2.5 Моделирование процессов реализации угроз непосредственного доступа в операционную среду компьютера
2.5.1 Моделирование процесса реализации непосредственного доступа в операционную среду компьютера при помощи подбора паролей
Непосредственный доступ в ОС компьютера с подбором паролей разделяется на три этапа [5, 26]:
– хищение файлов SAM и SYSTEM с необходимого злоумышленнику компьютера;
– подбор паролей на компьютере злоумышленника;
– осуществление входа в ОС компьютера, используя подобранные пароли.
Рассмотрим первый этап доступа, то есть хищение файлов SAM и SYSTEM с необходимого злоумышленнику компьютера. Для прохождения этого этапа злоумышленнику необходимо наличие загрузочного сменного носителя с альтернативной операционной системой. Для жестких дисков системы FAT32 такой операционной системой служит MS_DOS, для жестких дисков системы NTFS – NTFS_DOS.
Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, si — позиции, tj — переходы.
s1 — Злоумышленник имеет непосредственный доступ к необходимому ему компьютеру и у него имеется загрузочный сменный носитель с альтернативной операционной системой,
t1 — Активизация компьютера, инициализация BIOS,
s2 — Компьютер выключен (неактивизирован),
s3 — Базовая система ввода/вывода (BIOS) инициализирована, периферийные устройства опрошены,
t2 — Изменение настроек первичной загрузки,
s4 — Настройки первичного загрузки изменены,
t3 — Установка загрузочного сменного носителя, передача управления на сменный носитель,
s5 — Сменный носитель установлен. Управление передано на сменный носитель,
t4 — Процесс загрузки альтернативной ОС,
s6 — Загружена альтернативная операционная система
t5 — Копирование файлов SAM и SYSTEM с хеш-функциями паролей на носитель и извлечение его из компьютера,
s7 — Файлы SAM и SYSTEM с хеш-функциями паролей скопированы на носитель, носитель извлечен.
Вид данной сети представлен на рисунке 2.20.
Рисунок 2.20 – Вид сети Петри-Маркова первого этапа непосредственного доступа в ОС компьютера подбором паролей – «Хищение файлов паролей»
На этой сети позиции не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы равны единице.
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
|
|
t1 |
t2 |
t3 |
t4 |
t5 |
s1 |
1 |
0 |
0 |
0 |
0 |
|
s2 |
1 |
0 |
0 |
0 |
0 |
|
s3 |
s1t1∩s2t1 |
1 |
0 |
0 |
0 |
|
s4 |
0 |
1 |
1 |
0 |
0 |
|
s5 |
0 |
0 |
1 |
1 |
0 |
|
s6 |
0 |
0 |
0 |
1 |
1 |
|
s7 |
0 |
0 |
0 |
0 |
1 |
=
Для сети Петри-Маркова первого этапа непосредственного доступа в ОС компьютера, посредством подбора паролей – «Хищение файлов паролей» имеет место следующая система интегро-дифференциальных уравнений [60, 62]:
(2.25)
где — плотность вероятности времени перемещения из состояния si к переходу tj,
— соответствующий закон распределения,
πij — вероятность срабатывания перехода, причем вероятности срабатывания всех переходов на данной траектории не зависят от времени, то вероятность перемещения по всей сети рассчитывается по формуле где dij — все полушаги сети.
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
где λij = 1/τij, где τij (i = 1..7, j = 1..5) – средние времена вышеперечисленных действий соответственно.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
,
, (2.26)
,
Выберем следующие исходные параметры атаки:
Среднее время включения компьютера и инициализации BIOS τ21 = 16,5 с.
Среднее время изменения настроек BIOS τ32 = 3,5 с.
Среднее время установки загрузочного сменного носителя и передачи управления на него τ43 = 4,25 с.
Среднее время загрузки альтернативной ОС τ54 = 32 с.
Среднее время копирования файлов на носитель τ65 = 7,5 с.
Таким образом, среднее время перехода по всей сети τ = 63,25 с, и зависимость вероятности реализации атаки от времени приобретает вид, представленный на рисунке 2.21.
Рис. 2.21 — Зависимость вероятности реализации хищения файлов паролей
Рассмотрим второй этап непосредственного доступа в ОС компьютера, подбором паролей — подбор паролей на компьютере злоумышленника. В данном случае рассматриваются пароли, состоящие из четырех символов английского алфавита (A-Z). Для прохождения данного этапа злоумышленнику необходимо:
— наличие программы для подбора паролей установленной на его компьютере. Такой программой может служить, например программа Sam Inside или LCP04;
— носитель с похищенными файлами SAM и SYSTEM, полученная в результате прохождения первого этапа.
