Анализируй это: российские хакеры разгадали алгоритм работы слот-машин

15 комментариев
Анализируй это: российские хакеры разгадали алгоритм работы слот-машин

Российские хакеры разработали уникальную мошенническую схему, которая способна выявлять уязвимости в слот-машинах в казино по всему миру. Журнал Wired опубликовал статью по итогам сенсационного расследования.

Читать

Фото: John Schnobrich via Unsplash

Wired рассказал, что ещё в 2011 году в казино по всей Центральной и Восточной Европе зафиксировали случаи невероятно больших выигрышей на слотах австрийской компании Novomatic. Инженеры компании-производителя не смогли найти доказательств физического вмешательства и предположили, что мошенники выяснили, как предсказывать поведение слотов.

«Через целенаправленное и длительное наблюдение за отдельными последовательностями игр, а также, возможно, записи отдельных игр может быть возможным определение некоего шаблона результатов игры, — признала компания в уведомлении  клиентам в феврале 2011 года.

Позже подобная история повторилась в ряде американских казино. По данным издания, злоумышленники могли зарабатывать до $250 тысяч долларов в неделю.

В 2014 году эксперт по вопросам безопасности казино Даррин Хоук провёл спецрасследование, изучив видео с камер наблюдения в казино от Калифорнии до Румынии. В результате он идентифицировал 25 предполагаемых мошенников, работавших по всему миру. Большинство из них были россиянами.

Так, на кадрах из казино Lumiere Place в Сент-Луисе было видно, как подозревемый целенаправленно выбирает старые модели слот-машин производства австралийской компанииAristocrat Leisure. Вместо того, чтобы просто играть, он украдкой держал свой iPhone близко к экрану. Затем уходил на несколько минут и снова возвращался. Какое-то время он держал палец над кнопкой запуска барабанов и внезапно тыкал в неё — обычные игроки не делают таких пауз между спинами, заключили эксперты. В аппарат человек заряжал от $20 до $60, выигрывал $300 и переходил к другой машине. В течение двух дней его выигрыш составил чуть более $21 000.

«Результаты игровых автоматов управляются с помощью программ, называемых генераторы псевдослучайных чисел (ГПСЧ), которые и позволяют получить запроектированные результаты. Государственные регулирующие органы проверяют целостность каждого алгоритма, прежде чем казино может запустить его, — рассказывает Wired. — Однако псевдогенераторы лишь создают ощущение случайности, поскольку люди создают их используя программные инструкции. Истинный генератор случайных чисел может быть получен через нетехногенное явление, как, например, радиоактивный распад. ГПСЧ берёт начальное число, известное как семя, а потом перемножает его на различные скрытые и постоянно меняющиеся переменные — например, время внутренних часов. Так получается результат, который невозможно прогнозировать. Но, если хакеры могут определить состав ингредиентов в этом математическом коктейле, они потенциально могут предсказать вывод генератора».

Как отмечает издание, знания секретной арифметики недостаточно, поскольку вводные данные для ГПСЧ варьируются в зависимости от временных переменных каждой машины: «Так что даже если они понимают, как функционирует ГПСЧ машины, хакеры также должны проанализировать геймплей, чтобы различить его временную структуру. Это требует времени и существенной вычислительной мощности, а использование своего ноутбука перед аппаратом в казино невозможно».

Россияне нашли решение и этой проблемы. 

Как рассказал Wired основатель ежегодной конференции World Game Protection Вилли Элисон, мошенники использовали смартфоны для записи двух десятков спинов в игре, которую планировали взломать. Затем передавали кадры коллегам-программистам в Санкт-Петербурге, которые анализировали видео и вычисляли шаблон машины на основе того, что они знали о генераторе псевдослучайных чисел этой модели.

«В результате команда из Санкт-Петербурга передавала список временных маркеров для пользовательского приложения на телефоне игрока, которые заставляли устройство вибрировать примерно за 0,25 секунды до того, как следует нажать кнопку запуска спина. Нормальное время реакции для человека составляет около четверти секунды, — рассказывает Wired. — Спины «по будильнику» не всегда успешны, но они приводят к гораздо большим выигрышам, чем стандарт. Один мошенник может выиграть более $10 000 в день».

Фото: Jackson Jost via Unsplash

В декабре 2014 года группу из четырёх мошенников арестовали в Сент-Луисе, обвинив в «в заговоре с целью совершения мошенничества». Троих россиян приговорили к двум годам заключения с последующей депортацией. Гражданин Казахстана, получивший убежище в США по религиозным соображениям, согласился сотрудничать с правоохранительными органами.

