2.3. Сброс паролей на вход в операционную среду компьютера

Рассмотрим второе направление преодоления парольной защиты на вход в ОС компьютера, посредством сброса паролей. Сброс паролей на вход в ОС компьютера – способ, при котором можно сбросить или изменить любой пароль. Для этого удобнее всего использовать программу ERD Commander или Offline NT Password & Registry Editor. Можно сбрасывать пароли локальных учетных записей также такие универсальные программы, как О&О BlueCon XXL, в составе которого, между прочим, имеется еще и неплохой консольный редактор реестра и похожего назначения утилита CIA Commander. Но надо учитывать, что эти программы очень не любят, когда имя учетной записи записано кириллицей (Администратор), и в этих случаях могут возникнуть серьезные проблемы с последующей загрузкой ОС компьютера. Поэтому лучше использовать программы ERD Commander или Offline NT Password & Registry Editor.

Сброс паролей, посредством удаление файла SAM приведет всего лишь к невозможности загрузить ОС компьютера, поэтому даже пытаться это делать бессмысленно.

Осуществить сброс паролей на вход в ОС компьютера можно путем замены системной библиотеки MSV1_O.DLL на ее модифицированную версию, в которой отключена проверка пароля при авторизации пользователя в системе. Фактически, модификация состоит в исправление кода этой библиотеки, чтобы изменить порядка десяти условных переходов на безусловные. Правда, для злоумышленника, плохо знакомого с «ассемблером», это вряд ли будет легкой задачей. Возможно, было бы проще предоставить модифицирование этого файла вирусу Bolzano версий 3628, 3904, 5396. Этот вирус изменяет две процедуры в системных файлах WinNT:NTOSKRNL разрешает запись во все файлы системы вне зависимости от прав доступа к файлам, а в MSV1_O.DLL отключает проверку паролей, в результате чего любая введенная строка воспринимается системой как пароль, необходимый для доступа к системным ресурсам [77,87,88,89].

Ознакомившись с общим описанием угроз непосредственного доступа в ОС компьютера, перейдем к аналитическому моделированию данного типа угроз.

3. Аналитическое моделирование угроз непосредственного проникновения в операционную среду компьютера

3.1. Моделирование непосредственного доступа без применения мер и средств защиты

3.1.1. Непосредственное проникновение с помощью подбора паролей на вход в операционную среду компьютера

Непосредственный доступ в ОС компьютера, посредством подбора паролей разделяется на три этапа:

– хищение файлов SAM и SYSTEM с необходимого злоумышленнику компьютера;

– подбор паролей на компьютере злоумышленника;

– осуществление входа в ОС компьютера, используя подобранные пароли.

Рассмотрим первый этап доступа, то есть хищение файлов SAM и SYSTEM с необходимого злоумышленнику компьютера. Для прохождения этого этапа злоумышленнику необходимо наличие загрузочной дискеты с альтернативной операционной системой. Для жестких дисков системы FAT32 такой операционной системой служит MS_DOS, для жестких дисков системы NTFS – NTFS_DOS.

Смоделируем с помощью сети Петри-Маркова (приложение 1) данный этап. Вид такой сети представлен на рис. 3.1, а обозначения для переходов и позиций приведены в таблице 3.1.

Таблица 3.1

Обозначения для переходов и позиций сети Петри-Маркова первого этапа непосредственного проникновение в ОС компьютера – «Хищение файлов SAM и SYSTEM»

