. Justification: Dread-damage: High DreadMedium Category:

Reproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

High Medium Medium

Safeguard 1: Safeguard 2: Safeguard 3:

Interaction: Procesos

37. Spoofing the Human User External Entity [State: Not Started] [Priority: High] Category: Spoofing Description: Human User may be spoofed by an attacker and this may lead to

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users:

unauthorized access to Browser Client. Consider using a standard authentication mechanism to identify the external entity. High High High High

33

DreadDiscoverablity:

High

Safeguard 1: Safeguard 2: Safeguard 3: 38. Elevation Using Impersonation Impersonatio n [State: Not Started] [Priority: High] Category: Elevation Of Privilege Description: Browser Client may be able to impersonate the context of Human Justification: Dread-damage: DreadReproducibility:

User in order to gain additional privilege. Medium Low

DreadExploitability:

Low

Dread-Affected users: DreadDiscoverablity: Safeguard 1:

High Low

Safeguard 2: Safeguard 3:

Interaction: Respuesta

39. Spoofing of Source Data Store SQL Database [State: Not Started] Started] [Priority: High] Category: Spoofing Description:

Justification: Dread-damage:   DreadReproducibility:

SQL Database may be spoofed by an attacker and this may lead to incorrect data delivered to Server SQL. Consider using a standard authentication mechanism to identify the source data store. High High

34

DreadExploitability:

High

Dread-Affected users:

Medium

DreadDiscoverablity: Safeguard 1:

High

Safeguard 2: Safeguard 3: 40. Weak Access Access Control for a Resource [State: Not Started] [Priority: High] Category: Information Disclosure Description:

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity: Safeguard 1:

Improper data protection of SQL Database can allow an attacker to read information not intended for disclosure. Review authorization settings. Medium High Medium Medium High

Safeguard 2: Safeguard 3:

Interaction: Respuesta 41. Cross Site Scripting Scripting [State: Not Started] [Priority: [Priority: High] Category: Tampering Description: The web server 'Web Server' could be a subject to a cross-site Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

scripting attack because it does not sanitize untrusted input. Medium Medium Medium Low Medium

35

Safeguard 1: Safeguard 2: Safeguard 3: 42. Elevation Using Impersonation Impersonatio n [State: Not Started] [Priority: High] Category: Elevation Of Privilege Description: Web Server may be able to impersonate the context of Server SQL Justification: Dread-damage: DreadReproducibility:

in order to gain additional privilege. High High

DreadExploitability:

High

Dread-Affected users:

Medium

DreadHigh Discoverablity: Safeguard 1: Safeguard 2: Safeguard 3: 43. Potential Data Repudiation by Web Server [State: Not Started] [Priority: High] Category: Repudiation Description: Web Server claims that it did not receive data from a source outside

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

the trust boundary. Consider using logging or auditing to record the source, time, and summary of the received data. Medium Medium Medium Medium Medium

Safeguard 1: Safeguard 2: Safeguard 3: 44. Potential Process Crash or Stop for Web Server [State: Not Started] [Priority: High] Category: Denial Of Service Description:

Web Server crashes, halts, stops or runs slowly; in all cases violating an availability metric.

36

Justification: Dread-damage:

High Medium

DreadReproducibility: Dread-Exploitability: High Dread-Affected High users: DreadDiscoverablity:

High

Safeguard 1: Safeguard 2: Safeguard 3: 45. Data Flow IPsec Is Potentially Interrupted [State: Not Started] [Priority: High] Category: Denial Of Service Description:  An external external agent agent interrupts data flowing across across a trust boundary boundary in Justification: Dread-damage: DreadReproducibility:

either direction. Medium Medium

Dread-Exploitability:   High Dread-Affected Medium users: DreadDiscoverablity:

Medium

Safeguard 1: Safeguard 2: Safeguard 3: 46. Web Server May be Subject to Elevation of Privilege Using Remote Code Execution [State: Not Started] [Priority: [Priority: High] High] Category: Elevation Of Privilege Description: Justification:

Server SQL may be able to remotely execute code for Web Server. High High

Dread-damage: DreadReproducibility: Dread-Exploitability: High Dread-Affected users: High Dread-Discoverablity: High Safeguard 1: Safeguard 2: Safeguard 3:

37

6

47. Elevation by Changing the Execution Flow in Web Server [State: Not Started] [Priority: [Priority: High] Category: Elevation Of Privilege Description:  An attacker may pass data into Web Server in order to change the

Justification: Dread-damage: DreadReproducibility: DreadExploitability: Dread-Affected users: DreadDiscoverablity:

flow of program execution within Web Server to the attacker's choosing. Medium Medium Medium Medium Medium

Safeguard 1: Safeguard 2: Safeguard 3:

38

Conclusión

Con la utilización de la herramienta Threat Analysis and Modeling Tool 2016 se lleva a cabo el diagrama objeto a estudiar, mencionando la amenaza que más se presenta, mencionando el activo de información que más presenta amenaza junto con el Informe generado por la herramienta.

39

Referencias Bibliográficas

SEGURIDAD Y AUDITORIA DE SISTEMAS, Asegurar la vida, es el objetivo de todo SGSI, VIERNES, 25 DE FEBRERO DE 2011, en línea, tomado de http://seguridadenlanube.blogspot.com.co/2011/02/el-modelado-de-amenazas-deseguridad-es.html ¿Qué es STRIDE?, 20 mar. 2010, 20:51:00, en línea, tomado de: https://blog.seguinfo.com.ar/2010/03/que-es-stride.html Soporte técnico de Microsoft, Última actualización: 18/04/2018 en línea, tomado de: https://support.microsoft.com/es-co/help/911305/sql-server-agent-jobs-may-fail-after-youchange-the-sql-server-agent-s Vulnerabilidades, ataques y contra medidas, Posted by Alex in Asp.net, Seguridad, en línea tomado de: https://highscalability.wordpress.com/2009/02/04/vulnerabilidades-ataques-ycontra-medidas/ Hablemos de Spoofing, agosto 26, 2010 / Carlos Garcia ciyi, en línea tomado de: https://hacking-etico.com/2010/08/26/hablemos-de-spoofing/

.

40