Злоумышленник устанавливает носитель в компьютера, открывает программу подбора паролей, загружает из файлов SAM и SYSTEM информацию о пользователях и соответствующих им хэш-функциях паролей. Программа подбирает пароли, сравнивая хэш-функции перебираемых наборов символов с исходными хэш-функциями, загруженными из файла SAM. Найдя соответствие, программа информирует о том, что пароль подобран, и благодаря информации, хранящейся в файле System, сопоставляет подобранный пароль с именем учетной записи пользователя.
Смоделируем с помощью сети Петри-Маркова данный этап.
s1 — программа подбора паролей имеется на компьютере злоумышленника,
s2 — носитель со скопированными файлами SAM и SYSTEM установлен в компьютер злоумышленника
t1 — запуск программы подбора паролей,
s3 — программа для подбора паролей запущена,
t2 — процесс подбора паролей,
s4 — пароли подобраны,
Вид такой сети представлен на рисунке 2.22
Рисунок 2.22 – Вид сети Петри-Маркова реализации подбора пароля на компьютере злоумышленника
На этой сети позиции не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы равны единице.
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
= |
|
t1 |
t2 |
s1 |
1 |
0 |
|
s2 |
0 |
1 |
|
s3 |
1 |
1 |
|
s4 |
0 |
s3t2∩s2t2 |
Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60, 62]:
(2.27)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
где λij=1/τij, где τij (i = 1..4, j = 1..2) – средние времена вышеперечисленных действий соответственно.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
(2.28)
.
Выберем следующие исходные параметры атаки:
Среднее время запуска программы подбора паролей τ11 = 13,5 с.
Среднее время установки сменного носителя τ21 = 3,5 с.
Среднее время подбора паролей из данного набора символов τ43 = 24,25 с.
Таким образом, среднее время перехода по всей сети τ = 35,57 с, и зависимость вероятности реализации этапа от времени приобретает вид, представленный на рисунке 2.23.
Рисунок 2.23 — Зависимость вероятности реализации подбора пароля на компьютере злоумышленника
Рассмотрим третий этап непосредственного доступа в ОС компьютера, посредством подбора паролей – осуществление входа в ОС компьютера, использую подобранные пароли.
Смоделируем с помощью сети Петри-Маркова третий этап непосредственного доступа.
s1 — Злоумышленник имеет непосредственный доступ к необходимому ему компьютеру,
s2 — Компьютер выключен (неактивизирован),
t1 — Активизация компьютера, инициализация BIOS,
s3 — Работа загрузчика завершена ожидание ввода пароля,
t2 — Ввод пароля,
s4 — Осуществлен вход в ОС,
Вид такой сети представлен на рисунке 2.24
Рисунок 2.24 – Вид сети Петри-Маркова реализации входа злоумышленника в систему при известном пароле
На этой сети позиции не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы равны единице.
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
= |
|
t1 |
t2 |
s1 |
1 |
0 |
|
s2 |
1 |
0 |
|
s3 |
s1t1∩s2t1 |
1 |
|
s4 |
0 |
1 |
Для сети Петри-Маркова этапа входа в систему при известном пароле справедлива следующая система интегро-дифференциальных уравнений [60, 62]:
(2.29)
где — плотность вероятности времени перемещения из состояния si к переходу tj,
— соответствующий закон распределения,
πij — вероятность срабатывания перехода, причем вероятности срабатывания всех переходов на данной траектории не зависят от времени, то вероятность перемещения по всей сети рассчитывается по формуле где dij — все полушаги сети.
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
где λij = 1/τij, где τij (i = 1..4, j = 1..3) – средние времена вышеперечисленных действий соответственно.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
,
, (2.30)
,
Выберем следующие исходные параметры атаки:
Среднее время включения компьютера и работы загрузчика ОС τ21 = 34,5 с.
Среднее время ввода известного пароля и загрузки ОС τ32 = 13,35 с.
Таким образом, среднее время перехода по всей сети τ = 47,25 с, и зависимость вероятности реализации атаки от времени приобретает вид, представленный на рисунке 2.25.
Рисунок 2.25 — Зависимость вероятности реализации входа злоумышленника в систему при известном пароле
Для реализации атаки злоумышленнику необходимо последовательно пройти все три этапа, поэтому при построении сети Петри-Маркова для всей атаки, аналогично, предыдущим утверждениям среднее время прохождения такой сети
, (2.31)
где τi — время прохождения i-этапа.
Среднее время перехода по всей сети τ = 176,25 с, и зависимость вероятности реализации атаки от времени приобретает вид, представленный на рисунке 2.26.
Рисунок 2.26 — Зависимость вероятности реализации всех этапов непосредственного доступа злоумышленника в систему при помощи хищения файлов паролей