Pe scurt: am descoperit un defect critic într-o diversitate de plăci de bază, care poate fi exploatat pentru injectarea de cod pe neobservate. Dacă sistemul vostru este afectat, Vanguard vă va cere prin serviciul nostru Restricție VAN să vă actualizați firmware-ul plăcii de bază.

Salutare, demoni ai clasamentului.

Mă numesc Mohamed, unii dintre voi poate mă știu ca ItsGamerDoc pe X. Acesta este primul meu articol oficial la Riot. Bucătăria anti-trișat lucrează din greu, servindu-le trișorilor polonice pline cu o sățioasă supă de restricții, dar azi nu vreau să mă concentrez asupra blocărilor delicioase care sunt servite. În schimb, vreau să mă axez pe ceea ce s-a gătit în culise: o rețetă de consolidare a securității care pur și simplu fierbe dispozitivele DMA de trișat în suc propriu.

Bun, gata cu metaforele culinare. În viitorul foarte apropiat, Vanguard va începe să aplice verificări mai stricte ale securității la pornirea sistemului pentru anumiți jucători.

De ce? Ei bine, în cursul acestui an am descoperit un defect critic ce afectează o diversitate de plăci de bază moderne. Această problemă le permitea dispozitivelor hardware de trișat să injecteze cod neobservate, chiar atunci când setările de securitate din computerul-gazdă păreau a fi activate.
Iată toate detaliile despre motivul pentru care se întâmplă asta și, mai important, ce să faceți dacă vă afectează și pe voi.

Problema ''Care se încarcă primul?''

Pentru a înțelege această schimbare privind punerea în aplicare, trebuie să discutăm despre cum pornește în mod normal computerul vostru. În clipa în care PC-ul este pus în funcțiune, se află în cea mai privilegiată stare: are acces deplin, nerestricționat la întregul sistem și la toate echipamentele hardware conectate. Sistemul începe prin a încărca și executa firmware-ul său inițial (în general UEFI), care apoi declanșează un lanț de inițializare hardware, software și de securitate. Numai după toate astea transmite în cele din urmă controlul către sistemul de operare, care este ceea ce considerăm noi de obicei a fi ''computerul''.

Problema astfel creată este că componentele care se încarcă mai devreme în acest lanț sunt de obicei mai privilegiate și pot manipula componente care se încarcă mai târziu. Dezvoltatorii de trișări înțeleg acest lucru extrem de bine. Din păcate, sistemul de operare pe care rulează jocul vostru se încarcă aproape de finalul procesului. Asta înseamnă că dispozitivele de trișare se pot încărca mai devreme, obținând privilegii mai mari și ascunzându-se efectiv în sistem înainte ca sistemul de operare sau orice rulează pe el să aibă șanse de a se apăra.

Din fericire, caracteristici de securitate precum Secure Boot, VBS și IOMMU există deja pentru a contribui la asigurarea securității. Și în majoritatea cazurilor, ele sunt eficiente la prevenirea acestui vector de atac, presupunând că sunt activate și funcționează corect.

Strategia Vanguard este simplă: creează un perimetru în jurul kernel-ului Windows, pentru a se asigura că sistemul n-a fost compromis, cât mai devreme posibil. Dacă un dispozitiv de trișare se încarcă înaintea sa, are șanse mai bune de a se ascunde undeva unde să nu-l putem găsi. Asta creează o oportunitate pentru dispozitivele de trișare să încerce să rămână nedetectate, stârnind haos în jocurile tale mai mult timp decât putem tolera noi.

Descoperirea: o gardă de corp adormită

Vă amintiți că, cu câteva momente, în urmă am vorbit despre caracteristicile de securitate existente care fac treabă bună, presupunând că funcționează? Să discutăm despre una dintre ele, IOMMU.

Ani întregi, cea mai eficientă (și scumpă) formă de trișare a implicat utilizarea de dispozitive DMA (Direct Memory Access, acces direct la memorie).

Cardurile DMA sunt dispozitive hardware care se conectează la PC-ul vostru și interacționează cu memoria direct, sărind peste procesor și Windows. Pentru a le opri, ne bazăm pe o caracteristică hardware numită IOMMU (Input-Output Memory Management Unit, unitate de intrare-ieșire pentru gestionarea memoriei). Vă puteți gândi la IOMMU ca la o gardă de corp pentru memoria RAM; acesta verifică ID-ul fiecărui dispozitiv care încearcă să acceseze memoria și le dă afară pe cele care nu se află pe lista invitaților.

''Pre-Boot DMA Protection'' este o caracteristică de securitate prezentă în bios-ul/firmware-ul multor dispozitive, care valorifică sistemele IOMMU pentru a preveni accesul DMA neautorizat la memoria unui sistem pe la începutul secvenței de pornire. Asta oferă sistemului de operare încărcat un anumit grad de încredere că sistemul pe care rulează a fost inițializat cu o anumită integritate previzibilă. Ceea ce e grozav, teoretic... Dar înseamnă și că sistemul de operare trebuie să aibă încredere în caracteristica de securitate însăși.

