[STIRI IT] Sistemele anti-cheat cu acces kernel-level ar putea cauza blocaje similare incidentului CrowdStrike, dar care vizează PC-urile de gaming

[exedus]

 

Folosite pentru detectarea trișorilor în jocuri precum Counter-Strike 2, League of Legends și Valorant, sistemele anti-cheat de tip kernel-level sunt vulnerabile la atacuri informatice, hackeri bine motivați căutând să le infiltreze pentru a folosi drepturile de acces aproape nelimitate pe acestea le au asupra PC-urilor Windows.

Ca principiu de funcționare, sistemele anti-cheat urmăresc comportamentul aplicațiilor active în memoria RAM în timp ce acestea rulează, dând alarma la detectarea oricăror indicii privind alterarea intenționată a jocului respectiv (ex. injectarea de cod ce modifică anumite funcții din joc, interacțiuni nepotrivite între partea de software și cea de hardware, etc). Iar pentru ca detecția să fie eficientă e nevoie ca sistemul anti-cheat să aibă drepturi de acces cât mai ample asupra sistemului de operare, dezvoltatorii cerând și obținând din partea Microsoft mult râvnitul acces kernel-level.

Am văzut deja ce se poate întâmpla atunci când Microsoft acordă unei terțe aplicații drepturi de acces nelimitate asupra nucleului Windows, incidentul Crowdstrike în urma căruia milioane de PC-uri s-au blocat în mod simultan cu ecran BSOD (Blue Screen of Death) fiind consecința unei erori de programare strecurată într-o astfel de aplicație cu acces kernel-level. Odată ce o aplicație cu acces kernel-level se blochează din cauza unui bug, singurul răspuns de autoprotecție pe care sistemul de operare îl poate da este declanșarea erorii BSOD urmată de repornirea imediată a PC-ului. Iar dacă software-ul respectiv este configurat să ruleze la pornirea PC-ului putem avea acel șir nesfârșit de reporniri cu ecran BSOD, computerul devenind inutilizabil.

Dar dacă un actor rău intenționat profită de politicile de securitate relaxate ale unei companii precum Crowdstrike nu pentru a cauza haos la nivel global, ci pentru a transforma software-ul respectiv într-un cărăuș pentru infiltrarea a milioane de PC-uri cu aplicații malware, folosind privilegiile kernel-level pentru a împiedica detecția și lăsa programele antivirus complet neputincioase, atunci efectele pot dura luni de zile.

Ei bine astfel de incidente au avut loc deja, ESEA și Vanguard fiind două exemple notabile de sisteme anti-cheat la nivel de kernel, infiltrate cu programe nedetectabile de minare bitcoin și bug-uri declanșatoare de erori BSOD.

Din păcate, chiar și atunci când funcționează așa cum au fost intenționate, sistemele anti-cheat de tip kernel-level cauzează tot felul de probleme, de la încetiniri inexplicabile de performanță până la crash-uri și probleme de funcționare în aplicații care nu au nicio legătură cu jocul respectiv.

Spre deosebire de Crowdstrike, partenerul Microsoft identificat a fi la originea uriașei pene informatice care a blocat activitatea aeroportului și instituțiilor din lumea întreagă, efectele compromiterii unui software anti-cheat ar fi limitate la comunitatea de gaming și doar acele jocuri care folosesc sistemul respectiv. Problema este că, din nou, simpla instalare a unui joc conferă dezvoltatorului respectiv o putere uriașă asupra PC-ului tău, fiind destul cazuri unde ajustări aduse pentru combaterea unui nou tip de cheat se răsfrâng asupra jucătorilor de bună credință, sub forma blocajelor cu eroare BSOD.

Deși în urma incidentelor precum Crowdstrike presiunea pe renunțarea la soluțiile cu acces kernel-level, realitatea este că o mulțime de jocuri folosesc astfel de scheme anti-cheat, dezvoltatorii acestora considerând mai importantă protecția împotriva trișorilor și pirateriei software, decât bune practici de securitate de pe urma cărora ar avea de câștigat toți utilizatorii jocurilor respective.

SURSA