Почему читы для игр становятся все больше похожи на зловреды

В мире более 2,5 миллиардов геймеров. Неудивительно, что читы, хаки и моды породили отдельную многомиллионную индустрию.

Fortnite? Overwatch? League of Legends? Если вы слышали об этих играх, но не знаете, что такое аимбот и волхак, и прочие ESP, читайте дальше, и вы поймете, почему порой игроки без оглядки бегут из рейтинговых матчей — и почему это проблема.

Индустрия видеоигр — одна из самых перспективных на сегодняшний день. Только в США в 2018 году доходы от игр составили более 43 млрд долларов. Трансляции киберспортивных мероприятий по кабельному телевидению ежегодно собирают около 400 млн зрителей. Платформы для стриминга, такие как Twitch и Mixer, охватывают еще большую аудиторию.

Существует стереотип, что в компьютерные игры играют в основном подростки и в основном мужского пола. На самом деле это совсем не так. Согласно исследованию ESA (Entertainment Software Association), средний возраст американских геймеров — 34 года, а 45% игровой аудитории — женщины. Один из основных факторов, влияющих на выбор игры, — возможность выхода в онлайн.

Читы, расширяющие возможности игроков, — явление не новое. Но сейчас среди них все чаще встречаются образцы, которые ведут себя очень похоже на вредоносные программы и скрываются от обнаружения с помощью методов, характерных для APT-угроз. Поговорим о том, почему так получилось.

Что такое читинг и как он влияет на игроков и индустрию в целом

Почему использование читов — это проблема? В первую очередь читы портят впечатление от игры у честных геймеров и могут повлечь прямые (непосредственно из-за жульничества) и непрямые (из-за оттока игроков) финансовые убытки для компании, которая не в состоянии эффективно бороться с нарушителями.

Единой общепринятой классификации читов в онлайн-играх нет. Но в целом их можно разделить на две категории: эксплуатацию технологических уязвимостей (клиента, сервера, игровой среды или самой игры) и мошенничество (нарушение конфиденциальности и безопасности других игроков или привлечение инсайдеров). Вряд ли кого-то удивит, что эти две категории часто взаимосвязаны.

Становление серого рынка

На протяжении многих лет краденые игровые аккаунты и внутриигровые ценности можно было купить даже на аукционных площадках, таких как eBay. Сейчас появились специализированные веб-сайты — с их помощью можно быстро поднять уровень в игре или заполучить ценный артефакт.

Также существуют сервисы, где игрок может заплатить деньги за то, чтобы кто-то другой выполнял за него нудные и однообразные действия (гринд). И это лишь верхушка айсберга. Наряду с читами в некоторых сетевых сообществах обменивают и перепродают взломанные учетные записи для игр, VPN-сервисов и порносайтов.

Помимо читов, в некоторых сетевых сообществах обменивают и перепродают взломанные учетные записи для игр, VPN-сервисов и порносайтов

Приведем пример, иллюстрирующий масштабы рынка читов. Некая MDY Industries разработала бот WoWGlider для игры World of Warcraft, аудитория которой на пике популярности составляла около 12 миллионов игроков по всему миру. Всего было продано более 100 000 копий бота по 25 долларов за каждую — так всего один чит сделал своих авторов миллионерами.

Как и в случае с разработчиками вредоносного ПО, юридическая борьба с создателями читов — это долгий и сложный процесс (отчасти потому, что приходится задействовать законодательство сразу нескольких стран). Даже если издатель в итоге добьется благоприятного исхода, эстафету примут другие умельцы, старый чит сменится новым, и все пойдет по кругу.

На волне банов

В январе 2019 года Valve Corporation, создавшая игровую платформу Steam и многие популярные игры, такие как Counter Strike, Dota 2 и многие другие, заблокировала за читерство более миллиона учетных записей. До сих пор эта волна банов считается самой масштабной за всю историю Steam.

Тем не менее игровые форумы по-прежнему завалены сообщениями о том, что читеров становится все больше, из-за чего у честных игроков пропадает желание играть.

В 2018 году сообщество Valve насчитывало 125 миллионов зарегистрированных пользователей, и Steam по-прежнему остается ведущей игровой платформой для ПК. Компания предлагает издателям и разработчикам удобную и доступную среду для монетизации своих продуктов.

Одна из возможностей Steam, позволяющая сервису удерживать лидирующее положение, — система VAC (Valve Anti-Cheat), которая обнаруживает читы на компьютерах пользователей и блокирует их. Завести новый аккаунт в Steam взамен забаненного несложно, но функциональность платформы будет ограничена, пока пользователь не предоставит определенную информацию о себе (например, номер телефона или карты). При этом данные обязательно проходят проверку.