Элемент сети Петри	Обозначение элемента	Описание
Позиция	1(а)	Злоумышленник находится в помещение, в котором расположен необходимый ему компьютер
Позиция	2(а)	Компьютер выключен (неактивизирован)
Позиция	3(а)	Базовая система ввода/вывода (BIOS) инициализирована, периферийные устройства опрошены
Позиция	4(а)	Злоумышленник готов к нажатию клавиши «Delete»
Позиция	5(а)	На экране монитора компьютера отображено меню настроек BIOS
Позиция	6(а)	Наличие загрузочной дискеты с альтернативной операционной системой
Позиция	7(а)	Настройки изменены (первичный загрузчик – дискета)
Позиция	8(а)	Дискета установлена в дисковод компьютера. Управление передано на загрузочную дискету
Позиция	9(а)	Загружена альтернативная операционная система
Позиция	10(а)	Файлы SAM и SYSTEM с хеш-функциями паролей скопированы на дискету, дискета извлечена из д Продолжение табл. 3.1 исковода
Переход	1(z)	Активизация компьютера
Переход	2(z)	Переход в меню настроек BIOS
Переход	3(z)	Изменение настроек первичной загрузки
Переход	4(z)	Установка загрузочной дискеты в дисковод. Передача управления на загрузочную дискету
Переход	5(z)	Процесс загрузки альтернативной ОС
Переход	6(z)	Копирование файлов SAM и SYSTEM с хеш-функциями паролей на дискету и извлечение из дисковода
Переход	7(z)	Выключение компьютера
Входная функция	I(zi), i=1…7	I(1(z)) ={1(a),2(a)}, I(2(z)) = {3(a),4(a)}, I(3(z)) ={5(a)}, I(4(z)) = {6(a),7(а)}, I(5(z)) ={8(a)}, I(6(z)) = {9(a)}, I(7(z)) ={10(a)},
Выходная функция	O(zi), i=1…7	O Продолжение табл. 2.1 (1(z)) ={3(a)}, O(2(z)) = {5(a)}, O(3(z)) ={7(a)}, O(4(z)) = {8(a)}, O(5(z)) ={9(a)}, O(6(z)) = {10(a)}, O(7(z)) ={2(a)}

На этой сети позиции не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы равны единице.

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

ν1(а)16(z)=		1(z)	2(z)	3(z)	4(z)	5(z)	6(z)	7(z)
	1(a)	1	0	0	0	0	0	0
	2(a)	1	0	0	0	0	0	1
	3(a)	1(а), 1(z)∩2(a), 1(z)	1	0	0	0	0	0
	4(a)	0	1	0	0	0	0	0 (2.1)
	5(a)	0	3(а), 2(z)∩4(a), 2(z)	1	0	0	0	0
	6(a)	0	0	0	1	0	0	0
	7(a)	0	0	1	1	0	0	0
	8(a)	0	0	0	6(а), 4(z)∩7(a), 4(z)	1	0	0
	9(a)	0	0	0	0	1	1	0
	10(a)	0	0	0	0		1	1

(3.1)

Здесь полушаг, например 3(a)2(z) может быть выполнен только в случае выполнения полушагов 1(а)1(z) и 2(a)1(z), знак ∩ означает операцию «и», единица означает «истина», ноль – отсутствие полушага.

Поскольку полушаг из перехода в позицию срабатывает мгновенно, то динамика срабатывания сети определяется только вероятностями срабатывания сети (перемещения из состояния в переход) и плотностями распределения времени нахождения процесса в каждом состоянии. Тогда в данной сети достаточно рассмотреть процесс перехода из начального состояния 1(а) в конечный переход 7(z).

Для сети Петри-Маркова первого этапа непосредственного доступа в ОС компьютера, посредством подбора паролей – «Хищение файлов SAM и SYSTEM» имеет место система интегро-дифференциальных уравнений 3.2,

где – вероятность включения злоумышленником компьютера;

– вероятность инициализации BIOS и опроса периферийных устройств;

– вероятность отображения на экране монитора компьютера меню настроек BIOS;

– вероятность нажатия клавиши «Delete»;

– вероятность изменения настроек BIOS;

– вероятность передачи управления на загрузочную дискету;

– вероятность установки загрузочной дискеты с альтернативной операционной системой в дисковод компьютера;

– вероятность загрузки альтернативной операционной системы;

– вероятность копирования файлов Sam и System и извлечение дискеты из дисковода компьютера;

– вероятность выключения компьютера.