В 2016 году сингапурские власти поймали ещё одного члена команды хакеров. Им оказался чех Радослав Скубник, который рассказал, что 90 процентов всех доходов группировки уходит в Санкт-Петербург. Также стало известно, что после громкого ареста мошенники изменили тактику поведения в казино — стали прятать смартфон в нагрудный карман рубашки. Теперь мошенники передают потоковое видео в Россию через Skype, так что им не нужно отходить от игрового автомата.

По данным Wired, преступная схема продолжает работать и по сей день, поскольку владельцы заведений не готовы отказаться от популярных игровых автоматов со старым алгоритмом выдачи псевдослучайных чисел. Новую технику придётся проверять на соответствие строгим техническим стандартам, что таит в себе значительные расходы — много большие, чем возможные потери от действий хакеров.

«Таким образом, сотрудникам служб безопасности казино прибавилось работы, чтобы следить за намёками на использование взломов. Палец, который задерживается слишком долго над кнопкой спина может быть такой подсказкой. Только пока хакеры в Санкт-Петербурге не придумали что-нибудь ещё», — заключает издание.


Перевод публикации Wired на русский язык можно прочитать здесь.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Горячие события

EMERGE 2020
1 июня — 3 июня

EMERGE 2020

Вебинар «Советы от рекрутеров: как найти квалифицированную работу в Европе»
4 июня

Вебинар «Советы от рекрутеров: как найти квалифицированную работу в Европе»

Читайте также

Троян атакует компьютеры белорусских госструктур
Троян атакует компьютеры белорусских госструктур

Троян атакует компьютеры белорусских госструктур

1 комментарий
Россия на полгода перенесла обязательную предустановку отечественного софта
Россия на полгода перенесла обязательную предустановку отечественного софта

Россия на полгода перенесла обязательную предустановку отечественного софта

2 комментария
«Хорошее время поработать по 16 часов». Что с компаниями, завязанными на Россию
«Хорошее время поработать по 16 часов». Что с компаниями, завязанными на Россию

«Хорошее время поработать по 16 часов». Что с компаниями, завязанными на Россию

Компания Andersen написала в Facebook пост, в котором предположила падение зарплат и сокращения в офисах разработки российских компаний/ аутсорсеров с российскими клиентами (10% разработки в Беларуси идёт на Россию). dev.by попытался выяснить у таких бизнесов, скажется ли на них ситуация с падением российского рубля, и нет ли угрозы проектам и сотрудникам.
6 комментариев
Хакеры крадут данные через трекеры коронавируса
Хакеры крадут данные через трекеры коронавируса

Хакеры крадут данные через трекеры коронавируса

Обсуждение

1

это у них там какие-то простые конгруентные генераторы на малоразрядных числах стояли что ли? просто сложно себе представить, как для более-менее сложных можно в онлайне предсказывать генерацию, да еще и не напрямую, а косвенно, по игре.

0

А в чем преступление?

0

Казино обокрали ))) Им-то можно, а их - низззя, уже нечестно ж :D

0

в том же, в чем и вынос имущества через незакрытую дверь: приобретение благ против воли законного владельца

0

аналогия неуместная. то, что "за дверью" предназначено для раздачи тем, кто сумеет эту дверь приоткрыть. нигде не сказано, что для этого допускается использовать только собственный ум.

5

Уместная. Публично доступные правила казино принимаются клиентом по факту входа. Техсредства везде вне закона. Плюс право отказать в игре до начала кому угодно (против т.н. "счетчиков"). Не нравится такое казино -- найди другое, Вегас большой :)

0

что значит "публично доступные"?

0

каждое из слов следует понимать буквально
ровно как вы понимаете и принимаете Terms of Service, начиная пользовать любую услугу -- силком к автомату никто не загоняет

2

В использовании технических устройств, повышающих вероятность выигрыша. Вот если бы они нашли простую закономерность, которую бы можно было без смартфонов и серверов использовать, то судебного преследования бы не было. Например, загуглите Michael Larson.

0

Для начала интересно узнать было бы, откуда они взяли алгоритмы генераторов конкретных типов машин, чтобы потом определять переменные расчета спинов.

1

на хабре пісали, что когда рашенька прикрыла у себя игровой бизнес, автоматы распродавались по пять рублей за пучок; умные люди и прикупили себе на реверс энное количество, чтобы потом пойти бомбить изученные модели (производителей-то автоматов не так много)

-4

Молодцы, заработали на своих знаниях ))

4

примерно как химики, синтезирующие очередную наркоту

0

отличный сценарий для фильма

0

доброго времени суток спб.

ищу партнеров кто решил вопрос с математическим прогнозированием с##т + андроид .

в жабу + otr : farenberg@swissjabber.ch

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже