Инспектирование и ИТ-аудит розыгрышей в Кыргызстане
Электронно-цифровые способы определения победителей, находящиеся под контролем организаторов лотерей и розыгрышей, обладают существенными недостатками, которые в ряде случаев не гарантируют подлинную случайность выбора. Генераторы случайных чисел, применяемые для проведения лотерей в Кыргызстане, Казахстане, Таджикистане или Узбекистане, как правило разработаны самостоятельно организатором лотереи или же являются заимствованными. И даже если лотереей предуcмотрено использование внешнего генератора случайных чисел, подключение к которому происходит по сети Интернет, то и такие результаты могут быть подменены в сети организатора. К удалённым генератором можно отнести наиболее популярные: random.org, lisaonair.com, giveawation.com, randstuff.ru, fanpagekarma.com, giveaways.ru, online-generators.ru и многие другие.
Способы обмана генератора случайных чисел
Существует несколько основных способов обмана генераторов случайных чисел, применяемых недобросовестными организаторами при проведении стимулирующий лотерей или розыгрышей. Для этого используются локальные и удалённые (внешние) генераторы случайный чисел. При этом даже добросовестные организаторы могут доверить техническую сторону подведения результатов лотереи недобросовестным техническим исполнителям, которые с лёгкостью могут реализовать один из описанных ниже способов.
- Псевдогенератор случайных чисел. Разработанное организатором или по его заказу программное или программно-аппаратное решение для определения победителя лотереи заведомо обладает особым функционалом, который позволяет организатору заранее определить нужного победителя. При этом все остальные результаты выбора, если выбор осуществляется, к примеру, по списку первой десятки, могут действительно быть случайными, но главный приз достанется подставному лицу для сокращения расходов на проведение лотереи.
- Перехват сообщения. При организации финального розыгрыша с использованием любого из внешних генераторов случайных чисел у недобросовестных организаторов сохраняется техническая возможность перехвата и подстановки результатов, возвращаемых в качестве случайного числа или последовательности. Перехват и подмена проводится по модели MitM (Man in the Middle, «человек посередине») в пределах контролируемой организатором сети или непосредственно на компьютере или ноутбуке организатора. Наличие такого механизма подмены совершенно невозможно определить по внешним признакам — для любых сторонних наблюдателей результаты розыгрыша будут выглядеть абсолютно достоверными.
- Подмена содержимого буфера обмена. Редко используемый, но тем не менее иногда применяемый способ, при помощи которого происходит подмена длинного списка победителей после того, как он был скопирован из выдачи настоящего генератора случайных чисел. В этом случае задачей недобросовестного технического исполнителя также будет являться необходимость помешать видеосъёмке этого процесса или же обеспечить присутствие своего видеооператора, чтобы впоследствии никто не смог обнаружить различие между списком победителей, определённым генератором, и списком, опубликованным организатором лотереи. В некоторых случаях технический исполнитель, отвечающий за перенос списка победителей из он-лайн генератора в локальную таблицу, только имитирует процесс копирования, поскольку список подставных победителей был уже заранее занесён в буфер обмена перед началом проведения розыгрыша. В отсутствии видеозаписи только очень внимательный внешний наблюдатель может заметить такую подмену.
- Псевдоэфир или трансляция в записи. Менее подготовленные в техническом плане организаторы лотерей могут записать множество дублей, стараясь добиться, чтобы нужный им победитель был определён настоящим генератором случайных чисел, выдав впоследствии такую запись за трансляцию прямого эфира. Подобная запись может также демонстрироваться в качестве прямого эфира для независимых наблюдателей под предлогом того, что личное присутствие в помещении, где проводится лотерея, запрещено из-за требований службы безопасности по ограничению допуска посторонних лиц.
- Подмена сервиса. В других случаях недобросовестные организаторы лотерей могут целиком подделать внешний сервис генерации случайных чисел, — то есть полностью воссоздать свой веб-сайт, который внешне ничем не будет отличаться от настоящего. Особенности работы сети Интернет таковы, что даже доменное имя настоящего сайта-генератора может быть с лёгкостью присвоено организатором в подконтрольной ему сети или в границах применяемого для проведения розыгрыша компьютера. Как и в случае с перехватом сообщения, внешние наблюдатели также не смогут распознать подмену сервиса и будут заведомо доверять любым результатам лотереи, полученных таким способом. Ниже вы можете ознакомиться с видео-демонстрацией этого способа обмана, подготовленного нашими специалистами.
Как проверить честность результатов розыгрыша или лотереи
Единственным способом получения высокой степени уверенности в прозрачности и честности определения победителей розыгрыша, стимулирующей лотереи или массового голосования, проводимых с использованием новых информационных технологий, является проведение ИТ-аудита независимой аудиторской фирмой, работники которой никак не связаны с организаторами или техническими исполнителями лотереи, и обладают надлежащей квалификацией для своевременного выявления возможных фактов подлога или вмешательства в процесс выбора победителей.
Квалифицированные эксперты Baker Tilly оказывают услуги по инспектированию и ИТ-аудиту розыгрышей, стимулирующих лотерей или массовых голосований, проводимых с применением новых информационно-коммуникационных методов или цифровых генераторов случайных чисел. Проведение инспекции и сопровождение розыгрышей или лотерей проводится на основании договора и включает в себя непосредственно ИТ-аудит используемых для проведения лотереи технических средств, программного обеспечения и сетевой инфраструктуры, а также формулирование и контроль за реализацией рекомендаций, направленных на устранение возможных рисков, связанных с воздействием на процесс определения победителей лотереи.