(2.2)

(3.2)

Вероятность перехода сети Петри-Маркова из начального состояния в конечное состояние определяется как вероятность того, что ко времени t перемещение пройдет по всей сети, от начального состояния до конечного перехода:

(3.3)

Согласно предельной теореме, для редеющих событий при последовательном разрежении стационарного ординарного потока результирующий поток с увеличением числа разрежений приближается к простейшему [119]. Таким образом, результирующий поток является экспоненциальным, так как экспоненциальный поток и есть простейший. В связи с этим, полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:

(3.4)

где λ_1,1=1/τ_1,1 – интенсивность включения злоумышленником компьютера;

λ_2,1 =1/τ_2,1 – интенсивность инициализации BIOS и опроса периферийных устройств;

λ_3,2 =1/τ_3,2 – интенсивность отображения на экране монитора компьютера меню настроек BIOS;

λ_4,2 =1/τ_4,2 – интенсивность нажатия клавиши «Delete»;

λ_5,3 =1/τ_5,3  – интенсивность изменения настроек BIOS;

λ_7,4 =1/τ_7,4  – интенсивность передачи управления на загрузочную дискету;

λ_6,4  =1/τ_6,4  – интенсивность установки загрузочной дискеты с альтернативной операционной системой в дисковод компьютера;

λ_8,5  =1/τ_8,5  – интенсивность вероятность загрузки альтернативной операционной системы;

λ_9,6  =1/τ_9,6  – интенсивность копирования файлов Sam и System и извлечение дискеты из дисковода компьютера;

λ_10,7  =1/τ_10,7  – интенсивность выключения компьютера,

где τ_{i,j (i=1..10,j=1..7)} – средние времена вышеперечисленных действий соответственно, тогда применяя преобразование Лапласа, система интегро-дифференциальных уравнений сводится к системе алгебраических уравнений:

(2.5)

(3.5)

где ; – обратное преобразование Лапласа с параметром .

Решая данную систему алгебраических уравнений, получаем:

(3.6)

затем, применяя обратное преобразование Лапласа, получаем:

(3.7)

Расчет по указанным формулам получается весьма громоздким, поэтому целесообразно применять пуассоновское приближение для плотностей распределения вероятностей времени перемещения в переходы сети Петри-Маркова (приложение 1). Таким образом, применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

(3.8)

(3.9)

(3.10)

(3.11)

(3.12)

Подставляя в это выражение полученные значения временных характеристик (приложение 2) получаем при τ_1,7=128,25с.:

(3.13)

На рис. 3.2 представлена зависимость от времени вероятности реализации первого этапа непосредственного доступа в ОС компьютера, посредством подбора паролей.

Рассмотрим второй этап непосредственного доступа в ОС компьютера, посредством подбора паролей – подбор паролей на компьютере злоумышленника. В данном случае рассматриваются пароли, состоящие из четырех символов английского алфавита (A-Z). Для прохождения данного этапа злоумышленнику необходимо:

– наличие программы для подбора паролей установленной на его компьютере. Такой программой может служить, например программа Sam Inside или LCP04;

– дискета с похищенными файлами SAM и SYSTEM, полученная в результате прохождения первого этапа.

Рис. 3.2. Зависимость от времени вероятности реализации первого этапа непосредственного доступа в ОС компьютера

Злоумышленник устанавливает дискету в дисковод компьютера, открывает программу подбора паролей, загружает из файлов SAM и SYSTEM информацию о пользователях и соответствующих им хэш-функциях паролей. Программа подбирает пароли, сравнивая хэш-функции перебираемых наборов символов с исходными хэш-функциями, загруженными из файла SAM. Найдя соответствие, программа информирует о том, что пароль подобран, и благодаря информации, хранящейся в файле System, сопоставляет подобранный пароль с именем учетной записи пользователя.

Смоделируем с помощью сети Петри-Маркова данный этап. Вид такой сети представлен на рис. 3.3, а обозначения для переходов и позиций приведены в таблице 3.2.

Таблица 3.2

Обозначения для переходов и позиций сети Петри-Маркова второго этапа непосредственного доступа в ОС компьютера – «Подбор паролей»

Элемент сети Петри	Обозначение элемента	Описание
Позиция	1(а)	Дискета со скопированными файлами SAM и SYSTEM установлена в компьютер злоумышленника
Позиция	2(а)	Наличие программы подбора паролей на компьютере злоумышленника
Позиция	3(а)	На компьютере злоумышленника запущена программа для подбора паролей
Позиция	4(а)	Пароли подобраны
Переход	1(z)	Запуск программы подбора паролей
Переход	2(z)	Процесс подбора паролей
Входная функция	I(zi), i=1…2	I(1(z)) ={1(a),2(a)}, I(2(z)) = {3(a),4(a)},
Выходная функция	O(zi), i=1…2	O(1(z)) ={3(a)}, O(2(z)) = {5(a)},

Рис. 3.3. Вид сети Петри-Маркова второго этапа непосредственного доступа в ОС компьютера – «Подбор паролей»

На этой сети позиции так же не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы так же равны единице.

