Передбачуваний генератор випадкових чисел допоміг виграти мільйони доларів
У минулому році популярна американська лотерея Hot Lotto виявилася в центрі скандалу. З'ясувалося, що один з її співробітників якимось чином дізнавався виграшні комбінації раніше всіх. Це принесло йому спочатку кілька мільйонів доларів, а потім десятирічний тюремний термін. Незрозумілим залишалося тільки одне: в чому полягав його трюк. Тепер цю таємницю вдалося розкрити.
Злочинець на ім'я Едвард Тіптон служив директором з інформаційної безпеки в межштатной лотерейної асоціації - некомерційної організації з США, яка об'єднує 33 лотереї, в тому числі нещасливе Hot Lotto. Виграшні номери цієї лотереї визначає комп'ютерна програма, на яку Тіптон міг впливати. Питання тільки в тому, як саме. Спочатку слідство підозрювало, що він встановив руткит на комп'ютер, який генерує випадкові числа для Hot Lotto.
Якщо вірити останнім новинам про хід розслідування, в дійсності все було ще простіше. Руткіт не було потрібно. Виявилося, що генератор випадкових чисел звертається до динамічної бібліотеці, яка була відсутня на комп'ютері, коли його вивчали найняті організаторами лотереї фахівці з безпеки. По всій видимості, Тіптон скористався службовим становищем і додав цю бібліотеку після завершення аудиту.
Бібліотека перевіряє дату запуску генератора випадкових чисел. Перевірка завершується успіхом в один з трьох днів року за умови, що вони припадають на певний день тижня. Крім того, враховується і час запуску. Якщо задоволені всі умови, замість звичайного генератора випадкових чисел виграшну комбінацію обчислює алгоритм, який дає передбачувані результати.
Такі складні умови запуску заважали помітити підступ. Більшу частину року генератор випадкових чисел працював бездоганно. Щоб не пропустити момент, коли він починає пустувати, потрібно було точно знати, коли і куди дивитися. Такою інформацією володів тільки сам Тіптон. Шахрай попався лише через підозрілі обставин отримання одного з виграшів ( «Хакер» вже розповідав, як це сталося).
Поділися новиною з друзями: