2.5.2 Моделирование реализации непосредственного доступа в операционную среду компьютера при помощи сброса паролей
Для осуществления сброса паролей удобнее всего использовать программу ERD Commander или Offline NT Password & Registry Editor, так как данные программы понятны и просты в использование.
Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, si — позиции, tj — переходы.
s1 — Злоумышленник имеет непосредственный доступ к необходимому ему компьютеру и у него имеется загрузочный сменный носитель с альтернативной операционной системой,
t1 — Активизация компьютера, инициализация BIOS,
s2 — Компьютер выключен (неактивизирован),
s3 — Базовая система ввода/вывода (BIOS) инициализирована, периферийные устройства опрошены,
t2 — Изменение настроек первичной загрузки,
s4 — Настройки первичного загрузки изменены,
t3 — Установка загрузочного сменного носителя, передача управления на сменный носитель,
s5 — Сменный носитель установлен. Управление передано на загрузочную сменный носитель,
t4 — Процесс загрузки альтернативной ОС,
s6 — Загружена альтернативная операционная система
t5 — Запуск программы — сброс паролей,
s7 — Пароли сброшены
Очевидно, что структура данной сети является аналогичной структуре сети, рассмотренной в п. 2.5.1. Все операции идентичны, за исключением запуска программы на сброс паролей, среднее время запуска и работы которой примем за 3,4 с.
Среднее время перехода по всей сети для данного этапа τ1 = 59,15 с. Для входа в систему злоумышленнику последовательно нужно пройти этот этап и вход в систему с рассчитанным выше средним временем τ2 = 47,25 с. Таким образом среднее время реализации всей атаки τ = τ1 + τ2 = 106,4 с.
Зависимость вероятности реализации атаки от времени приобретает вид, представленный на рисунке 2.27.
Рисунок 2.27 — Зависимость вероятности реализации всех этапов непосредственного доступа злоумышленника в систему при помощи сброса паролей
Если на вход в меню настроек BIOS имеется пароль, то для осуществления непосредственного доступа в ОС компьютера, посредством подбора паролей на вход в ОС компьютера, необходимо сначала преодолеть парольную защиту на вход в меню настроек BIOS, а затем осуществить действия, описанные в разделах 2.5.1, 2.5.2. Для преодоления пароля на BIOS злоумышленнику необходимо вскрыть корпус компьютера осуществить изъятие батарейки с платы BIOS, замкнуть контакты на плате BIOS и установить батарейку на плату. Среднее время преодоления данной меры защиты примем за 72 с. Таким образом с учетом применения пароля на настройки BIOS получим:
Для подбора пароля путем хищения файлов паролей среднее время τ = 176,25 + 72 = 248,25 с. Зависимость вероятности реализации атаки от времени показана на рисунке 2.28.
Рисунок 2.28 — Зависимость вероятности реализации всех этапов непосредственного доступа злоумышленника в систему при помощи хищения файлов паролей с учетом использования пароля на настройки BIOS
Для входа в ОС посредством сброса паролей среднее время τ = 106,4 + 72 = 178,4 с. Зависимость вероятности реализации атаки от времени показана на рисунке 2.29.
Рисунок 2.29 — Зависимость вероятности реализации непосредственного доступа злоумышленника в систему при помощи сброса паролей с учетом использования пароля на настройки BIOS