Riot richiede un software anti-cheat a livello di kernel

I giocatori di League of Legends e Valorant sono costretti a utilizzare software di basso livello closed source.

Closed Beta Key Art

Riot continua a spingere il suo software anti-cheat Vanguard, richiedendo ora ai giocatori di League of Legends di installare un software che viene eseguito all'avvio del computer anche quando non si sta giocando. Vogliamo davvero che l'esecuzione di software closed-source a livello di kernel diventi la nuova norma nel gioco online?


Indice dei contenuti:

  1. Vanguard: La soluzione anti-cheat della Riot
  2. Vanguard: Cos’è e come funziona?
  3. L’accesso a livello di kernel offre un controllo quasi totale del dispositivo
  4. Di chi possiamo fidarci?
  5. Chi è Tencent?

Quando i giochi diventano sempre più competitivi, quando si possono vincere grandi somme di denaro nelle arene di e-sport, gli imbrogli non tardano ad arrivare. Riot Games, l’azienda dietro a League of Legends (LoL) e Valorant, ha introdotto un software anti-cheat noto come Vanguard. Questa pratica non è nuova nello spazio dei giochi online, ma Vanguard ha attirato le critiche dei giocatori e degli appassionati di privacy. Vanguard viene eseguito a livello del kernel del sistema operativo, il che lo colloca tra le applicazioni in esecuzione sul sistema e l’hardware fisico. Se questo non bastasse a far sollevare un sopracciglio, una volta installato il software è sempre attivo, indipendentemente dal fatto che si stia giocando o meno a uno dei giochi online di Riot. Questo livello di accesso completo al sistema, unito all’acquisizione di Riot Games da parte del gigante tecnologico cinese dietro WeChat e QQ, Tencent, ha suscitato un certo allarme. Oggi analizzeremo più a fondo come funziona il software anti-cheat di Riot e cosa significa il rapporto della società con Tencent per i giocatori preoccupati per la loro privacy e sicurezza.

Avanguardia: La soluzione anti-cheat di Riot

Il software Vanguard è stato introdotto per la prima volta quando Riot ha rilasciato lo sparatutto in prima persona nel giugno del 2020. Il software Vanguard ha subito attirato le critiche dei ricercatori e dei giocatori più attenti alla sicurezza, perché funziona a un livello molto più profondo rispetto ad altre applicazioni che possono essere installate sul PC di un utente. Vanguard viene eseguito a un livello basso del sistema, noto come kernel. Il kernel del sistema operativo è l’intermediario tra le applicazioni software e i componenti hardware del computer. Qualsiasi cosa venga eseguita a livello di kernel ha accesso quasi illimitato a tutto ciò che accade sul dispositivo, e questo è l’obiettivo dei malintenzionati che cercano di scrivere rootkit in modalità kernel. Notoriamente difficili da rimuovere, i rootkit a livello kernel possono eludere i software antivirus alterando il sistema operativo o lo stesso AV. Vale la pena chiedersi perché League of Legends richiede questo tipo di accesso per il suo software anti-cheating. Si tratta di un’esagerazione o di una pratica comune di gestione dei diritti digitali (DRM)?

Sony BMG ha installato segretamente un software rootkit di protezione DRM sui dispositivi degli utenti e ha registrato le informazioni di ascolto anche se gli utenti hanno rifiutato il contratto di licenza con l’utente finale. Riot sta cercando disperatamente di evitare questo confronto e ha rilasciato diverse dichiarazioni sul proprio sito web, adottando un approccio il più trasparente possibile. Vanguard è stato rilasciato closed source per evitare che gli sviluppatori di cheat avessero accesso diretto al codice sorgente, ma sfortunatamente questo ci nega anche la possibilità di vedere cosa esattamente stiamo concedendo a tutti i dispositivi.

Software anti-cheat: Cos’è e come funziona?

Vanguard “consiste in un client che viene eseguito mentre VALORANT è attivo, oltre all’utilizzo di un driver in modalità kernel”. Il client di Vanguard si avvia non appena il PC viene acceso e continua a funzionare in background effettuando una scansione per assicurarsi di non rilevare alcun cheat noto che garantirebbe un vantaggio ingiusto nel gioco, oltre a verificare la presenza di vulnerabilità del sistema che possono essere sfruttate da software di cheat. È possibile disattivare il client Vanguard, ma non sarà possibile giocare a Valorant o LoL senza prima riavviare il computer.

Vanguard funziona in due modi: innanzitutto lancia un driver in modalità kernel non appena si accende il computer. Questo driver esegue una scansione delle vulnerabilità note in altri driver e blocca quelle che possono essere utilizzate per eludere il client anti-cheat del gioco. Il client anti-cheat viene eseguito mentre si gioca e controlla se vengono utilizzati trucchi noti. Se il driver in modalità kernel non viene avviato all’avvio del computer o se è stato disattivato prima di iniziare una partita, i server Riot non si fideranno del dispositivo e non sarà possibile giocare fino a quando non si riavvierà il computer e si consentirà a entrambi i software anti-cheat di funzionare come previsto. All’avvio, il client di Vanguard verrà visualizzato nella barra delle notifiche, in modo da sapere sempre quando è in esecuzione.

