Марковские модели динамики проникновения в операционную среду компьютера и выполнения несанкционированного действия
Осуществив физический доступ к компьютеру, нарушитель имеет возможность проникнуть в операционную среду компьютера и провести деструктивные действия. При проникновении в операционную среду компьютера нарушитель получает права доверенного пользователя (возможно не в полном объеме) для выполнения штатных программ и команд, предусмотренных в операционной системе. В данной работе рассмотрены некоторые наиболее характерные случаи проникновения в операционную среду компьютера, когда или меры защиты отсутствуют, или из мер защиты могут применяться лишь первоочередные меры, например, идентификации и аутентификации:
а) при включенном, но оставленном без присмотра пользователя компьютере;
б) при выключенном компьютере, когда нарушитель вынужден включить компьютер и загрузить операционную среду при отсутствии паролей для входа как в базовую систему ввода/вывода (BIOS), так и в операционную среду;
в) при выключенном компьютере, когда нарушитель вынужден включить компьютер и загрузить операционную среду при наличии пароля в базовой системе ввода/вывода (BIOS) и пароля для загрузки операционной системы.
He рассматривается, например, случай загрузки с отчуждаемого носителя альтернативной операционной системы.
Процесс проникновения нарушителю в операционную среду компьютера представляется в виде процесса обслуживания заявок (попыток проникновения) стохастической системой массового обслуживания с одним прибором без очереди с ограниченным временем обслуживания каждой заявки [83]. При этом графически такой процесс представляется в виде ориентированного графа состояний и переходов, которому соответствует система дифференциальных стохастических уравнений Колмогорова, решение которой позволяет найти вероятности проникновения нарушителя за заданное время в операционную среду в зависимости от существенных параметров, определяющих возможности такого проникновения. Возможность применения такого подхода обусловлена тем, что процесс проникновения, как правило, представляет собой простую последовательность действий со случайными продолжительностями выполнения во времени, что позволяет использовать указанный выше аппарат.
Рассмотрим модель динамики проникновения в операционную среду включенного, но оставленного без присмотра, компьютера и выполнения деструктивного действия. Процесс проникновения в операционную среду компьютера и выполнения деструктивного действия может быть представлен в виде марковского процесса, граф состояний которого соответствует приведенному.
Для такого процесса вероятность того, что нарушитель сумеет проникнуть в операционную среду компьютера и выполнить деструктивное действие за время t, рассчитывается по формуле:
Р (/) = 1 + _Tpr— -е ѵ + —g— -е ѵ (5.93)
1 - нарушитель получил доступ в операционную среду,
2 - нарушитель выполнил деструктивное действие;
при начальных условиях Р0 (0) = 1,^(0) = Р2 (0) = 0,\Р0'(0) = ^'(0) = Р2'(0) = 0 и P0(t)+Pl(t) + P2(t)= 1
Граф состояний марковского процесса проникновения в операционную среду компьютера и выполнения несанкционированного действия
При этом среднее время проникновения и выполнения несанкционированного действия составляет величину: ти = vpr + vg .
Рассмотрим модель проникновения в операционную среду компьютера и выполнения несанкционированного действия при необходимости его включения.
Если не установлены ограничения на доступ посторонних лиц, то процесс проникновения в операционную среду обусловлен временем, необходимым на загрузку операционной среды и временем, необходимым на выполнение несанкционированного действия.
В качестве несанкционированного действия, не снижая общности, рассмотрим уничтожение файлов.
При случайном выборе файла, относительно которого выполняется несанкционированное действие (при этом поиск файла отсутствует) процесс проникновения в операционную среду, перемещения по файловой системе и уничтожения файла может быть представлен в виде графа состояний, показанного на рисунке 5.17.
Пусть средние интенсивности переходов из состояния в состояние
з 1 з 1 з 1 равны соответственно Я01 = ^=, = ^=, Я,3 = =,
^асе ^сот ^ g
гДе Тасс ~ среднее время между попытками физического доступа к компьютеру;
гсот - среднее время, необходимое для загрузки компьютера;
rg - среднее время, необходимое для выполнения деструктивного действия.
0 состояние, когда нарушитель начинает попытки физического доступа к компьютеру;
1 - нарушитель получі п доступ к компьютеру и включил его, началась загрузка операционной среды;
2 - операционная среда загрузилась и нарушитель начал выполнения несанкционированное действие;
3 - несанкционированное действие выполнено;
р0(')=-ѵ-р»М;
^У)=ѵ-р»М-ѵд(Ф
г'М=ѵдМ-ѵдМ;
р;(‘)=ъ-Рг(‘),
при начальных условиях Р0 (0) = 1,і> (0) = Р2(0)= Р3(0) = 0;Р0'(0) = Р,'(0) = Р2'(0) = Р3' (0) = 0 и Р0 + (/) + Р2 (/) + Р3 (f) = 1
Граф состояний процесса уничтожения одного файла или каталога нарушителем
Решение системы дифференциальных уравнений, соответствующей приведенному графу, для вероятности проникновения в операционную среду компьютера и выполнения деструктивного действия имеет вид:
pu(t)=w=\- Аеѵ Aeh'1 Aehr‘ Л)і(Лг ЛіХАз Лі) Лг(Л)і АгХЛз Аг) Лз(Лі ХзХХз Хз((5.94)
где Л = Лт-Л12-Л2з - вспомогательный параметр.
Полученная зависимость в виде графиков для типовых параметров приведена.
