Für den dritten Teil der Agile Security Reihe brauchen wir das STRIDE Modell. Daher werde ich in diesem kurzen Artikel erklären, wofür STRIDE steht und wie es eingesetzt werden kann.
Risiken
STRIDE ist Modell für die Beschreibung von Sicherheitsrisiken. Dabei steht es als Akronym für folgende Risiken.
- Spoofing oder die Identitätsverschleierung
- Tampering oder die Manipulation von Daten
- Repudiation oder die Abstreitbarkeit von Aktionen
- Information Disclosure oder die Veröffentlichung von Daten
- Denial of Service oder das Verweigern einer Ressource
- Elevation of Privilege oder das Ausweiten von Rechten
Verletzte Sicherheitseigenschaften
Jede der Risiken von STRIDE verletzt dabei eine sicherheitsrelevante Eigenschaft des untersuchten Systems.
Spoofing
Spoofing verletzt die Authentizität. Authentizität bedeutet in diesem Fall, dass das System sicher erkennen kann, wer gerade damit arbeitet oder wer eine Aktion auslöst.
Das wäre z.B. der Fall, wenn ich über einen Proxy gehe, um meine IP Adresse zu verschleiern. Spoofing kann aber auch bedeuten, dass ein Anwender oder eine Anwenderin nicht genau sagen kann, mit welchem System er oder sie interagiert. Das ist häufig bei Phishingmails der Fall, die vorgeben von einer legitimen Adresse zu stammen.
Tampering
Tampering verletzt die Integrität eines Systems. Unter Integrität fällt die Sicherstellung der Korrektheit von Daten aber auch die korrekte Arbeitsweise des Systems selbst.
Bei Downloads von Dateien aus dem Internet werden oft Hashwerte mit angegeben. Auf meinem Rechner kann ich dann den Hashwert der heruntergeladenen Datei berechnen und mit dem angegeben vergleichen, um die Integrität der Datei zu prüfen.
Repudiation
Repudiation verletzt die Nachweisbarkeit von Interaktionen mit dem System.
Ich möchte z.B. wissen, wer eine Banküberweisung autorisiert hat oder wer zuletzt eine Datei bearbeitet hat. Wenn diese Nachweisbarkeit nicht gegeben ist, könnten bösartige Interaktionen niemandem zugeordnet werden. Auch bei digitalen Verträgen möchte man nicht, dass die Gegenseite plötzlich behaupten kann, den Vertrag nie geschlossen zu haben.
Es gibt Systeme bei denen die Abstreitbarkeit wichtig ist. In einem totalitären Staat möchte ich nicht, dass jede meiner privaten Nachrichten eindeutig mir zugeordnet werden kann. Daher setzten einige Verschlüsselungsalgorithmen auf Abstreitbarkeit von Nachrichten.
Information Disclosure
Information Disclosure verletzt die Vertraulichkeit der Daten. Daten sollen nur berechtigten Personen oder Systemen zugänglich sein.
Oft wird auch von Datenlecks gesprochen, wenn persönliche Daten betroffen sind. Hier gibt es immer wieder Fälle, bei denen die Daten von vielen Millionen Nutzer*innen betroffen sind und die es deswegen auch in die Nachrichten schaffen.
Denial of Service
Denial of Service verletzt die Verfügbarkeit des Systems oder einer Ressource.
Es gibt viele Möglichkeiten eine Ressource für andere zu blockieren. Bekannt sind Distributed Denial of Service Angriffe von Botnetzen, die mit immer größeren Bandbreiten Schlagzeilen machen. Auch unabsichtlich kann die Verfügbarkeit eingeschränkt werden. Führe ich auf einem Server aufwendige Berechnungen durch, bleibt für die anderen Programme auf dem System weniger Rechenzeit übrig.
Elevation of Privilege
Elevation of Privilege verletzt die Autorisierung. Autorisierung beschreibt eine Berechtigung, die sich auf einen Nutzer oder eine Nutzerin bezieht. Ohne eine entsprechende Berechtigung darf ich nicht auf eine Ressource zugreifen.
Z.B. bin ich mit meinen Bankzugangsdaten berechtigt Überweisungen von meinem Konto aus zu tätigen. Ich kann aber nicht auf die Konten anderer Kund*innen zugreifen.
Zusammenfassung
STRIDE hilft bei der Analyse der Angriffsmöglichkeiten auf ein System und bei der Frage, was alles schiefgehen könnte.
Durch eine einheitliche Nomenklatur können wir Angriffe klassifizieren und mit einem gemeinsamen Vokabular darüber sprechen. Das hilft, Missverständnisse in der Kommunikation zwischen Analystinnen, Entwicklerinnen und Stakeholdern zu verhindern.
Außerdem unterstützt das Modell bei der Analyse, indem die verschiedenen Angriffsziele betrachtet werden. So wird vermieden, dass Risiken einseitig betrachtet werden und das System in bestimmten Bereichen große Lücken aufweist.
Bis bald,
seism0saurus