Глава отдела информационной безопасности лотереи в США «доработал» генератор случайных чисел и выиграл миллионы долларов

от автора

В США стало известно о довольно интересном случае использования служебного положения в целях личного обогащения. Сотрудник отдела информационной безопасности Государственной лотереи США несколько лет выигрывал миллионы долларов (включая подставных лиц), и до поры до времени его никто ни в чем не заподозрил. Этот сотрудник, Эдди Раймонд Типтон (Eddie Raymond Tipton) использовал небольшую «доработку» генератора случайных чисел лотереи, позволивший ему верно «угадывать» выигрышные номера.

Но кое-что правоохранителям показалось подозрительным. В прошлом году этого человека арестовали, а сейчас стало известно, как именно он смог обогатиться. Эдди Раймонд Типтон оказался не рядовым сотрудником ИТ-отдела (как сообщалось в различных СМИ в прошлом году), а директором по информационной безопасности Multi-State Lottery Association. Как у руководителя, у него был доступ в помещение, где был установлен генератор случайных чисел лотереи.

Как оказалось, злоумышленник внедрил в систему собственный код уже после того, как генератор был обследован независимой компанией. «Доработка» позволила добиться того, что генератор показывал отнюдь не случайные числа три дня в год (определенные дни) при выполнении еще двух условий (о них ниже). В эти три дня последовательность чисел генерировалась по алгоритму Типтона. Таким образом, три дня в год он мог предсказать результат.

Вероятно, в этом случае можно сказать, что экс-директор по информационной безопасности просто пожадничал. Он воспользовался ситуацией шесть раз, с 23 ноября 2005 года по 29 декабря 2011 года. Специалисты, изучавшие выигрышные комбинации, поняли, что эти последовательности очень схожи, и заподозрили неладное. Если бы он использовал свою схему 1-2 раза, вряд ли кто-то что заподозрил бы.

В ходе расследования были найдены сторонние DLL, внедренные в память компьютерной системы. Предсказуемая для злоумышленника комбинация должна была появиться три раза в год, два определенных дня из недели, в определенное время дня.

Одна из динамических библиотек приводила в действие программу, выдававшую определенное число, которое мог предсказать злоумышленник либо человек, который посвящен в эту «тайну». Стоит отметить, что Томптон не получал все выигрыши на свое имя, что было бы очень глупо, но это не помогло ему избежать наказания — вся система была довольно прозрачной, и правоохранители смогли выявить описанную выше схему.

ссылка на оригинал статьи https://geektimes.ru/post/274048/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *