- Автор темы
- #1
Борьба с читерами в онлайн-играх — вечная сага, не знающая финала. Сценарий её всегда одинаков: хитроумные разработчики запрещённого софта находят уязвимость в коде или механике игры, создают свой продукт и выбрасывают его на чёрный рынок. Игроки начинают страдать, форумы и соцсети тонут в жалобах, а разработчики игр бросают все силы на создание «противоядия».
Пара недель — и вот античит-системы получают судьбоносное обновление, по серверам прокатывается оглушительная волна банов, и наступает временное затишье. Смыть, повторить. Классическая игра в кошки-мышки, где роли постоянно меняются.
Но в 2018 году в этой отлаженной системе произошёл фундаментальный сбой. Привычная гонка вооружений внезапно остановилась, потому что одна из сторон просто вышла за пределы игрового поля. Появился «призрак» — чит, который не просто элегантно обходил любую существующую защиту, а делал само понятие античита бессмысленным. Он не взламывал игру, не внедрялся в её память и не оставлял следов. Он существовал в параллельной реальности, оставаясь абсолютно невидимым и неуловимым.
Я хочу рассказать старую историю о технологии пакетного перехвата. Историю о том, как одна до смешного простая идея на два года превратила соревновательные шутеры в настоящий театр абсурда, где побеждал не самый меткий или тактически грамотный, а тот, у кого был второй монитор и пачка лишних денег.
Представьте себе стандартную схему подключения: ваш игровой компьютер соединён кабелем с вашим роутером. Данные об игре — ваши действия, положение других игроков — бегают по этому кабелю туда-сюда, от вас на сервер и обратно. Что же придумали создатели нового чита? Они решили вклиниться в эту цепочку.
Злоумышленник брал второй компьютер — чаще всего простенький ноутбук или моноблок — и оснащал его двумя сетевыми картами. Один сетевой порт он подключал к игровому ПК, а второй — к роутеру. Таким образом, второй компьютер физически становился мостом, посредником между игроком и интернетом. Весь игровой трафик, абсолютно все пакеты данных, теперь в обязательном порядке проходили через это устройство-прокладку.
Автор: Google Imagen Источник: gemini.google.com
Самое изящное в этой схеме заключалось в том, что второй компьютер не делал с трафиком ровным счётом ничего. Он не блокировал его, не изменял, не подменял. Он просто пропускал пакеты сквозь себя, как вода проходит через сито. Игровой ПК и сервер даже не догадывались о существовании посредника. Пинг оставался прежним, соединение было стабильным. Но, пропуская трафик, этот «человек посередине» его… читал. Копировал и анализировал каждый байт информации, летевший от сервера к игре.
Анализировать же было что. В те годы — и два десятилетия до этого — разработчики игр в массе своей не утруждали себя шифрованием игрового трафика. Из-за такой беспечности в пакетах, как на ладони, были видны абсолютно все ключевые данные игровой сессии: точные XYZ-координаты всех игроков на карте, направление их взгляда, уровень здоровья, информация о том, какое оружие у них в руках. В играх вроде Escape from Tarkov или DayZ в пакетах содержались даже данные о луте, лежащем в ящиках и на полках.
Оставалось лишь написать простейшую программу для второго компьютера. Программу, которая бы в реальном времени парсила (то есть разбирала, декодировала) эти входящие пакеты, извлекала из них координаты противников и рисовала их в виде точек на схематичной карте уровня, открытой на втором мониторе. Никакой магии, никакой сложной разработки. Чистая, беспримесная сетевая инженерия.
Технология получила в народе название «Радар» (Radar-hack), поскольку, в отличие от привычных Wallhack или ESP, она не рисовала силуэты врагов поверх игрового мира, а выводила всю информацию на отдельный экран, подобно радару в диспетчерской.
Античит-системы, даже самые продвинутые, работающие на уровне ядра операционной системы, оказывались в положении ищейки, которую пустили по ложному следу. Они могли делать скриншоты экрана для отправки на ручную проверку — и видели лишь обычный геймплей. Они могли сканировать оперативную память в поисках сигнатур известных читов — и не находили ничего, потому что в памяти не было ничего лишнего. Они могли проверять целостность игровых файлов — и файлы были в идеальном порядке. Игровой компьютер оставался кристально чистым и с точки зрения любого античита выглядел как система абсолютно честного игрока.
Вся «грязная работа» происходила на совершенно другом устройстве, которое античит не мог видеть в принципе. Для него ноутбука, стоящего рядом и пассивно слушающего трафик, просто не существовало. Пакеты данных шли своим чередом, игрок просто косил глаза на второй монитор, где в реальном времени обновлялась тактическая обстановка. Доказать факт использования чита было невозможно. Никаких логов, никаких улик, никаких следов.
