Första steget för att kunna göra inlämningsuppgiften är att själv installera programmet Threat Dragon. Programmet kan installeras på Windows, Mac och Linux. För den som är registrerad på kursen finns möjlighet att använda LiUs datormiljöer, men det är nog enklare att installera på sin egen dator. Alternativt kan man köra ThreatDragon på webben.

Detaljerade instruktioner (för Windows)

1. Ladda ner installationsfilen.
2. Du kan behöva tala om för webbläsaren att detta inte är en skadlig fil. Men binären är signerad så ska inte vara några problem att köra.
3. Kör den nedladdade filen vilket installerar programmet på din dator.
4. Starta programmet.

ThreatDragon på webben

De som vill kan köra ThreatDragon på webben. Klicka på “Login with Local Session” så behövs inget github-konto. Observera att med denna metod finns viss risk att osparade ändringar försvinner (tex om du laddar om sidan), så se till att spara ofta.

Gör följande förberedelser.

• Threat dragon utgår ifrån en systemmodell baserad på dataflödesdiagram (DFD). Läs därför wikipediasidan om DFD.
• Återbesök avsnittet om hotmodeller i kapitel 4 och läsanvisningarna där.
• Läs dokumentationen för Threat Dragon, speciellt avsnitten ‘Getting Started’, ‘Thread model diagrams’, och ‘Threat generation’.
• Läs gärna också OWASP Threat Modeling Cheat Sheet, denna kan vara bra att återkomma till när du senare ska göra uppgiften.

Vilka av följande komponenter/begrepp kan modelleras i Threat Dragon?

Processer

Datalagring

Sannolikhet

Dataflöde

Öppna den medföljande demo-modellen i Threat Dragon (Explore a sample model) och se hur de olika komponenterna används i praktiken. Notera speciellt hur ‘trust boundaries’ används. Områden som inte separeras av en trust boundary kan anses ha samma säkerhetsnivå och de olika komponenterna litar på varandra.

Exportera modellen och hoten som en PDF.