Vanguard must be launched when the machine first boots otherwise you won't be playing any games without a restart. Vanguard must be launched when the machine first boots otherwise you won't be playing any games without a restart.

Se Vanguard non si avvia all’avvio del computer, è necessario riavviare il computer prima di giocare.

Utilizzando questo software anti-cheat di basso livello, Riot è in grado di rilevare e prevenire gli imbrogli sul dispositivo dell’utente finale che esegue il software illecito prima che questo raggiunga i suoi server. Si tratta di un modo efficace per combattere gli hack e i programmi di cheat che danno un vantaggio a un giocatore rispetto a un altro, come il puntamento automatico. Ciò consente di impedire in modo efficace agli hacker di dominare completamente le partite con tattiche e script sleali che garantiscono la vittoria.

Poiché l’anti-cheat Vanguard funziona a livello di kernel, è in grado di identificare l’hardware specifico del vostro dispositivo e di utilizzare questo ID per bloccare meglio il vostro dispositivo dall’accesso ai giochi, nel caso in cui veniate sorpresi a eseguire un software di cheating. Va detto che il sistema anti-cheat di Vanguard ha avuto un grande successo nel ridurre la quantità di imbrogli sia in Valorant che in League of Legends, il che si traduce in un’esperienza di gioco più piacevole per coloro che non utilizzano software per imbrogliare i giochi.

Con l’esecuzione a livello di kernel, Riot sta prendendo la strada più bassa.

Secondo Riot, l’esecuzione del software anti-cheat a livello di kernel è necessaria per avere una possibilità di combattere l’uso di software di cheating.

A visualization of relationship between OS and Kernel layers. A visualization of relationship between OS and Kernel layers. Il Vanguard di Riot deve essere eseguito a livello di kernel? È possibile mantenere i giochi equi e prevenire gli imbrogli senza compromettere la sicurezza? Secondo me, questo è un passo troppo lungo.

Nel difendere la scelta di distribuire Vanguard a questo livello, Riot solleva i seguenti punti principali:

  1. Gli sviluppatori di software di cheat stanno già rilasciando cheat che operano a questo livello. Se Riot vuole combatterli, deve farlo a livello di kernel.
  2. Molte altre aziende stanno già utilizzando software simili per prevenire gli imbrogli.
  3. ”Sostenendo che se volessero rubare dei dati, ad esempio una ricetta segreta, potrebbero già farlo in modalità utente.

Questa difesa non è affatto rassicurante. Certo, il primo punto è corretto, ma gli altri due non tranquillizzano il giocatore scettico. Non importa se altre aziende distribuiscono software a livello di kernel senza divulgare il proprio codice, la pratica in sé dovrebbe destare preoccupazione e non dovremmo accettarla come la nuova normalità.

Il terzo punto è particolarmente preoccupante e merita una discussione più ampia. Esiste un’enorme differenza di privilegi tra la modalità utente e la modalità kernel. Certo, entrambe le modalità possono accedere ai file e alle immagini non criptate del disco rigido, ma l’accesso al kernel offre un grado di controllo dell’intero dispositivo, hardware e software compresi, che la modalità utente non ha.

L’approccio always-on di Vanguard al software anti-cheat lo rende unico.

Riot non è l’unica azienda che utilizza software anti-cheat a livello di kernel. Ci sono altri attori nello spazio anti-cheat e altri due pacchetti software popolari che funzionano a livello di kernel sono Easy Anti-Cheat e BattlEye. Come Vanguard, questi programmi vengono eseguiti al livello più basso delle macchine dei giocatori, ma c’è una differenza sostanziale tra i tempi di funzionamento di queste alternative. A differenza della soluzione Riot per il cheating, Easy Anti-Cheat e BattlEye di Epic funzionano solo mentre il giocatore sta giocando e non richiedono lo stato di “always-on”. Questo non solo fa sì che i giocatori si sentano meno “osservati” dall’inquietante possibilità di accesso persistente al kernel, ma fornisce anche un certo grado di protezione. Se Vanguard dovesse essere compromesso, tutte le macchine che lo utilizzano e che sono accese potrebbero essere colpite da exploit semplicemente perché il software è sempre in esecuzione. I giocatori che utilizzano la soluzione di Epic potrebbero non essere esposti ad attacchi se il software non è in esecuzione mentre svolgono altre attività sul proprio computer.

Sempre attivo non significa sempre sicuro.

Riot è affidabile?

