Buzz
Điểm đầu tiên là thông tin nhanh chóng và cũng là nền tảng của bài viết chia sẻ của tôi. Gần đây, trong vòng sơ loại giải đấu Valorant Challengers Indonesia Split 1, đã xảy ra một vụ scandal đối với một game thủ chuyên nghiệp có biệt danh là “Mica” từ đội tuyển Tokyo Revengers sử dụng phần mềm gian lận trong trận đấu gặp Punten Jagoan. Trong thư mục có hướng dẫn vô hiệu hóa ứng dụng chống gian lận Vanguard của Valorant, thì tệp tin chạy ứng dụng gian lận được đặt tên là “Netflix.exe.”Thế nên, trong khi trước đây, bên CS:GO từng có trường hợp của f0rsaken từ Ấn Độ với “word.exe” nổi tiếng, trong một trận đấu tại giải đấu năm 2018, thì hiện nay bên Valorant ở Indonesia lại có một biến thể mới, “netflix.exe” làm mưa làm gió.
Câu hỏi quan trọng nhất là cộng đồng game thủ Valorant luôn tự hào về việc có một giải pháp phần mềm chống hack gián điệp từng tầng lớp kernel của hệ điều hành, thu thập đầy đủ dữ liệu máy tính để tạo ra môi trường chơi công bằng nhất có thể. Tuy nhiên, dù đã có những biện pháp này, tình trạng hack cheat vẫn lan rộng, thậm chí trong các giải đấu chuyên nghiệp như ở Indonesia tuần trước cũng đã xuất hiện.
Quan trọng hơn cả, nếu không có nguồn tin ẩn danh tiết lộ cho các nhà bình luận, rồi những bình luận viên tiết lộ thông tin này, thì không ai biết về sự tồn tại của 'netflix.exe', đơn giản vì Vanguard hoàn toàn không phát hiện được phần mềm gian lận này trên máy tính của người chơi.Vì sao Vanguard được gọi là phần mềm gián điệp?
Trước hết, hãy làm sáng tỏ về khái niệm rootkit và protection rings, sau đó chúng ta sẽ tiếp tục thảo luận về các giải pháp phần mềm chống hack cheat chạy ở tầng sâu nhất của hệ điều hành, như Ricochet của Call of Duty, FaceIt Anticheat, ESEA Anticheat, hay chính bản thân Vanguard. Mặc dù không phải tất cả mọi người chơi game đều quan tâm, nhưng đây chính là lý do khiến Ricochet hay Vanguard khi được công bố, trở thành vật gây tranh cãi trong cộng đồng game thủ.
Cách hoạt động và tương tác giữa phần mềm, hệ điều hành và phần cứng máy tính chia sẻ nhiều mức độ truy cập tài nguyên phần cứng của hệ thống máy tính. Khái niệm này được gọi là Hierarchical Protection Domains, hay còn được biết đến với tên gọn là Protection Rings. Số lượng vòng bảo vệ này phụ thuộc vào kiến trúc CPU, và hệ điều hành chạy trên kiến trúc đó có khả năng hỗ trợ bao nhiêu vòng bảo vệ (Rings).
Nếu Ring 1 hoặc Ring 2 là vòng bảo vệ cho phép các phần mềm dạng driver tương tác với phần cứng trong một hệ thống máy tính, thì Ring 3 là nơi mà các phần mềm mà chúng ta cài đặt trên máy tính vận hành. Vòng bảo vệ càng nằm ở vòng bên ngoài thì phần mềm càng có ít quyền truy cập vào thông tin lưu trữ trong phần cứng, từ dữ liệu chạy qua RAM cho đến thông tin mà CPU xử lý.
Ở Vòng 0, đó là mức Kernel cơ bản của hệ điều hành. Các ứng dụng và mã lệnh chạy ở Vòng 0 có thể truy cập vào mọi tài nguyên trên phần cứng của hệ thống.
Điều này đưa chúng ta đến với khái niệm rootkit. Một cách ngắn gọn, rootkit là một khái niệm chỉ những giải pháp vượt qua rào cản để truy cập vào mọi thông tin và tài nguyên phần cứng, thứ mà một phần mềm bình thường không thể truy cập được. Do khả năng của những phần mềm dạng rootkit, chúng thường là những phần mềm độc hại thu thập dữ liệu cá nhân cực kỳ nhạy cảm của người dùng, lưu trữ trong những vùng dữ liệu tưởng chừng như là an toàn nhất bên trong hệ thống thiết bị điện toán.