С одной стороны, разработчики читов десятилетиями были зациклены на одной и той же парадигме: взлом самого клиента игры. Они пытались влезть в память, перехватить функции рендеринга, выполнить произвольный код внутри, ведя сложную, изощрённую борьбу за компьютер игрока и постоянно изобретая новые способы спрятаться от античита.
В этой погоне за технологиями читоделы вели себя, как индеец Зоркий Глаз из старого анекдота, который не заметил, что у сарая, который он охранял, попросту нет одной стены.
С другой стороны — не меньшее удивление вызывают разработчики игр и античитов. Никто из них за все эти годы не удосужился превентивно закрыть эту элементарную уязвимость и внедрить шифрование игрового трафика. Возможно, они считали, что такая атака слишком сложна в реализации для массового пользователя, или просто не видели в ней угрозы, пока она не «выстрелила», или просто не предполагали самой такой возможности.
Затем, как это всегда бывает, информация начала просачиваться. «Радар» стал доступен по инвайтам, за очень большие деньги — сотни, а то и тысячи долларов. Им пользовались те, кто был готов серьёзно вложиться в своё нечестное преимущество. Круг пользователей расширился, но всё ещё оставался достаточно закрытым. Сообщество честных игроков начало что-то подозревать, но бездоказательные обвинения тонули в общем шуме.
К концу 2019 — началу 2020 года плотину прорвало. Сама концепция пакетного перехвата утекла в массы. Десятки программистов смекнули, что для создания такого чита не нужны глубокие познания в реверс-инжиниринге. Нужны лишь базовые навыки работы с сетью. «Радары» для популярных игр — CS: GO, Escape from Tarkov, PUBG, DayZ — стали клепать все кому не лень.
Разработка была тривиальной, а потому и цена на массовые версии чита резко упала. Теперь «всевидящее око» мог позволить себе практически любой желающий. Серверы наводнили «ясновидящие», которые всегда знали, за каким углом вы сидите, которые предугадывали каждый ваш шаг и «пылесосили» все ценности. А банить всё так же, вроде как, и не за что. Честная игра в одночасье начала трещать по швам, превращаясь в фарс.
Первыми нанесли ответный удар разработчики античита BattlEye, который защищает такие игры, как Escape from Tarkov или DayZ. Во второй половине июня 2020 года они выпустили обновление, которое одним махом решило проблему. Следом подтянулись и все остальные крупные игроки рынка. Решение было столь же простым и гениальным, как и сам чит: они просто начали шифровать игровой трафик.
К сетевому протоколу прикрутили TLS-подобное шифрование, аналогичное тому, что защищает ваши данные при входе в интернет-банк. Теперь пакеты, летевшие от сервера к игроку, превратились из открытой книги в нечитаемую абракадабру. Программа-парсер на втором компьютере больше не могла извлечь из них никаких осмысленных данных — ни координат, ни здоровья, ни лута.
Вся концепция «Радара» умерла в одночасье. Зияющая дыра, существовавшая с незапамятных времён, была наконец-то заткнута. Комедия окончилась.
Эти игроки просто выглядели как невероятно удачливые и скилловые везунчики с феноменальной интуицией. Они всегда «угадывали», где появится противник, а их слух и зрение, казалось, работали на 360 градусов. Так что если в 2018-2020 годах вы часто откидывались в кресле с немым вопросом «Да как он узнал?!», но подозреваемый так и не улетел в бан — знайте, с высокой долей вероятности вы столкнулись с одним из таких «призраков». Они забрали ваши активы, испортили вам настроение и растворились в прошлом, не получив по заслугам. Увы, так тоже бывает.
Хотя эта конкретная уязвимость сегодня надёжно закрыта, гонка вооружений продолжается. Уже сейчас появляются новые, ещё более изощрённые методы обмана: читы на основе машинного обучения, анализирующие видео- и аудиопоток, или аппаратные устройства, вмешивающиеся в сигнал от мыши. Битва за честную игру не закончится никогда, и история «Радара» служит суровым напоминанием о том, что нельзя недооценивать изобретательность тех, кто хочет получить несправедливое преимущество.
Именно поэтому я и рассказал эту историю. Не для того, чтобы кто-то попытался повторить этот трюк — он больше не работает. А для того, чтобы облегчить душу тем, кто в те годы ловил обидные «голова-глаза» из неведомых кустов и терялся в догадках. Теперь вы знаете, что дело было не всегда в вашем скилле. Иногда против вас играл не человек, а призрак с ноутбуком. Не нарушайте лицензионное соглашение, господа. И да пребудет с вами скилл.