Gli utenti di vari forum di gioco sparsi per il web hanno espresso il timore che questo software possa rallentare il PC o causare problemi all’hardware. Al momento, tutte le segnalazioni o le affermazioni relative all’insorgere di errori o problemi sono aneddotiche e Riot non ha confermato alcun problema di compatibilità. Riot sta inoltre rilasciando regolarmente delle patch per assicurarsi che gli utenti che utilizzano il suo anti-cheat abbiano pochi o nessun errore. Se riscontrate problemi con il vostro dispositivo o con i giochi dopo aver installato Vanguard, assicuratevi di contattare il team di supporto di Vanguard.

Vanguard warning notification example from Riot Customer Support site. Vanguard warning notification example from Riot Customer Support site.

Esempi come questo fanno temere che il software alimentato dall’intelligenza artificiale possa rappresentare una minaccia per la sicurezza.

Certo, l’uso del software Vanguard da parte di Valorant e LoL ha portato a una diminuzione degli imbrogli, ma questo significa che dovremmo accettare che la scansione anti-cheat a livello di kernel, sempre attiva e alimentata dall’intelligenza artificiale, diventi la soluzione predefinita per le aziende che cercano di reprimere gli attori malintenzionati? Dobbiamo preoccuparci che il successo del software Vanguard ispiri gli sviluppatori di tutto il mondo a richiedere l’accesso al livello del kernel per il loro software?

Il successo dell’anti-cheating non garantisce la fiducia

Al di là di queste preoccupazioni, è importante guardare all’azienda stessa. Dobbiamo fidarci di Riot? La società è stata spesso oggetto di battute sulla qualità del codice e le sue pratiche di sicurezza sono state messe in discussione anche in seguito agli eventi di violazione che hanno visto la fuga del codice sorgente di League of Legends. La stessa Riot ha lanciato un avvertimento riguardo all’aumento di nuovi cheat utilizzati nei suoi giochi in seguito a questo incidente. Questi precedenti non ispirano molta fiducia e i giocatori hanno ragione a preoccuparsi di lasciare che il software anti-cheat di LoL abbia libero accesso alle loro macchine.

A prescindere da questa reputazione, la questione della fiducia diventa ancora più spinosa se consideriamo chi è il proprietario della società. Tencent.

Tencent: la discutibile società madre

Il gigante tecnologico cinese Tencent ha assunto la piena proprietà di Riot Games nel 2011. Questo ruolo di proprietà crea un interessante livello di preoccupazione quando si valuta se si vuole eseguire software a livello di kernel sui propri dispositivi senza poter esaminare il codice in prima persona. Ascoltatemi bene, non voglio fare la figura dell’imbecille, ma in questo modo si concede l’accesso completo al dispositivo all’azienda che sta dietro a WeChat, QQ, che svolge un ruolo attivo nel funzionamento dei punteggi del credito sociale nella Cina continentale. I giocatori preoccupati hanno espresso il timore che, nel caso in cui venisse trovata una vulnerabilità zero-day e non venisse rivelata a Riot attraverso il suo programma di bug bounty, questa potrebbe rappresentare una grave minaccia per coloro che utilizzano il loro software. Teoricamente questo potrebbe permettere a un malintenzionato con una vulnerabilità zero-day di mandare in tilt i dispositivi su cui è installato Vanguard. Vale la pena considerare i rischi di permettere a un software che potrebbe cadere nelle mani di un governo autoritario di avere un accesso quasi completo al vostro dispositivo e ai vostri dati.

Software anti-cheat e valutazione del rischio di APT

Sappiamo che Weixin (la versione cinese di WeChat) di Tencent dispone di importanti funzioni di censura e sorveglianza. Questo fa temere che Vanguard possa essere vittima di misure invasive simili. Si tratta di speculazioni, ma se si scorrono le sezioni dei commenti sotto gli articoli che discutono di Vanguard e della sua inclusione in League of Legends, questa preoccupazione viene spesso menzionata. La proprietà di Riot da parte di Tencent solleva anche questioni riguardanti le restrizioni alla libertà di parola all’interno della chat di gioco. Riot ha già preso provvedimenti per cercare di limitare la tossicità della chat, ma i critici sostengono che questa lista di parole a “tolleranza zero” sia stata portata all’estremo.

In definitiva, la decisione di utilizzare questo software spetta ai giocatori. Se League of Legends vale la pena di offrire un potenziale controllo totale all’azienda che sta dietro a WeChat, la decisione spetta a voi. Tuttavia, dovrebbe essere chiaro a tutti i giocatori cosa sia esattamente questo software, a cosa abbia accesso e chi ci sia dietro. Se non siete disposti a eseguire questo software, ci sono altri giochi da fare.

Un furbo lettore di Ars Technica ha colto nel segno quando ha chiesto : “Devo davvero fidarmi di andare sotto i ferri con il vostro anestetico più potente e pericoloso per rimuovere una scheggia di videogioco?“.