Глава отдела информационной безопасности лотереи в США «доработал» генератор случайных чисел и выиграл миллионы долларов



    В США стало известно о довольно интересном случае использования служебного положения в целях личного обогащения. Сотрудник отдела информационной безопасности Государственной лотереи США несколько лет выигрывал миллионы долларов (включая подставных лиц), и до поры до времени его никто ни в чем не заподозрил. Этот сотрудник, Эдди Раймонд Типтон (Eddie Raymond Tipton) использовал небольшую «доработку» генератора случайных чисел лотереи, позволивший ему верно «угадывать» выигрышные номера.

    Но кое-что правоохранителям показалось подозрительным. В прошлом году этого человека арестовали, а сейчас стало известно, как именно он смог обогатиться. Эдди Раймонд Типтон оказался не рядовым сотрудником ИТ-отдела (как сообщалось в различных СМИ в прошлом году), а директором по информационной безопасности Multi-State Lottery Association. Как у руководителя, у него был доступ в помещение, где был установлен генератор случайных чисел лотереи.

    Как оказалось, злоумышленник внедрил в систему собственный код уже после того, как генератор был обследован независимой компанией. «Доработка» позволила добиться того, что генератор показывал отнюдь не случайные числа три дня в год (определенные дни) при выполнении еще двух условий (о них ниже). В эти три дня последовательность чисел генерировалась по алгоритму Типтона. Таким образом, три дня в год он мог предсказать результат.

    Вероятно, в этом случае можно сказать, что экс-директор по информационной безопасности просто пожадничал. Он воспользовался ситуацией шесть раз, с 23 ноября 2005 года по 29 декабря 2011 года. Специалисты, изучавшие выигрышные комбинации, поняли, что эти последовательности очень схожи, и заподозрили неладное. Если бы он использовал свою схему 1-2 раза, вряд ли кто-то что заподозрил бы.

    В ходе расследования были найдены сторонние DLL, внедренные в память компьютерной системы. Предсказуемая для злоумышленника комбинация должна была появиться три раза в год, два определенных дня из недели, в определенное время дня.

    Одна из динамических библиотек приводила в действие программу, выдававшую определенное число, которое мог предсказать злоумышленник либо человек, который посвящен в эту «тайну». В одной связке с Эдди Раймондом Типтоном был и его родной брат, Томми Типтон из Техаса, офицер запаса полиции. Он был связан с джек-потами в Колорадо и Оклахоме. Еще один участник группы «победителей» — друг Типтона. Да, сам руководитель операции не получал все выигрыши на свое имя, что было бы очень глупо, но это не помогло ему избежать наказания — система была довольно прозрачной, и правоохранители смогли выявить описанную выше схему.
    Поделиться публикацией
    Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

    Зачем оно вам?
    Реклама
    Комментарии 41
    • +12
      Перемудрил и пожадничал. Надо было тупо захардкодить цепочки чисел на 1-2 розыгрыша, после чего длл-ка должна была самовыпилиться, а сам чувак переехать куда-нибудь откуда нет выдачи.
      • +16
        Если читать источники переводной статьи у него была серьезная схема, вышли на него через выйгрывших личностей, dll были выпилины, а их следы обнаружили на его компьютере
        http://abcnews.go.com/US/wireStory/lottery-insiders-brother-arrested-jackpot-fixing-scandal-38196317
        But their case had been based on circumstantial evidence because the generators had been erased or destroyed.
        http://www.desmoinesregister.com/story/news/crime-and-courts/2016/04/06/lottery-scammers-brother-facing-criminal-charges/82690668/
        Examiners found out-of-place programs known as dynamic link libraries, or DLLs, that had been written onto the Wisconsin computer.
        • +1
          довольно глупо ставить победителем знакомого человека (или хотя бы очевидно «знакомого» для следователей).
          • +1
            Да, на него вышли через неудачную попытку получить свой выигрыш: "Типтон впервые попал в поле зрения властей еще в 2012 году. Тогда в Айове произошел странный случай: нью-йоркский адвокат, от лица своего клиента – зарегистрированной в Белизе корпорации, обратился за получением выигрыша в размере 16,5 миллионов долларов. Дополнительно ситуация осложнялась тем, что билет был приобретен еще в декабре 2010 года. Неизвестные заявили свои права на выигрыш буквально за несколько часов до истечения дедлайна. Однако затем адвокат отказался назвать имя своего клиента, точнее идентифицировать покупателя заветного билета лотереи Hot Lotto, и отказался от дальнейших притязаний на выигрыш.

            Но кто так легко откажется от 16,5 млн долларов? Правоохранительные органы заподозрили неладное и получили видео с камеры видеонаблюдения на автозаправке, где был в 2010 году приобретен выигрышный билет. На записи был запечатлен неизвестный мужчина в капюшоне. Правоохранители не сумели опознать его своими силами и запросили «помощь зала»: они обнародовали запись и попросили всех граждан, которые знают что-либо о человеке на видео, связаться с властями. Тогда-то коллеги Типтона и вышли на контакт с полицией, заявив, что мужчина на видео выглядит и говорит в точности как Типтон.
            "

            Источник.
            • +1
              Как-то странно. Записи камеры на автозаправке хранятся два года?
              • 0
                Как замечено в ссылках ниже
                http://www.3dnews.ru/914629
                "… начинать рассказ логично с 29 декабря 2010-го – со дня очередного тиража Hot Lotto…
                Первая странность в нашей истории обозначилась практически сразу – когда владелец билета с джекпотом не пришел за своими миллионами ни в первые же недели, ни в первые месяцы… пока имелась возможность получить приз."

                Зачем хранить ВСЕ видео два года, если о покупателе нужно заинтересоваться сразу при выпадании Джек пота, и могли запросить видео у точки где была совершена покупка сразу же.
                • 0
                  И от туда же «И лишь в самый последний момент, всего за несколько часов до истечения крайнего срока, 29 декабря 2011-го, произошла еще одна странность»

                  Не два года, а год с момента розыгрыша.
              • 0
                На какой-то заправке архив видеонаблюдения хранится два года???
                • +1
                  Согласен c комментариями, что два года хранения многовато для заправки, разве что они бэкапили видео на ленты и просто кидали в коробку на складе и им было просто лень выкидывать этот мусор :)

                  Либо есть еще вариант как в известной шутке: :)
            • 0
              Вообще не надо было внедрять DLL. Нужно было банально изменять код прямо в памяти исходного процесса. Ищем свободное место в либе, jmp-им туда, делаем свои дела, возвращаемся. Если ГСЧ перезагружается, повторяем внедрение (при желании можно открыть какую-нибудь дырочку для доставки и запуска). В таком случае никаких следов на HDD не останется, только изменённый в памяти код. Ну, и едва ли стоит использовать свою реализацию ГСЧ, когда рядом лежит готовая либа, которой достаточно подменить seed в нужный момент. Сид генерим по дате.
            • +9
              А зачем было похожие последовательности делать? ИМХО безопаснее и проще было запускать известный ГПСЧ с известным сидом (например, датой).
              • 0
                Есть мнение, что как раз за счет использования одного и того же известного ГПСЧ с известным сидом и проявились эти закономерности в выдаче.
                • 0
                  Если сид известный, но не повторяющийся, закономерность выявить довольно сложно.
              • 0
                Можно вообще было сделать выдачу фиксированной последовательности выигравших чисел в произвольный день года. Поди не разорились бы перед розыгрышем лотерейный билет купить, зато какая история для прессы вышла бы: ставил целый год на день рождения жены, и гляди ж ты — выиграл.
                • +15
                  Проблема здесь не в комбинациях, а в победителях. Когда часто выигрывает брат безопасника и его друг, все слишком очевидно. Нельзя было светить близких людей, скорее отсюда начали копать. Конечно, как отвечающий за безопасность, он мог прикрыть победителей, но не в ситуации, когда это его брат (на что может обратить внимание руководство лотереи или подсиживающий его подчиненный).
                  • 0
                    Всё верно
                    • +8
                      Имхо — ближний круг лиц (супруг/супруга, родственники, друзья), которых включают в схему и есть некий квалификационный признак по которому ломаются многие схемы мошенничества/коррупции/попила, т.к. левых людей задействовать рискованно (вероятность, что сами же и кинут высока). Можно сказать, что это неизлечимый «баг» системы, т.е. фича!
                      • +5
                        Самая большая «фича» системы — жадность. Так вскрываются и более хитроумные системы…
                        • +3
                          Похожую схему видел у Тимченко, Ротенберга и Шамалова, и виолончелиста Ролдугина которым необычайно везёт последние 15 лет. Вот только там никто не шифруется :)
                        • +1
                          > Когда часто выигрывает брат безопасника и его друг, все слишком очевидно.

                          Я даже больше скажу, по правилам лотерей в них не могут участвовать родственники организаторов.
                          • 0
                            Это сродни истории, что политики, например, не могут владеть бизнесом :)

                            Слишком просты обходные пути, чтобы такое условие было легко выполнить. Не говоря что при желании можно человека и довольно анонимно использовать, все зависит от размаха и фантазии.

