В США стало известно о довольно интересном случае использования служебного положения в целях личного обогащения. Сотрудник отдела информационной безопасности Государственной лотереи США несколько лет выигрывал миллионы долларов (включая подставных лиц), и до поры до времени его никто ни в чем не заподозрил. Этот сотрудник, Эдди Раймонд Типтон (Eddie Raymond Tipton) использовал небольшую «доработку» генератора случайных чисел лотереи, позволивший ему верно «угадывать» выигрышные номера.

Но кое-что правоохранителям показалось подозрительным. В прошлом году этого человека арестовали, а сейчас стало известно, как именно он смог обогатиться. Эдди Раймонд Типтон оказался не рядовым сотрудником ИТ-отдела (как сообщалось в различных СМИ в прошлом году), а директором по информационной безопасности Multi-State Lottery Association. Как у руководителя, у него был доступ в помещение, где был установлен генератор случайных чисел лотереи.

Как оказалось, злоумышленник внедрил в систему собственный код уже после того, как генератор был обследован независимой компанией. «Доработка» позволила добиться того, что генератор показывал отнюдь не случайные числа три дня в год (определенные дни) при выполнении еще двух условий (о них ниже). В эти три дня последовательность чисел генерировалась по алгоритму Типтона. Таким образом, три дня в год он мог предсказать результат.

Вероятно, в этом случае можно сказать, что экс-директор по информационной безопасности просто пожадничал. Он воспользовался ситуацией шесть раз, с 23 ноября 2005 года по 29 декабря 2011 года. Специалисты, изучавшие выигрышные комбинации, поняли, что эти последовательности очень схожи, и заподозрили неладное. Если бы он использовал свою схему 1-2 раза, вряд ли кто-то что заподозрил бы.

В ходе расследования были найдены сторонние DLL, внедренные в память компьютерной системы. Предсказуемая для злоумышленника комбинация должна была появиться три раза в год, два определенных дня из недели, в определенное время дня.

Одна из динамических библиотек приводила в действие программу, выдававшую определенное число, которое мог предсказать злоумышленник либо человек, который посвящен в эту «тайну». В одной связке с Эдди Раймондом Типтоном был и его родной брат, Томми Типтон из Техаса, офицер запаса полиции. Он был связан с джек-потами в Колорадо и Оклахоме. Еще один участник группы «победителей» — друг Типтона. Да, сам руководитель операции не получал все выигрыши на свое имя, что было бы очень глупо, но это не помогло ему избежать наказания — система была довольно прозрачной, и правоохранители смогли выявить описанную выше схему.

Комментарии (41)


  1. vanxant
    09.04.2016 00:14
    +12

    Перемудрил и пожадничал. Надо было тупо захардкодить цепочки чисел на 1-2 розыгрыша, после чего длл-ка должна была самовыпилиться, а сам чувак переехать куда-нибудь откуда нет выдачи.


    1. pnetmon
      09.04.2016 01:06
      +16

      Если читать источники переводной статьи у него была серьезная схема, вышли на него через выйгрывших личностей, dll были выпилины, а их следы обнаружили на его компьютере
      http://abcnews.go.com/US/wireStory/lottery-insiders-brother-arrested-jackpot-fixing-scandal-38196317
      But their case had been based on circumstantial evidence because the generators had been erased or destroyed.
      http://www.desmoinesregister.com/story/news/crime-and-courts/2016/04/06/lottery-scammers-brother-facing-criminal-charges/82690668/
      Examiners found out-of-place programs known as dynamic link libraries, or DLLs, that had been written onto the Wisconsin computer.


      1. vanyatwo
        09.04.2016 23:01
        +1

        довольно глупо ставить победителем знакомого человека (или хотя бы очевидно «знакомого» для следователей).


      1. sysmetic
        10.04.2016 10:16
        +1

        Да, на него вышли через неудачную попытку получить свой выигрыш: "Типтон впервые попал в поле зрения властей еще в 2012 году. Тогда в Айове произошел странный случай: нью-йоркский адвокат, от лица своего клиента – зарегистрированной в Белизе корпорации, обратился за получением выигрыша в размере 16,5 миллионов долларов. Дополнительно ситуация осложнялась тем, что билет был приобретен еще в декабре 2010 года. Неизвестные заявили свои права на выигрыш буквально за несколько часов до истечения дедлайна. Однако затем адвокат отказался назвать имя своего клиента, точнее идентифицировать покупателя заветного билета лотереи Hot Lotto, и отказался от дальнейших притязаний на выигрыш.

        Но кто так легко откажется от 16,5 млн долларов? Правоохранительные органы заподозрили неладное и получили видео с камеры видеонаблюдения на автозаправке, где был в 2010 году приобретен выигрышный билет. На записи был запечатлен неизвестный мужчина в капюшоне. Правоохранители не сумели опознать его своими силами и запросили «помощь зала»: они обнародовали запись и попросили всех граждан, которые знают что-либо о человеке на видео, связаться с властями. Тогда-то коллеги Типтона и вышли на контакт с полицией, заявив, что мужчина на видео выглядит и говорит в точности как Типтон.
        "

        Источник.