Și asta este exact ceea ce au descoperit cercetările echipei Vanguard. În unele cazuri, firmware-ul producătorilor de hardware a semnalat incorect sistemului de operare că această caracteristică era pe deplin activă, când de fapt nu reușea să inițializeze IOMMU corect la începutul pornirii.

Asta însemna că, deși setările ''Pre-Boot DMA Protection'' păreau să fie activate în BIOS, implementarea hardware de la baza lor nu inițializa complet IOMMU în primele secunde ale procesului de pornire. În esență, ''garda de corp'' a sistemului părea să fie la datorie, dar de fapt dormea pe scaun. Așa că, atunci când sistemul este complet încărcat, nu poate fi 100% sigur că 0 cod de compromitere a integrității a fost injectat prin intermediul DMA.

Această fereastră scurtă este tot ce-i trebuie unui dispozitiv hardware sofisticat pentru a se strecura înăuntru, a injecta cod și a se ascunde înainte ca Vanguard să se trezească.

Soluția: o actualizare unificată

Mai devreme anul acesta, am comunicat descoperirile noastre partenerilor noștri hardware, iar aceștia au colaborat excelent cu noi în cadrul acestui proces, validând problema și producând actualizări cuprinzătoare de BIOS pentru a elimina acest decalaj. 

Nu trebuie să ne credeți pe cuvânt, puteți să arunci o privire la notificările de securitate de la producători hardware importanți: 

Aceste actualizări se vor asigura că, atunci când activați caracteristici de securitate, acestea sunt active din prima milisecundă a pornirii.

Ce să fac dacă primesc o restricție?

Sistemul nostru VAN:Restriction este modul în care Vanguard îți spune că nu putem garanta integritatea sistemului din cauza caracteristicilor de securitate prezentate care sunt dezactivate. Acesta vă va împiedica să lansați VALORANT și veți vedea o casetă pop-up care vă anunță ce anume trebuie să activați ca să continuați să jucați. Aceste restricții sunt aplicate la nivelul contului sau al HWID atunci când detectăm comportament hardware suspect sau anomalii statistice. Aceste anomalii pot apărea din cauza unor factori diverși, printre care caracteristicile de securitate dezactivate sau, în acest caz, recent descoperita problemă dinaintea pornirii, care invalidează IOMMU. Dacă primiți una dintre acest avertizări, nu înseamnă neapărat că vă suspectăm de trișare, ci înseamnă că actuala voastră configurație de sistem este prea asemănătoare cu cea a trișorilor care ocolesc caracteristicile de securitate pentru a deveni nedetectabili pentru Vanguard. 

Această măsură minimă de securitate este esențială ca să contracarăm dispozitivele de trișare. Dacă sunteți restricționați, vi se cere fie să activați caracteristicile menționate, fie  să vă actualizați firmware-ul plăcii de bază urmând indicațiile oficiale ale producătorului, înainte de a putea juca. Puteți afla mai multe despre restricții în această pagină de asistență

În plus, investigăm lansarea acestei cerințe către toți jucătorii de la cel mai înalt nivel de joc (Ascendant și mai sus), pentru a asigura un prag minim de securitate de încredere pentru partea superioară a clasamentului.

Obiectivul

Actualizările BIOS nu sunt la fel de interesante ca analiza cifrelor legate de suspendări, dar reprezintă un pas necesar în cursa înarmării noastre împotriva dispozitivelor hardware de trișare. Eliminând această problemă dinaintea pornirii, neutralizăm o întreagă clasă de mijloace de trișare anterior de neatins și mărim semnificativ costurile jocului care contravine principiilor fairplayului.

Tot acest efort este o realizare importantă, nu doar pentru echipa noastră anti-trișare, ci pentru întreaga industrie de gaming, dincolo de Riot Games. Dacă această problemă trecea neobservată, ar fi redus la zero absolut toată tehnologia existentă de detecție și prevenție DMA aflată în prezent pe piață – incluzând-o pe cea a altor companii de gaming – din cauza naturii acestei clase de dispozitive de trișat care funcționează într-o zonă privilegiată, în care instrumentele anti-trișare nu rulează de obicei.

Dacă vreți să luați măsuri și să aveți parte de o muncă grea neîntreruptă, vă puteți actualiza proactiv placa de bază la cel mai recent firmware, vizitând site-urile producătorilor. Îmbunătățirea situației de securitate per ansamblu a industriei reprezintă un obiectiv de bază pentru noi încă din 2021. Adoptarea acestor măsuri stringente este acum evidentă în întreaga industrie, așa cum se poate vedea în articole precum ''Building a Trusted Gaming Future: How Security Powers Fair Play'' de la Xbox. Aceste baze ale securității sunt non-negociabile în lupta împotriva trișării. Suntem mândri că am fost pionieri ai acestor progrese de securitate și hotărâți să menținem un mediu competitiv corect și de încredere pentru toată lumea.

Apreciem efortul de a vă menține sistemul la zi. Vă mulțumim că ne ajutați să menținem meciurile corecte și sigure pentru toată lumea. Nu ezitați să luați legătura cu serviciul de asistență Riot dacă aveți probleme, iar noi vă putem oferi îndrumări generale sau vă putem îndruma spre resurse oficiale ale producătorului.