                            Опять же, одно дело, если он забил выпадание одной и той же комбинации три последовательных для в году. Другое дело, если в три известных только автору дня в году комбинация менялась по непонятному для других закону, но оставалась математическая возможность для человека, знающего «формулу» (а самое главное — ее коэффициенты), догадаться о том, какие числа в этом году в этот день будут «счастливыми». Вопрос только в математической и ИТ-ный подготовке инсайдера.
                          • 0
                            В Беларуси во всех лотереях и почти во всех акциях не могут участвовать близкие родственники тех, кто работает в организации-учредителе акции. Это неплохой выход, чтобы по ошибке не спалить своих родственников
                          • 0
                            Давно (по правде говоря только последние 2-3 года) уже пора использовать единственную надежную (с гарантиями как для участников так и для владельцев) систему генерации случайных чисел, основанную на публичной базе блокчейна bitcoin (остальные криптовалюты конечно тоже можно использовать но их мощности не на столько заметны)
                            Алгоритм примитивный
                            Берем любое псевдослучайное число с seed от хеша блока в будущем (заранее определенный номер блока, но считать через N найденных блоков после).

                            Ни подделать, ни угадать и любой может проверить.
                            • +1
                              Лучше по старинке, шариками и бочонками.
                              • 0
                                Их помнится тоже можно подделывать если не контролировать перед запуском все шарики и бочоночки.
                                • +2
                                  это даже не смешно, еще скажите и по телевизору показывать!
                                  • +3
                                    Не важно, как генерируется число, если можно вбросить билеты уже после выпадения честных случайных цифр. Что-то такое уже было.

                                    А вообще, у нас с прозрачностью не парятся. На stoloto (российские государственные лотереи) с показом шариков не заморачиваются, никакого видео нет совсем, просто появляется анимация и публикуется результат, а уж как там шарики вытаскивали, кто это делал — да кому это интересно, когда на кону какие то жалкие 358 миллионов рублей? )
                                    Конечно же, это совершенно случайно происходит, для нашей же пользы, ведь никому не интересно, как на самом деле производится розыгрыш их лотерейных билетов.
                                    • 0
                                      Я так понял, что в случае с блокчейном дело не столько в способе генерации числа, сколько в том, что любой желающий потом сможет проверить, был ли результат получен правильно.
                                      • 0
                                        Важны все три условия, и исключение любого из них ставит либо игроков либо организаторов в щекотливую или попросту несправедливую ситуацию.
                                        * нет возможности предсказать
                                        * нет возможности подтасовать — как раз попадает пример в статье
                                        * любой может проверить — это контроль клиентами за исполнителем, чтобы не было тупых подтасовок типа — выпало одно число а 'по телевизору' сказали что другое и все поверили

                                        Проблема в том что нет ни одной компании, которая бы была заинтересована в честной игре с игроками!
                                        Поэтому подобный алгоритм просто никто из крупных участников рынка не делает и не будет делать (что то мне говорит еще очень долго) и это 'как бы намекает'
                                • 0
                                  «А чо, так можно было?»
                                  • +1
                                    Мужик в детстве Джека Лондона читал про Смока Белью)))
                                    • +6
                                      Жадность фраера сгубила :-)
                                      • +1
                                        Все правильно сделал, жаль что попался
                                        • –1
                                          У нас же случаи неоднократного получения выигрышей одними и теми же, попросту замяли.
                                          • +5
                                            Дурак он был. Использовал бы для обнала/получения выигрыша знакомого виолончелиста — всё было бы отлично. Примеры успеха легко показать.
                                            • 0
                                              А я думал, что успешное мошенничество — это когда никто о нём так никогда и не узнал.
                                              • +1
                                                Успешное мошенничество — это когда о нём все знают, но никто не может сказать слова поперёк.
                                            • 0
                                              Какой «хороший» малый. Ничто человеческое ему не чуждо.
                                              • 0
                                                Так интересно, все говорят про то, как нужно было скрыть выигрыш и никто, про то, что махинации делать нельзя. В рамках компании, такой «информационный директор» полный провал и это беда HR.
                                                • 0
                                                  На 3dnews еще в прошлом году писали про этот случай, и более подробно
                                                  www.3dnews.ru/914629
                                                  www.3dnews.ru/927241
                                                  • +1
                                                    Всем не выигравшим в дни его выигрышей, но сохранившим билетик имеет смысл подать в суд на лотерею — поскольку номер был подтасован, а не выпал случайным образом, были нарушены правила лотереи — пусть хоть стоимость билетика возвратят, что ли.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.