а - Тасе = 300 С, Тсот = 40 С, Tg = 60 С ; б — Тасе = 600С, Тест = 40 С, Tg = 30 с ; в - Тасс =1200с, тсот = 50 с, Tg = 70 с (жирные линии соответствуют расчетам по формуле (6.88), а тонкая и пунктирные линии - экспоненциальному приближению)
Зависимости от времени вероятности проникновения в операционную среду компьютера и выполнения несанкционированного действия
Среднее время, необходимое для реализации угрозы, определяется из соотношения:
1 1 1 - - Z и —-----------1-------------1-----------— Т асе + Т com +Tdd Л)1 Л 2 ^23 (5.95)
Для сравнения на рисунке 5.18 показаны графики экспоненциальной зависимости: Pu(t) = l—e т\ из которых видно, что ошибка в оценках вероятности реализации угрозы не превышает 10% в начальный период времени и становится весьма малой с увеличением времени реализации угрозы.
Это подтверждает целесообразность применения более простых соотношений для оценки указанных вероятностей при ориентировочных оценках возможностей реализации угрозы.
Рассмотрим модель динамики проникновения в операірюнную среду компьютера, когда нарушитель вынужден включить компьютер и загрузить операционную среду при нелобходимости ввода пароля для базовой системы ввода/ вывода (BIOS, UEFI) и пароля для загрузки операционной системы. Тогда граф состояний процесса проникновения в операционную среду компьютера и соответствующая система дифференциальных уравнений для этого случая представлен.
Aj4
0 - нарушитель получил физический доступ к компьютеру и включил его, пытается подобрать пароль BIOS;
1 - нарушителю удалось подобрать пароль BIOS, однако операционная система запросила пароль для получения доступа в операционную среду, нарушитель начал подбор пароля для получения доступа в операционную среду первый раз;
2 - пароль доступа в операционную среду первый раз подобрать не удалось и нарушитель делает вторую попытку,
3 - пароль доступа при второй попытке подобрать не удалось и нарушитель предпринимает последнюю попытку,
4 - пароль подобран и нарушитель получил доступ в операционную среду компьютера и готов к выполнению несанкционированного действия;
>.'(') = -Аг-'і(0+А.--',,(0.-
= А ■ ■п(')- Аз -г, (')-■А.■ Р, (»)-■
К (')= Аз ■ Г, (О- А. - А (')- А. ■ А (О-- К (')= А« ■ г, (')+ А« ■ Р, (')+ А« ■ Р, (0-
при начальных условиях Р0 (О) = 1; Р1 (О) = Р2 (0) = Р3 (0) = Рд (О), Р0’ (о) = Р{ (О) = Р'2 (О) = Pj (0) = Р4' (0) = 0
Граф состояний марковского процесса получения доступа в операционную среду компьютера и выполнения несанкционированного действия при необходимости преодоления парольной защиты
При этом интенсивности переходов из состояния в состояние определяются следующим образом:
Л.=—>Ч2=4=Ло=—=Л/Л4=Л4=Л4=—=Л, (5.96)
Т bios Т OS Т os
где PBlos и tbios - вероятность подбора и среднее время набора пароля BIOS;
Pos и т os - вероятность подбора и средняя продолжительность набора пароля доступа в операционную систему;
Aj, Л2- вспомогательные параметры для обозначения равных по величине интенсивностей.
Вероятность (PBIOs или Pos) и среднее время (tbios или ros) подбора пароля путем прямого перебора рассчитывается по известным формулам [98]:
Ppass
п -----
!—:т
JS > “pass
А“
т
pass
(5.97)
где п - количество попыток подбора пароля;
А - число символов в алфавите, на основе которого сформирован пароль; 5 - длина пароля (количество символов в пароле);
Т - время выполнения одной попытки ввода пароля.
Решение соответствующей приведенному графу системы
дифференциальных уравнений относительно вероятности нахождения в последнем состоянии имеет следующий вид:
Р (;) = L-J^£)Li_/w (5.98)
“ 1 Zn{s)\
где Ch(s) — Aq][Aj Лі + A^(s + А^ + А2^) + A^A^^s + + ^) \
Zn(s) — 5,[5(5 + Aq j + А] + An )(.? + А^ + ^2) + sAq^A^ (51 + А[ + А2) + + Aq^A^A^(s + А^ + Ап) + sA^ Aq1 + AG1A2(s1 + Aj + A^) ]; (5.99)
среднее время реализации угрозы доступа,
----- 4l-PjT0S+T0S+(\-Pj-f^
т _ TBIOS |_______________________PbIOS (5.100)
” Pjuos PJ'+Q-PJ+Q-PJ2] '
Графики зависимости среднего времени доступа и вероятности получения доступа для различных значений временных параметров набора паролей и вероятностей их подбора представлены.
Зависимость среднего времени реализации угрозы доступа от вероятности подбора пароля доступа в BIOS
Зависимость среднего времени реализации угрозы доступа от вероятности подбора пароля доступа в операционную систему
aj Д: ~ 1 , ZBIOS ~ ^C. Г Ml<
Г) t - 2 Mil!/ . T = 40C, Г,, = 3QC
в) Г, - 0 5 , tbios - 40c, r„ = 30c e) / = 20мин, zmos = 40c, r,,, = 30c
Зависимости вероятностей реализации угрозы доступа от вероятности подбора пароля доступа в BIOS и в операционную систему