Ban đầu, khả năng phát hiện gian lận của Vanguard thực sự là điều làm cho cộng đồng game thủ Valorant tự hào. Không thiếu những lần trận đấu bị tắt đột ngột với thông báo “phát hiện người chơi gian lận”, thậm chí kẻ gian lận trên kênh stream cũng bị bắt rất chính xác.
Trên mặt tích cực, Vanguard ban đầu gây tranh cãi với khả năng thu thập thông tin từ máy tính của người chơi. Điều này kết hợp với việc Riot Games hoàn toàn thuộc sở hữu của Tencent từ năm 2015, khi Tencent mua lại 93% cổ phần Riot với giá 400 triệu USD vào năm 2011, và sau đó mua lại 7% còn lại vào tháng 12/2015.
Việc Vanguard thu thập dữ liệu hay không, và liệu dữ liệu cá nhân này có được chuyển về Trung Quốc theo yêu cầu của Tencent hay không, có thể chỉ có Riot Games và Tencent biết. Tuy nhiên, hiệu quả của Vanguard, giải pháp được tích hợp trực tiếp vào client Valorant mà không cần sự can thiệp của bên thứ ba như CS:GO (ESEA, FaceIt), đã khiến mọi người dần quên đi về rủi ro về bảo mật và quyền riêng tư.
Tuy nhiên, nỗi lo này không hề không có căn cứ. Vào năm 2013, một nhân viên của ESEA đã thêm một phần mềm đào Bitcoin vào anti-cheat, lợi dụng sức mạnh của khoảng nửa triệu máy tính người dùng để thu lợi bất chính, thậm chí làm hỏng card đồ họa của nhiều người. Kết quả là ESEA bị phạt 1 triệu USD.
Tuy nhiên, ngay cả khi quét được mọi hoạt động trên PC, vẫn có thể gian lận một cách kín kẽ và hiệu quả trong Valorant, miễn là người chơi đủ khôn ngoan để tránh những hành động quá rõ ràng, chẳng hạn như nhìn thấu vị trí đối thủ qua tường hoặc có những hành động vượt quá sức lý, khiến nhân viên kiểm duyệt của Riot dễ dàng xác định người chơi đang sử dụng phần mềm hỗ trợ gian lận.Việc tải về cheat và làm thế nào để nó hoạt động?
Trùng hợp là, chỉ vài tuần trước scandal “netflix.exe” xảy ra, tôi đã bị thu hút bởi một đoạn video từ kênh có tên Unity Research trên YouTube. Sau khi xem đoạn clip dài gần 40 phút, tôi nhận ra rằng, với việc sử dụng phần mềm chống gian lận chạy ở mức độ kernel của hệ điều hành, thời kỳ của việc gian lận bằng cách inject mã vào mã nguồn game chạy trong máy tính đã kết thúc.
Phương pháp đầu tiên: Implant mã lệnh điều khiển nhân vật vào bộ nhớ của các thiết bị ngoại vi. Trong quá khứ khi chơi AVA, đã có các lệnh macro để giảm độ giật của súng, tăng độ chính xác và tạo lợi thế so với người chơi khác. Đến khi PUBG ra đời, còn có tranh cãi xem việc sử dụng macro có phải là hành vi gian lận hay không. Đối với giải pháp này, hãng game chỉ cần chặn tính năng chạy macro trong các driver vận hành chuột máy tính.
Một giải pháp khác là thiết lập các phím tắt trong driver để đưa nhân vật của người chơi vào vị trí 'line up' để ném lựu đạn hoặc thực hiện các kỹ năng trong game một cách chính xác, thay vì tập luyện kỹ năng thực sự. Giống như việc sử dụng macro giảm giật súng trong quá khứ, việc sử dụng các phím tắt để 'line up', nhảy bunny hoặc thả lựu đạn đang gây ra tranh cãi xem có phải là gian lận hay không. Trong môi trường chuyên nghiệp, nhiều giải đấu đã cấm việc này.
Trong các phương pháp gian lận cơ bản thông qua phần mềm, để xác định vị trí đối thủ thông qua wallhack, hoặc tự động ngắm bắn thông qua aimbot hoặc triggerbot, phần mềm sẽ cần đọc thông tin từ bộ nhớ máy tính để hiển thị những thông tin mà người chơi không thể biết được, như vị trí của đối thủ. Điều này được gọi là cheat đọc/ghi bộ nhớ.
Đó là vì lý do phần lớn các phần mềm gian lận thông thường, anti cheat ở mức kernel level có thể phát hiện ra ngay, khi thấy rõ ứng dụng nào đang truy cập dữ liệu game trong bộ nhớ.
