Если вкратце: мы обнаружили критический дефект некоторых материнских плат, который может использоваться для скрытого внедрения кода. Если эта проблема затронула вашу систему, Vanguard с помощью нашей службы VAN:Restriction предложит вам обновить прошивку вашей материнской платы.

Приветствуем вас, демоны рейтинга.

Меня зовут Мохамед, а некоторые из вас могут знать меня под псевдонимом ItsGamerDoc в соцсети X. Это первая официальная статья, которую я пишу для Riot. Мы в нашей античит-кухне работали не покладая рук, раздавая читерам аппетитное угощение из блокировок, но сегодня я хочу поговорить не об этом. Вместо этого я хочу уделить внимание тому, что мы готовили в потайном уголке кухни: мы создали рецепт мер безопасности, благодаря которому DMA-читы... протухнут окончательно.

Ладно, хватит метафор. В самом ближайшем будущем система Vanguard начнет внедрять более строгие проверки безопасности при загрузке системы для некоторых игроков.

Почему, спросите вы? Дело в том, что ранее в этом году мы обнаружили критическую неполадку, затрагивающую некоторые современные материнские платы. Эта неполадка давала аппаратным читам возможность незаметно внедрять код, даже когда настройки безопасности вроде бы были включены.

Далее – подробнее о причинах этого явления и, что самое важное, о том, что делать, если оно затронуло вас.

Проблема "Что загружается раньше?"

Чтобы понять это изменение в работе системы безопасности, нужно знать, как обычно загружается ваш компьютер. Как только включается питание, компьютер предоставляет пользователю наибольший набор привилегий: у вас есть полный и неограниченный доступ ко всей системе и всем подключенным устройствам. Загрузка системы начинается с загрузки и выполнения ее первоначальной прошивки (обычно это UEFI), затем запускается цепочка инициализации устройств, ПО и средств безопасности. Только после всего этого контроль наконец переходит к операционной системе, которую мы чаще всего и считаем "компьютером".

Все это создает следующую проблему: компоненты, загружающиеся раньше, обычно имеют больше привилегий и могут манипулировать компонентами, загружающимися позже. Создатели читов понимают это очень хорошо. К сожалению, ОС, в которой запускается ваша игра, загружается в самом конце. Это значит, что читы могут загрузиться рано, получить больше привилегий и успешно спрятаться в системе, прежде чем у ОС и программ, запускаемых в ней, появится возможность защитить себя.

К счастью, уже существуют такие средства безопасности, как Secure Boot, VBS и IOMMU. В большинстве случаев они обеспечивают эффективную защиту от такой атаки, если включены и работают правильно.

Стратегия Vanguard проста: создать заслон вокруг ядра Windows как можно раньше, чтобы обеспечить безопасность системы. Если чит загружается раньше наших средств безопасности, у него больше шансов спрятаться там, где мы не сможем его найти. Это дает читам возможность избегать обнаружения и нарушать корректную работу игр дольше, чем нам хотелось бы.

Открытие: спящий вышибала

Помните уже существующие средства безопасности, эффективно борющиеся с этой проблемой (если они включены), о которых мы только что рассказали? Поговорим подробнее об одном из них – IOMMU.

Уже несколько лет самый эффективный (и дорогой) вид читов использует устройства DMA (прямого доступа к памяти).

Карты DMA – это устройства, которые подключаются к вашему ПК и напрямую взаимодействуют с оперативной памятью в обход процессора и Windows. Для их нейтрализации используется аппаратная функция под названием IOMMU (Input-Output Memory Management Unit). IOMMU можно считать своеобразным вышибалой для оперативной памяти: эта функция проверяет идентификатор каждого устройства, пытающегося получить доступ к памяти, и закрывает доступ тем, которых нет в списке приглашенных.

"Защита от прямого доступа к памяти до загрузки системы" (Pre-Boot DMA Protection) – это средство безопасности, которое присутствует в BIOS или прошивке многих устройств и использует IOMMU системы, чтобы предотвратить несанкционированный прямой доступ к памяти на ранних этапах процедуры загрузки. Это дает некоторую степень уверенности в том, что ОС загрузилась на системе, которая не пострадала от действий злоумышленников. В теории это здорово... Но это также означает, что ОС приходится доверять самому средству безопасности.
Именно это обнаружилось в ходе исследований, проведенных командой Vanguard. В некоторых случаях прошивка, созданная производителем оборудования, подавала ОС ложный сигнал о том, что средство безопасности работает, когда на самом деле она не могла должным образом запустить IOMMU на раннем этапе загрузки.

Это означало, что функция защиты от прямого доступа к памяти до загрузки системы выглядела включенной в BIOS, но при этом аппаратные компоненты не запускали IOMMU должным образом в первые секунды процесса загрузки. По сути, казалось, что "вышибала" охраняет систему, но на самом деле он спал на посту. Так что к моменту полной загрузки системы не могло быть уверенности в том, что никакой вредоносный код не внедрялся с помощью DMA.

Это небольшое окно – все, что нужно продвинутому аппаратному читу, чтобы проникнуть в систему, внедрить код и скрыться до активации Vanguard.

Решение: объединенное обновление.

Ранее в этом году мы поделились результатами своих исследований с нашими партнерами среди производителей оборудования, и они с энтузиазмом подошли к сотрудничеству, подтвердив наличие проблемы и выпустив масштабные обновления BIOS, призванные устранить эту уязвимость. 

Необязательно верить нам на слово. По ссылкам ниже вы можете ознакомиться с рекомендациями по безопасности от крупнейших производителей оборудования. 

Благодаря этим обновлениям, когда вы активируете функции безопасности, они будут работать с самых первых миллисекунд после включения питания.

Что делать, если на меня будут наложены ограничения?

Наша система VAN:Restriction позволяет Vanguard предупредить вас о том, что мы не можем гарантировать безопасность системы, потому что перечисленные средства безопасности были отключены. Это ограничение  не позволит вам запустить VALORANT, и вы увидите всплывающее окно, в котором указано, какие функции нужно включить, чтобы продолжить играть. Эти ограничения применяются на уровне учетной записи или идентификатора оборудования, когда мы обнаруживаем подозрительное поведение оборудования или статистические аномалии. Такие аномалии могут возникнуть из-за различных факторов, среди которых отключенные средства безопасности или, в данном случае, недавно обнаруженная уязвимость до загрузки, которая лишает IOMMU эффективности. Если вы получили одно из таких предупреждений, это не обязательно означает, что мы подозреваем вас в использовании читов. Это означает, что ваша текущая конфигурация системы слишком похожа на ту, которую используют читеры, чтобы обойти средства безопасности и избежать обнаружения посредством Vanguard. 

Эти средства безопасности являются минимально необходимыми для борьбы с читерами. Если на вас наложено ограничение, вам будет предложено либо включить данные средства, либо обновить прошивку вашей материнской платы, действуя в соответствии с официальной инструкцией производителя вашего оборудования, прежде чем вы сможете играть. На следующей странице сайта поддержки вы можете найти более подробную информацию об ограничениях

Мы также исследуем возможность распространения этого требования на всех игроков с самым высоким рангом (Вознесшийся и выше), чтобы создать безопасную среду на верхних уровнях рейтинга.

Цель

Обновлять BIOS, конечно, не так интересно, как узнавать количество заблокированных нарушителей. Но это необходимый шаг в нашей гонке вооружений с аппаратными читами. Устранив данную уязвимость, наблюдаемую до загрузки системы, мы нейтрализуем целый класс доселе непобедимых читов и делаем последствия нечестной игры значительно более ощутимыми.

Вся эта ситуация  сделала возможным великое достижение не только для наших античит-систем, но и для всей игровой индустрии. Если бы эту неполадку не нашли, она бы сделала неэффективными все существующие на данный момент технологии для обнаружения DMA-читов и борьбы с ними, в том числе технологии других издателей игр. Это было бы возможно благодаря тому, что читы этого вида действуют в привилегированной среде, где обычно не работают античит-системы.

Если вы не хотите сталкиваться с этой проблемой и отвлекаться от игры, вы можете самостоятельно обновить свою материнскую плату, установив последнюю версию прошивки с сайта ее производителя. Повышать безопасность игровой индустрии в целом – важная задача для нас начиная с 2021 года. Применение этих строгих мер теперь можно наблюдать по всей отрасли, о чем свидетельствуют такие статьи как "Строим будущее игр, основанное на доверии: как безопасность обеспечивает честную игру.", выпущенная Xbox. Борясь с мошенничеством, без этих фундаментальных мер безопасности обойтись нельзя. Мы гордимся тем, что первыми внедрили эти передовые меры безопасности, и стремимся обеспечить честную и прозрачную соревновательную среду для всех.

Мы понимаем, что поддержание системы в актуальном состоянии требует определенных усилий. Благодарим вас за то, что вы помогаете нам сделать игры честными и безопасными для всех. Если у вас возникнут вопросы, обратитесь в службу поддержки Riot. Мы сможем предоставить вам общие рекомендации или помочь вам найти официальные ресурсы производителя оборудования.