        1. fireSparrow
          11.04.2016 08:45
          +1

          Как-то странно. Записи камеры на автозаправке хранятся два года?


          1. pnetmon
            11.04.2016 17:15

            Как замечено в ссылках ниже
            http://www.3dnews.ru/914629
            "… начинать рассказ логично с 29 декабря 2010-го – со дня очередного тиража Hot Lotto…
            Первая странность в нашей истории обозначилась практически сразу – когда владелец билета с джекпотом не пришел за своими миллионами ни в первые же недели, ни в первые месяцы… пока имелась возможность получить приз."

            Зачем хранить ВСЕ видео два года, если о покупателе нужно заинтересоваться сразу при выпадании Джек пота, и могли запросить видео у точки где была совершена покупка сразу же.


            1. pnetmon
              11.04.2016 17:20

              И от туда же «И лишь в самый последний момент, всего за несколько часов до истечения крайнего срока, 29 декабря 2011-го, произошла еще одна странность»

              Не два года, а год с момента розыгрыша.


        1. kisaa
          11.04.2016 13:54

          На какой-то заправке архив видеонаблюдения хранится два года???


          1. sysmetic
            11.04.2016 14:16
            +1

            Согласен c комментариями, что два года хранения многовато для заправки, разве что они бэкапили видео на ленты и просто кидали в коробку на складе и им было просто лень выкидывать этот мусор :)

            Либо есть еще вариант как в известной шутке: :)


    1. Sadler
      09.04.2016 12:11

      Вообще не надо было внедрять DLL. Нужно было банально изменять код прямо в памяти исходного процесса. Ищем свободное место в либе, jmp-им туда, делаем свои дела, возвращаемся. Если ГСЧ перезагружается, повторяем внедрение (при желании можно открыть какую-нибудь дырочку для доставки и запуска). В таком случае никаких следов на HDD не останется, только изменённый в памяти код. Ну, и едва ли стоит использовать свою реализацию ГСЧ, когда рядом лежит готовая либа, которой достаточно подменить seed в нужный момент. Сид генерим по дате.


  1. Randl
    09.04.2016 01:20
    +9

    А зачем было похожие последовательности делать? ИМХО безопаснее и проще было запускать известный ГПСЧ с известным сидом (например, датой).


    1. phantom-code
      11.04.2016 13:52

      Есть мнение, что как раз за счет использования одного и того же известного ГПСЧ с известным сидом и проявились эти закономерности в выдаче.


      1. Randl
        11.04.2016 15:09

        Если сид известный, но не повторяющийся, закономерность выявить довольно сложно.


  1. anticyclope
    09.04.2016 06:20

    Можно вообще было сделать выдачу фиксированной последовательности выигравших чисел в произвольный день года. Поди не разорились бы перед розыгрышем лотерейный билет купить, зато какая история для прессы вышла бы: ставил целый год на день рождения жены, и гляди ж ты — выиграл.


  1. Cr558
    09.04.2016 09:17
    +15

    Проблема здесь не в комбинациях, а в победителях. Когда часто выигрывает брат безопасника и его друг, все слишком очевидно. Нельзя было светить близких людей, скорее отсюда начали копать. Конечно, как отвечающий за безопасность, он мог прикрыть победителей, но не в ситуации, когда это его брат (на что может обратить внимание руководство лотереи или подсиживающий его подчиненный).


    1. lakegull
      09.04.2016 12:00

      Всё верно


    1. MaxAlekseev
      09.04.2016 12:20
      +8

      Имхо — ближний круг лиц (супруг/супруга, родственники, друзья), которых включают в схему и есть некий квалификационный признак по которому ломаются многие схемы мошенничества/коррупции/попила, т.к. левых людей задействовать рискованно (вероятность, что сами же и кинут высока). Можно сказать, что это неизлечимый «баг» системы, т.е. фича!


      1. Lure_of_Chaos
        09.04.2016 22:24
        +5

        Самая большая «фича» системы — жадность. Так вскрываются и более хитроумные системы…


      1. DjOnline
        11.04.2016 12:22
        +3

        Похожую схему видел у Тимченко, Ротенберга и Шамалова, и виолончелиста Ролдугина которым необычайно везёт последние 15 лет. Вот только там никто не шифруется :)


    1. lexore
      09.04.2016 12:50
      +1

      > Когда часто выигрывает брат безопасника и его друг, все слишком очевидно.

      Я даже больше скажу, по правилам лотерей в них не могут участвовать родственники организаторов.


      1. achekalin
        09.04.2016 13:32

        Это сродни истории, что политики, например, не могут владеть бизнесом :)

        Слишком просты обходные пути, чтобы такое условие было легко выполнить. Не говоря что при желании можно человека и довольно анонимно использовать, все зависит от размаха и фантазии.

        Опять же, одно дело, если он забил выпадание одной и той же комбинации три последовательных для в году. Другое дело, если в три известных только автору дня в году комбинация менялась по непонятному для других закону, но оставалась математическая возможность для человека, знающего «формулу» (а самое главное — ее коэффициенты), догадаться о том, какие числа в этом году в этот день будут «счастливыми». Вопрос только в математической и ИТ-ный подготовке инсайдера.


    1. cema93
      11.04.2016 12:52

      В Беларуси во всех лотереях и почти во всех акциях не могут участвовать близкие родственники тех, кто работает в организации-учредителе акции. Это неплохой выход, чтобы по ошибке не спалить своих родственников


  1. rPman
    09.04.2016 13:29

    Давно (по правде говоря только последние 2-3 года) уже пора использовать единственную надежную (с гарантиями как для участников так и для владельцев) систему генерации случайных чисел, основанную на публичной базе блокчейна bitcoin (остальные криптовалюты конечно тоже можно использовать но их мощности не на столько заметны)

    Алгоритм примитивный
    Берем любое псевдослучайное число с seed от хеша блока в будущем (заранее определенный номер блока, но считать через N найденных блоков после).


    1. Yogami
      09.04.2016 20:11
      +1

      Лучше по старинке, шариками и бочонками.


      1. Alexsandr_SE
        10.04.2016 11:07

        Их помнится тоже можно подделывать если не контролировать перед запуском все шарики и бочоночки.


      1. rPman
        10.04.2016 13:51
        +2

        это даже не смешно, еще скажите и по телевизору показывать!


      1. Samoglas
        11.04.2016 03:49
        +3

        Не важно, как генерируется число, если можно вбросить билеты уже после выпадения честных случайных цифр. Что-то такое уже было.

        А вообще, у нас с прозрачностью не парятся. На stoloto (российские государственные лотереи) с показом шариков не заморачиваются, никакого видео нет совсем, просто появляется анимация и публикуется результат, а уж как там шарики вытаскивали, кто это делал — да кому это интересно, когда на кону какие то жалкие 358 миллионов рублей? )
        Конечно же, это совершенно случайно происходит, для нашей же пользы, ведь никому не интересно, как на самом деле производится розыгрыш их лотерейных билетов.


        1. bogus92
          11.04.2016 14:14

          Я так понял, что в случае с блокчейном дело не столько в способе генерации числа, сколько в том, что любой желающий потом сможет проверить, был ли результат получен правильно.


          1. rPman
            11.04.2016 23:06

            Важны все три условия, и исключение любого из них ставит либо игроков либо организаторов в щекотливую или попросту несправедливую ситуацию.
            * нет возможности предсказать
            * нет возможности подтасовать — как раз попадает пример в статье
            * любой может проверить — это контроль клиентами за исполнителем, чтобы не было тупых подтасовок типа — выпало одно число а 'по телевизору' сказали что другое и все поверили

            Проблема в том что нет ни одной компании, которая бы была заинтересована в честной игре с игроками!
            Поэтому подобный алгоритм просто никто из крупных участников рынка не делает и не будет делать (что то мне говорит еще очень долго) и это 'как бы намекает'


  1. zerocool56
    09.04.2016 14:00

    «А чо, так можно было?»


  1. sav13
    09.04.2016 20:54
    +1

    Мужик в детстве Джека Лондона читал про Смока Белью)))


  1. LeoPlus
    09.04.2016 21:20
    +6

    Жадность фраера сгубила :-)


  1. n00b1k
    09.04.2016 21:34
    +1

    Все правильно сделал, жаль что попался


  1. entze
    10.04.2016 08:45
    -1

    У нас же случаи неоднократного получения выигрышей одними и теми же, попросту замяли.


  1. amarao
    10.04.2016 18:48
    +5

    Дурак он был. Использовал бы для обнала/получения выигрыша знакомого виолончелиста — всё было бы отлично. Примеры успеха легко показать.


    1. LoadRunner
      11.04.2016 12:21

      А я думал, что успешное мошенничество — это когда никто о нём так никогда и не узнал.


      1. amarao
        11.04.2016 12:39
        +1

        Успешное мошенничество — это когда о нём все знают, но никто не может сказать слова поперёк.


  1. OnelaW
    11.04.2016 10:01

    Какой «хороший» малый. Ничто человеческое ему не чуждо.


  1. supreme3
    11.04.2016 12:52

    Так интересно, все говорят про то, как нужно было скрыть выигрыш и никто, про то, что махинации делать нельзя. В рамках компании, такой «информационный директор» полный провал и это беда HR.


  1. Ded_Keygen
    11.04.2016 13:49

    На 3dnews еще в прошлом году писали про этот случай, и более подробно
    www.3dnews.ru/914629
    www.3dnews.ru/927241


  1. YUGR_1
    12.04.2016 11:01
    +1

    Всем не выигравшим в дни его выигрышей, но сохранившим билетик имеет смысл подать в суд на лотерею — поскольку номер был подтасован, а не выпал случайным образом, были нарушены правила лотереи — пусть хоть стоимость билетика возвратят, что ли.