Một giải pháp từ các nhà phát triển phần mềm gian lận: Viết các phần mềm gian lận tải từ tầng driver EFI (Extensible Firmware Interface), tức là ngay từ lúc máy tính khởi động, trước cả khi anti cheat ở mức kernel level được tải từ ổ cứng vào RAM, cũng như trước cả khi game được khởi động. Nhờ vậy, phần mềm gian lận có thể giả mạo một driver linh kiện máy tính để lừa đảo phần mềm chống gian lận.
Có hai giải pháp đối mặt với EFI Cheat. Hoặc các nhà phát triển game sẽ phải phát hiện ra các tiến trình đáng ngờ chạy trong máy tính của những kẻ gian lận đã bị phát hiện. Cách này đòi hỏi một đội ngũ nhân sự để kiểm tra và phát hiện những người chơi gian lận. Và thứ hai, những kẻ gian lận phải sử dụng cùng một giải pháp EFI Cheat để có thể tìm ra điểm chung.
Cách thứ hai, dễ hơn, là khi Valorant chạy trên Windows 11, yêu cầu hệ thống kích hoạt Secure Boot thông qua BIOS để ngăn chặn mọi phần mềm ngoại lai giả mạo driver EFI để lừa đảo phần mềm chống gian lận, chạy trước cả khi phần mềm cấp kernel được khởi chạy. Điều này giải thích vì sao hầu hết những kẻ gian lận trong Valorant thường sử dụng Windows 10, vì không cần bật Secure Boot và TPM 2.0. Hơn nữa, một số người còn chọn sử dụng các phiên bản Windows 11 đã được bẻ khóa và chỉnh sửa để chạy phần mềm từ tầng EFI một cách dễ dàng hơn.
Thường thì khi phát hiện gian lận, phần mềm chống gian lận sẽ khóa cả ID của phần cứng máy tính, buộc người chơi phải che giấu ID thật của phần cứng hoặc thậm chí thay đổi toàn bộ phần cứng. Điều này là lý do tại sao có nhiều trường hợp các quán net bị cấm chơi CS:GO hoặc Overwatch, vì có người sử dụng phần mềm gian lận trong quán.Nếu không thể gian lận bằng phần mềm, họ sẽ chuyển sang gian lận bằng phần cứng.
Ở đây, không chỉ tôn trọng sự sáng tạo vượt qua các biện pháp chống gian lận của một trò chơi, mà còn rùng mình trước quyết tâm gian lận của một số người trong cộng đồng game.
Có thỏa thuận rằng trên hệ điều hành, Ring 0 hoặc còn được biết đến là Kernel-level là tầng sâu nhất, truy cập nhiều dữ liệu nhất từ tài nguyên máy tính. Nhưng nó chỉ là một phần mềm. Còn tầng khác với quyền lực cao hơn cả Ring 0, đó là từng phần cứng trong hệ thống máy tính.
Dù kernel-level anti cheat có thể phát hiện ra phần mềm từ ổ cứng tải vào RAM và xử lý bằng CPU, bằng cách nhận diện các tác vụ chạy ngầm liên quan trực tiếp đến trò chơi, nhưng những kẻ gian lận vẫn tìm cách vượt qua bằng cách sử dụng phần cứng độc lập với hệ thống máy tính để thực hiện hành vi gian lận.
Có phần mềm gian lận nào mạnh hơn cả EFI, thậm chí vượt qua cả kernel-level anti cheat? Đúng vậy, đó là DMA Cheat, viết tắt của Direct Memory Access. Với giải pháp này, phần mềm gian lận hoạt động trên một máy tính riêng biệt, hoàn toàn độc lập với trò chơi và phần mềm chống gian lận. Dù anti cheat có mạnh đến đâu, nó chỉ có thể quét dữ liệu trên máy tính mà nó đã cài đặt.
Để thực hiện điều này, cần một thiết bị phần cứng kết nối với máy tính thông qua khe PCIe, được gọi là Direct Memory Access Controller. Chức năng của DMA Controller là đọc dữ liệu trực tiếp từ RAM, mà phần mềm chống hack không thể phát hiện được vì đó là lệnh phần cứng, không phải phần mềm, và tránh qua mặt CPU và hệ điều hành. Từ dữ liệu này, máy tính chạy phần mềm gian lận có thể xử lý dữ liệu từ máy chủ trò chơi và hiển thị những thông tin bí mật như vị trí địch trên màn hình của máy tính đã cài đặt phần mềm gian lận.