Механизм работы античит-решений не раскрывается. Принцип «безопасность через неясность» работает здесь как нельзя лучше, заставляя читеров гадать, как именно их обнаружили. Однако случается, что такие системы срабатывают при простом веб-поиске, не давая игрокам присоединиться к матчам, если при сканировании памяти нашелся подозрительный запрос со словом «чит». Кроме того, систему VAC обвиняли в том, что она отслеживает DNS-запросы пользователей даже до запуска игр.

Valve Anti-Cheat отслеживает запущенные программы. Если система обнаружит процессы PowerShell, Sandboxie, Cheat Engine или других утилит из черного списка, пользователь не сможет присоединиться к онлайн-матчам

Античит-технологии включают полное сканирование памяти, анализ процессов, инспектирование кода и так далее. Неудивительно, что вопрос конфиденциальности встает остро, когда пользователи узнают, как именно функционирует система и сколько информации она отправляет третьим сторонам.

Разбор читов, действующих как зловреды

Сетевая архитектура онлайн-игр устроена так, что многие элементы обрабатываются игровым клиентом для ускорения отправки действий игрока серверу и получения ответа от него.

Чит wallhack, позволяющий видеть сквозь стены, и чит aimbot для автоприцеливания распространяются по подписке. Стоимость месячной подписки начинается в районе 20 долларов, а цена пожизненного владения может доходить до 100 долларов.

Такой подход дает зеленый свет разнообразному читингу на стороне клиента: игрок может манипулировать игровыми файлами, переменными в памяти и даже использовать альтернативные драйверы видеокарты, чтобы прочесть данные, скрытые в клиенте. Именно так работают wallhack-читы (они же ESP): позволяют видеть сквозь стены и извлекать прочую информацию, которой нет у честных геймеров.

Fortnite, игра в жанре королевской битвы, аудитория которой в марте этого года насчитывала более 250 миллионов зарегистрированных игроков, при запуске выявляет активность дебаггера и пытается заблокировать процесс, предупреждая об этом пользователя.

В ответ на подобные меры искушенные читеры начали использлвать руткиты, способные скрывать игровые модификации от античит-систем. Таким образом формируется динамичный ландшафт угроз. Разработчикам приходится искать античит-решения, чтобы защитить игры, но эти решения порой задействуют те же механизмы, что и руткиты. Получается настоящая гонка вооружений.

Стоимость чита, в зависимости от его назначения и уникальности, может превышать цену самой игры

Читеры портят игру другим игрокам

Читинг в видеоиграх бывает разным, цели нарушителей — тоже.

Этот нишевый рынок процветает в первую очередь благодаря тем игрокам, кто готов платить за утилиты, хаки, трейнеры и моды, чтобы произвольно менять сложность игры. Некоторые оправдывают себя тем, что пытаются обмануть систему, а не других игроков. Целенаправленное же причинение дискомфорта пользователям, его социальные, моральные и финансовые последствия для законопослушных компаний и игроков — тема отдельного разговора.

Финансовый масштаб проблемы оценить сложно, учитывая, что основной источник информации — судебные разбирательства по наиболее громким случаям. Очевидно, что проблема куда серьезнее, чем можно предположить на основе горстки примеров. Поэтому крайне важно проактивно информировать и защищать пользователей — этого принципа в последнее время придерживается сообщество кибербезопасности.

Игровые форумы завалены сообщениями о том, что читеров становится все больше, и это портит игру и репутацию разработчиков

Создание честной игровой среды для пользователей требует многостороннего подхода. Разработчики далеко не всегда обладают достаточными навыками в сфере кибербезопасности, а эксперты по киберугрозам вряд ли знают все тонкости игровых вселенных.

Геймдизайнеры опираются на проверенные временем методы, стремясь увлечь целевую аудиторию. Они тратят огромные усилия на проработку уровней, персонажей и системы наград, чтобы в игру хотелось возвращаться снова и снова. Читеры нарушают этот баланс.

Как следствие, пользователи забрасывают любимые игры, онлайн-сообщества становятся более агрессивными, и так или иначе страдают все, кто связан с этой индустрией.

Не все то, чем кажется

Тортик — это ложь. Одна из пасхалок в игре Portal наглядно демонстрирует, что награда, мотивирующая игрока, не всегда реальна. Вся сущность поведенческого игрового дизайна в одной короткой фразе.

Portal: тортик — это ложь

Жульничество в играх старо как мир, но современный читинг еще и высокотехнологичен. Это дает возможность изучать и анализировать его последствия в мировом масштабе. Каждый день появляется множество утилит для модификаций игр, и некоторые из них обладают свойствами типичных зловредов.

Антивирусная индустрия уже имеет опыт борьбы с замаскированным кодом, упакованными исполняемыми файлами и другими ухищрениями, которыми пользуется вредоносное ПО. Все эти приемы можно легко перенести в игровую экосистему. Хотя читы бывают разными и далеко не всегда они вредоносны по своей природе, их противозаконность очевидна, даже если не заострять внимание на негативных последствиях для конфиденциальности и безопасности пользователей.

На защите киберспорта

21.11.2019