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

ν1(а)16(z)=		1(z)	2(z)
	1(a)	0	1 (3.14)
	2(a)	1	0
	3(a)	1	1
	4(a)	0	1(а),2(z)∩3(a),2(z)

Для данной сети имеет место следующая система интегро-дифференциальных уравнений:

(3.15)

где – вероятность загрузки файлов с дискеты в программу подбора паролей;

– вероятность запуска программы подбора паролей;

– вероятность подбора паролей.

Вероятность перехода сети Петри-Маркова из начального состояния в конечное состояние определяется как вероятность того, что ко времени t перемещение пройдет по всей сети, от начального состояния до конечного перехода:

(3.16)

Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:

(3.17)

где λ_1,2=1/τ_1,2  – интенсивность запуска программы подбора паролей;

λ_2,1 =1/τ_2,1  – интенсивность установки дискеты со скопированными файлами SAM и SYSTEM в компьютер злоумышленника;

λ_3,2 =1/τ_3,2  – интенсивность подбора паролей,

где τ_{i,j (i=1..3,j=1..2)} – средние времена вышеперечисленных действий соответственно.

Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

(3.18)

(3.19)

Подставляя в это выражение полученные значения временных характеристик (Приложение Б) получаем при τ_1,2=14,2с.:

(3.20)

На рис. 3.4 представлена зависимость от времени вероятности реализации второго этапа непосредственного доступа в ОС компьютера, посредством подбора паролей.

Рис. 3.4. Зависимость от времени вероятности реализации второго этапа непосредственного доступа в ОС компьютера

Рассмотрим третий этап непосредственного доступа в ОС компьютера, посредством подбора паролей – осуществление входа в ОС компьютера, использую подобранные пароли.

Смоделируем с помощью сети Петри-Маркова третий этап непосредственного доступа. Вид такой сети представлен на рис.3.5, а обозначения для переходов и позиций приведены в таблице 3.3.

Таблица 3.3

Обозначения для переходов и позиций сети Петри-Маркова третьего этапа непосредственного проникновения в ОС компьютера – «Осуществление входа в ОС компьютера, используя подобранные пароли»

Элемент сети Петри	Обозначение элемента	Описание
Позиция	1(а)	Злоумышленник находится в помещение, в котором расположен необходимый ему компьютер
Позиция	2(а)	Компьютер выключен (неактивизирован)
Позиция	3(а)	BIOS инициализирован, периферийные устройства опрошены
Позиция	4(а)	Управление передано загрузчику, работа загрузчика завершена. Отображено приглашение ввести пароль. Введены имя и пароль, хэш–функция введенного пароля построена и соответствует хэш–функции пароля легального пользователя
Позиция	5(а)	Осуществлен вход в легальную ОС компьютера
Переход	1(z)	Активизация компьютера
Переход	2(z)	Передача управления загрузчику, работа загрузчика. Отображение приглашения ввести пароль
Переход	3(z)	Вход в ОС
Входная функция	I(zi), i=1..3	Продолжение табл. 2.3 I(1(z)) ={1(a),2(a)}, I(2(z)) = {3(a)}, I(3(z)) ={4(a)}
Выходная функция	O(zi), i=1…3	O(1(z)) ={3(a)}, O(2(z)) = {4(a)}, O(3(z)) ={5(a)}

Рис. 3.5. Вид сети Петри-Маркова третьего этапа непосредственного доступа в ОС компьютера – «Осуществление входа в ОС компьютера, используя подобранные пароли»

На этой сети позиции не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы равны единице.

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

ν1(а)3(z)=		1(z)	2(z)	3(z)
	1(a)	1	0	0
	2(a)	1	0	0 (3.21)
	3(a)	1(а),1(z)∩2(a),1(z)	1	0
	4(a)	0	1	1
	5(a)	0	0	1

Для данной сети имеет место следующая система интегро-дифференциальных уравнений:

(3.22)

где – вероятность включения злоумышленником компьютера;

– вероятность инициализации BIOS и опроса периферийных устройств;

– вероятность передачи управления загрузчику, работы загрузчика и отображения приглашения ввести пароль;

– вероятность входа в ОС,

Вероятность перехода сети Петри-Маркова из начального состояния в конечное состояние определяется как вероятность того, что ко времени t перемещение пройдет по всей сети, от начального состояния до конечного перехода:

(3.23)

Предположим, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:

(3.24)

где λ_1,1=1/τ_1,1  – интенсивность включения злоумышленником компьютера;

λ_2,1 =1/τ_2,1  – интенсивность инициализации BIOS и опроса периферийных устройств;

λ_3,2 =1/τ_3,2  – интенсивность передачи управления загрузчику, работы загрузчика и отображения приглашения ввести пароль;

λ_4,3 =1/τ_4,3  – интенсивность входа в ОС;

где τ_{i,j (i=1..4,j=1..3)} – средние времена вышеперечисленных действий соответственно.

Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

(3.25)

(3.26)

(3.27)

Подставляя в это выражение полученные значения временных характеристик (приложение 2), получаем при τ_1,3=79,14с.:

(3.28)

На рис. 3.6 представлена зависимость от времени вероятности реализации третьего этапа непосредственного доступа в ОС компьютера, посредством подбора паролей.

Рис. 3.6. Зависимость от времени вероятности реализации третьего этапа непосредственного доступа в ОС компьютера

Получив среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения по каждому этапу, можно получить среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения по всем этапам.

Смоделируем с помощью сети Петри-Маркова непосредственный доступ в ОС компьютера, посредством подбора паролей на вход в ОС компьютера, учитывая прохождение всех этапов. Вид такой сети представлен на рис. 3.7, а обозначения для переходов и позиций приведены в таблице 3.4.

Таблица 3.4

Обозначения для переходов и позиций для данной сети

Элемент сети Петри	Обозначение элемента	Описание
Позиция	1(а)	Злоумышленник готов непосредственному проникновению в ОС компьютера
Позиция	2(а)	Злоумышленник прошел первый этап
Позиция	3(а)	Злоумышленник прошел второй этап
Позиция	4(а)	Злоумышленник прошел третий этап
Переход	1(z)	Прохождение первого этапа
Переход	2(z)	Прохождение второго этапа
Переход	3(z)	Прохождение третьего этапа
Входная функция	I(zi), i=1…3	I(1(z)) ={1(a)}, I(2(z)) = {2(a)}, I(3(z)) ={3(a)}
Выходная функция	O(zi), i=1…3	O(1(z)) ={2(a)}, O(2(z)) = {3(a)}, O(3(z)) ={4(a)}

Рис. 3.7. Вид сети Петри-Маркова прохождения всех этапов

На этой сети позиции так же не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы так же равны единице.

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

ν1(а)16(z)=		1(z)	2(z)	3(z)
	1(a)	1	1	0 (3.29)
	2(a)	1	0	0
	3(a)	0	1	1
	4(a)	0	0	3

Для данной сети имеет место следующая система интегро-дифференциальных уравнений:

(3.30)

где – вероятность прохождения первого этапа;

– вероятность прохождения второго этапа;

– вероятность прохождения третьего этапа.

Вероятность перехода сети Петри-Маркова из начального состояния в конечное состояние определяется как вероятность того, что ко времени t перемещение пройдет по всей сети, от начального состояния до конечного перехода:

(3.31)

Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:

(3.32)

где λ_1,1=1/τ_1,1  – интенсивность прохождения первого этапа;

λ_2,2 =1/τ_2,2  – интенсивность прохождения второго этапа;

λ_3,3 =1/τ_3,3  – интенсивность прохождения третьего этапа,

где τ_{i(а)j(z) (i=1..3,j=1..3)} – средние времена вышеперечисленных действий соответственно.

Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

(3.33)

(3.34)

Подставляя в это выражение полученные значения временных характеристик (Приложение Б) получаем при τ_1,3=221,89с.:

(3.35)

На рис. 3.8 представлена зависимость от времени вероятности реализации трех этапов непосредственного доступа в ОС компьютера, посредством подбора паролей.

Рис. 3.8. Зависимость от времени вероятности реализации трех этапов непосредственного доступа в ОС компьютера