Hoặc thậm chí, thông qua việc sử dụng một hộp kết hợp tín hiệu hình ảnh, HDMI Combiner, vị trí của đối thủ có thể được hiển thị trên màn hình chính khi chơi game, nói cách khác là wallhack.
Muốn ngăn chặn DMA Cheat khi không thể phát hiện phần mềm gian lận chạy trên máy tính thứ hai thì cách đơn giản nhất là cấm máy tính sử dụng card DMA Controller kết nối với trò chơi, hoặc chặn luồng dữ liệu mà DMA Controller có thể truy cập, vì không ai cần linh kiện này khi chơi game điện tử.
Tuy vậy, ít ai sử dụng DMA Cheat vì chi phí quá lớn. DMA Controller hiện có giá vài trăm USD và cần một hệ thống máy tính thứ hai để chạy phần mềm gian lận. Số lượng người chơi tạo tài khoản phụ để chơi không có gì so với số người chơi sử dụng DMA Cheat để gian lận.
Những giải pháp gian lận phổ biến và kín kẽ nhất hiện nay trong Valorant.
Tính năng AHK Cheating, viết tắt của AutoHotkey, là một phần mềm mã nguồn mở cho phép chạy các đoạn mã script đơn giản nhưng mạnh mẽ. Ví dụ, nếu màn hình phát hiện điểm ảnh có màu gần giống màu đỏ ở viền nhân vật của đối thủ, script sẽ tự động dùng hồng tâm đưa về vị trí của đối thủ, một dạng aimbot mạnh mẽ và thông minh, không cần biết vị trí chính xác của đối thủ, chỉ cần trùng màu là được.
Nếu việc sử dụng AHK Aimbot dễ bị phát hiện, thì AHK Triggerbot lại phổ biến và khó phát hiện hơn. Khi chỉ cần kéo chuột về vị trí của đối thủ, nếu phần mềm AHK phát hiện hồng tâm, nó sẽ tự động bắn ngay lập tức. Đáng ngạc nhiên là, cho đến nay, Riot vẫn chưa tìm ra cách ngăn chặn loại gian lận này.
Kết hợp pixel bot với phần cứng bên ngoài, chạy pixel bot trên các thiết bị như microcontroller, Raspberry Pi, kết nối với máy tính để lấy dữ liệu về hình ảnh, Vanguard trở nên vô dụng. Ngạc nhiên thay, cộng đồng sử dụng kiểu gian lận này vừa đông đảo vừa hợp tác chặt chẽ với nhau, thông qua các nhóm trên Discord có hàng ngàn thành viên.Có cách nào để game trở nên hoàn toàn an toàn mà không có hack cheat?
Nếu những biện pháp kỹ thuật để ngăn chặn các phương pháp sáng tạo trong việc phát triển các giải pháp gian lận không hiệu quả, thì các tổ chức bắt đầu chuyển sang việc kiểm soát con người.
Ví dụ, để kiểm soát người dùng, ESEA và FaceIt yêu cầu cung cấp thông tin số điện thoại và số thẻ tín dụng của người dùng để ngăn chặn những kẻ gian lận trở lại nền tảng này.
Tương tự, phiên bản CS2 5E nội địa Trung Quốc còn cứng rắn hơn, yêu cầu cả số CMND và buộc người chơi phải ngồi trước webcam mỗi khi đăng nhập. Nếu gương mặt không khớp với khi đăng ký, tài khoản sẽ bị khoá tức thì. Hoặc nếu bị phát hiện gian lận và bị cấm tài khoản và ID phần cứng, dữ liệu gương mặt này cũng sẽ bị sử dụng để ngăn chặn họ quay lại với tài khoản mới hoặc thậm chí với hệ thống máy tính mới. Điều này đôi khi khiến người chơi phải chấp nhận, để đổi lại môi trường chơi game công bằng.
Ngay cả khi sử dụng các giải pháp như 5E, ESEA và FaceIt, việc sử dụng phần cứng để gian lận cũng không hẳn đã bị phát hiện bởi phần mềm.
Tóm lại, không có giải pháp nào hoàn toàn hiệu quả 100% trong việc ngăn chặn hack cheat và duy trì sự công bằng tuyệt đối trong một trò chơi, mà không gây ra phản đối từ phía người chơi. Cách gian lận đã đi kèm với sự phát triển của ngành công nghiệp game, và trò chơi trực tuyến không bao giờ có thể có một giải pháp ngăn chặn 100% hiệu quả đối với tình trạng người chơi gian lận.
