3.1.2. Непосредственное проникновение с помощью сброса паролей на вход в операционную среду компьютера
Для осуществления сброса паролей удобнее всего использовать программу ERD Commander или Offline NT Password & Registry Editor, так как данные программы понятны и просты в использование.
Смоделируем с помощью сети Петри-Маркова непосредственный доступ в ОС компьютера, посредством сброса паролей на вход в ОС компьютера. Вид такой сети представлен на рис. 3.9, а обозначения для переходов и позиций приведены в таблице 3.5.
Таблица 3.5
Обозначения для переходов и позиций для данной сети
Элемент сети Петри |
Обозначение элемента |
Описание |
Позиция |
1(а) |
Злоумышленник находится в помещение, в котором расположен необходимый ему компьютер |
Позиция |
2(а) |
Компьютер выключен (неактивизирован) |
Позиция |
3(а) |
BIOS инициализирован, периферийные устройства опрошены |
Позиция |
4(а) |
Злоумышленник готов к нажатию клавиши «Delete» |
Позиция |
5(а) |
На экране монитора компьютера отображено меню настроек BIOS |
Позиция |
6(а) |
Настройки изменены (первичный загрузчик – дискета) |
Позиция |
7(а) |
Наличие загрузочной дискеты с альтернативной операционной системой и с программой, сбрасывающей пароли |
Позиция
|
8(а)
|
Дискета установлена в дисковод компьютера, управление передано на загрузочную дискету |
Позиция |
9(а) |
Загружена альтернативная операционная система |
Позиция |
10(а) |
П
Продолжение табл. 2.5 |
Позиция |
11(а) |
Операционная
система компьютера п
Продолжение табл. 3.5 |
Позиция |
12(а) |
Осуществлен вход в ОС компьютера |
Переход |
1(z) |
Активизация компьютера |
Переход |
2(z) |
Переход в меню настроек BIOS |
Переход |
3(z) |
Изменение настроек первичной загрузки |
Переход
|
4(z)
|
Установка загрузочной дискеты в дисковод, передача управления на загрузочную дискету |
Переход |
5(z) |
Процесс загрузки альтернативной операционной системы |
Переход |
6(z) |
Запуск программы сброса паролей, т.е. сброс паролей |
Переход |
7(z) |
Перезагрузка операционной системы |
Переход |
8(z) |
Вход в ОС компьютера |
Входная функция |
I(zi), i=1…8 |
I(1(z)) ={1(a),2(a)}, I(2(z)) = {3(a),4(a)}, I(3(z)) ={5(a)}, I(4(z)) = {6(a),7(а)}, I(5(z)) ={8(a)}, I(6(z)) = {9(a)}, I(7(z)) ={10(a)}, I(8(z)) = {11(a)} |
Выходная функция |
O(zi), i=1…8 |
O(1(z)) ={3(a)}, O(2(z)) = {5(a)}, O(3(z)) ={6(a)}, O(4(z)) = {8(a)}, O(5(z)) ={9(a)}, O(6(z)) = {10(a)}, O(7(z)) ={11(a)}, O(8(z)) = {12(a)} |
На этой сети позиции не имеют инцидентные дуги, поэтому вероятности перемещения из них в переходы равны единице.
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
ν1(а)8(z)= |
|
1(z) |
2(z) |
3(z) |
4(z) |
5(z) |
6(z) |
7(z) |
8(z) |
1(a) |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
|
2(a) |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
|
3(a) |
1(а), 1(z)∩ ∩2(a), 1(z) |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
|
4(a) |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
|
5(a) |
0 |
3(а), 2(z)∩ ∩4(a), 2(z) |
1 |
0 |
0 |
0 |
0 |
0 |
|
6(а) |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
|
7(а) |
0 |
0 |
1 |
1 |
0 |
0 |
0 |
0 |
|
8(а) |
0 |
0 |
0 |
6(а), 4(z)∩ ∩7(a), 4(z) |
1 |
0 |
0 |
0 |
|
9(а) |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
0 |
|
10(а) |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
|
11(а) |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
|
12(а) |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
(3.36)
Для данной сети имеет место следующая система интегро-дифференциальных уравнений:
(2.37)
(3.37)
где – вероятность включения злоумышленником компьютера;
– вероятность инициализации BIOS и опроса периферийных устройств;
– вероятность отображения на экране монитора компьютера меню настроек BIOS;
– вероятность нажатия клавиши «Delete»;
– вероятность изменения настроек BIOS;
– вероятность передачи управления на загрузочную дискету;
– вероятность установки загрузочной дискеты с альтернативной ОС в дисковод компьютера;
– вероятность загрузки альтернативной ОС;
– вероятность запуска программы сброса паролей (непосредственно сброс паролей);
– вероятность перезагрузки компьютера;
– вероятность
входа в ОС компьютера.
Вероятность перехода сети Петри-Маркова из начального состояния в конечное состояние определяется как вероятность того, что ко времени t перемещение пройдет по всей сети, от начального состояния до конечного перехода:
(3.38)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
(3.39)
где λ1,1=1/τ1,1 – интенсивность включения злоумышленником компьютера;
λ2,1 =1/τ2,1 – интенсивность инициализации BIOS и опроса периферийных устройств;
λ3,2 =1/τ3,2 – интенсивность отображения на экране монитора компьютера меню настроек BIOS;
λ4,2 =1/τ4,2 – интенсивность нажатия клавиши «Delete»;
λ5,3 =1/τ5,3 – интенсивность изменения настроек BIOS;
λ7,4 =1/τ7,4 – интенсивность передачи управления на загрузочную дискету;
λ6,4 =1/τ6,4 – интенсивность установки загрузочной дискеты с альтернативной ОС в дисковод компьютера;
λ8,5 =1/τ8,5 – интенсивность вероятность загрузки альтернативной операционной системы;
λ9,6 =1/τ9,6 – интенсивность запуска программы сброса паролей (непосредственно сброс паролей);
λ10,7 =1/τ10,7 – интенсивность перезагрузки компьютера;
λ11,8 =1/τ11,8 – интенсивность входа в ОС компьютера,
где τi,j (i=1..11,j=1..8) – средние времена вышеперечисленных действий соответственно.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
(3.40)
(3.41)
(3.42)
(3.43)
(3.44)
Подставляя в это выражение полученные значения временных характеристик (приложение 2) получаем при τ1,8=110,35с.:
(3.45)
На рис. 3.10 представлена зависимость от времени вероятности реализации непосредственного доступа в ОС компьютера, посредством сброса паролей.
Рис. 3.10. Зависимость от времени вероятности реализации непосредственного доступа в ОС компьютера посредством сброса паролей