美国彩票信息安全部门负责人“确定”了随机数生成器并赢得了数百万美元

在美国，利用个人职务来实现个人财富的一个相当有趣的案例已广为人知。美国国家彩票信息安全部门的一名员工赢得了数百万美元（包括提名），这已经有好几年了，暂时没有人怀疑他有任何事情。这位雇员Eddie Raymond Tipton使用了彩票随机数生成器的一个“细化”方法，使他能够正确地“猜”中奖数字。

但是对于执法人员而言，有些事情似乎是可疑的。去年，这名男子被捕，现在人们知道他如何致富。埃迪·雷蒙德·提普顿（Eddie Raymond Tipton）不是普通的IT员工（如去年各种媒体所报道），而是多州彩票协会（Multi-State Lottery Association）的信息安全总监。作为经理，他可以进入安装了随机数生成器的房间。

事实证明，在独立公司检查了生成器之后，攻击者将自己的代码引入了系统。通过“最终确定”，有可能确保当满足另外两个条件（关于以下条件）时，生成器绝不会一年三天（某些天）显示随机数。在这三天中，使用Tipton算法生成了一系列数字。因此，一年三天，他可以预测结果。

在这种情况下，我们可以说前信息安全总监只是贪婪。从2005年11月23日到2011年12月29日，他六次利用这种情况。研究获胜组合的专家意识到，这些序列非常相似，并且怀疑有问题。如果他使用计划1-2次，几乎没有人会怀疑。

在调查过程中，发现了嵌入计算机系统内存中的第三方DLL。攻击者可以预测的组合是每年出现3次，从一周的两个特定天开始，在一天中的特定时间出现。

一个动态库激活了一个程序，该程序产生了一定数量的数据，攻击者或发起此“秘密”的人员可以预测到该数目。与埃迪·雷蒙德·提普顿（Eddie Raymond Tipton）一起是他的兄弟，德克萨斯州的汤米·提普顿（Tommy Tipton），是警察的后备军官。他与科罗拉多州和俄克拉荷马州的头奖有关联。“优胜者”小组的另一位成员是Tipton的朋友。是的，行动负责人本人并没有以他的名义获得所有奖金，这是非常愚蠢的，但这并不能帮助他避免受到惩罚-系统非常透明，执法人员能够识别上述方案。

Source: https://habr.com/ru/post/zh-CN392777/