Пара недель — и вот античит-системы получают судьбоносное обновление, по серверам прокатывается оглушительная волна банов, и наступает временное затишье. Смыть, повторить. Классическая игра в кошки-мышки, где роли постоянно меняются.
Но в 2018 году в этой отлаженной системе произошёл фундаментальный сбой. Привычная гонка вооружений внезапно остановилась, потому что одна из сторон просто вышла за пределы игрового поля. Появился «призрак» — чит, который не просто элегантно обходил любую существующую защиту, а делал само понятие античита бессмысленным. Он не взламывал игру, не внедрялся в её память и не оставлял следов. Он существовал в параллельной реальности, оставаясь абсолютно невидимым и неуловимым.
Я хочу рассказать старую историю о технологии пакетного перехвата. Историю о том, как одна до смешного простая идея на два года превратила соревновательные шутеры в настоящий театр абсурда, где побеждал не самый меткий или тактически грамотный, а тот, у кого был второй монитор и пачка лишних денег.
Вся история рассказывается исключительно в образовательных и исторических целях, ведь эта уязвимость давно закрыта и уже никому не навредит, и моя цель — пролить свет на один из самых тёмных и странных периодов в истории онлайн-игр.
Принцип «человека посередине», или Как читать чужие мысли
В основе этого «магического», невидимого чита лежал принцип, известный в кругах кибербезопасности как атака «man-in-the-middle», или «человек посередине». Звучит сложно, но на деле реализация была до гениальности примитивной.Представьте себе стандартную схему подключения: ваш игровой компьютер соединён кабелем с вашим роутером. Данные об игре — ваши действия, положение других игроков — бегают по этому кабелю туда-сюда, от вас на сервер и обратно. Что же придумали создатели нового чита? Они решили вклиниться в эту цепочку.
Злоумышленник брал второй компьютер — чаще всего простенький ноутбук или моноблок — и оснащал его двумя сетевыми картами. Один сетевой порт он подключал к игровому ПК, а второй — к роутеру. Таким образом, второй компьютер физически становился мостом, посредником между игроком и интернетом. Весь игровой трафик, абсолютно все пакеты данных, теперь в обязательном порядке проходили через это устройство-прокладку.
Автор: Google Imagen Источник: gemini.google.com
Самое изящное в этой схеме заключалось в том, что второй компьютер не делал с трафиком ровным счётом ничего. Он не блокировал его, не изменял, не подменял. Он просто пропускал пакеты сквозь себя, как вода проходит через сито. Игровой ПК и сервер даже не догадывались о существовании посредника. Пинг оставался прежним, соединение было стабильным. Но, пропуская трафик, этот «человек посередине» его… читал. Копировал и анализировал каждый байт информации, летевший от сервера к игре.
Анализировать же было что. В те годы — и два десятилетия до этого — разработчики игр в массе своей не утруждали себя шифрованием игрового трафика. Из-за такой беспечности в пакетах, как на ладони, были видны абсолютно все ключевые данные игровой сессии: точные XYZ-координаты всех игроков на карте, направление их взгляда, уровень здоровья, информация о том, какое оружие у них в руках. В играх вроде Escape from Tarkov или DayZ в пакетах содержались даже данные о луте, лежащем в ящиках и на полках.
Оставалось лишь написать простейшую программу для второго компьютера. Программу, которая бы в реальном времени парсила (то есть разбирала, декодировала) эти входящие пакеты, извлекала из них координаты противников и рисовала их в виде точек на схематичной карте уровня, открытой на втором мониторе. Никакой магии, никакой сложной разработки. Чистая, беспримесная сетевая инженерия.
Технология получила в народе название «Радар» (Radar-hack), поскольку, в отличие от привычных Wallhack или ESP, она не рисовала силуэты врагов поверх игрового мира, а выводила всю информацию на отдельный экран, подобно радару в диспетчерской.
Почему античиты были бессильны
Гениальность — в самом зловещем смысле этого слова — «Радара» заключалась в его полной отстранённости от игрового процесса. Он не взаимодействовал с игрой. Вообще. Никак. На вашем игровом компьютере, который вы привозили на турнир или с которого играли из дома, не было установлено ни одного лишнего процесса. В память игры не внедрялась ни одна посторонняя DLL-библиотека. Ни один игровой файл не был изменён ни на байт. Игра запускалась и работала в своём первозданном, абсолютно «чистом» виде.Античит-системы, даже самые продвинутые, работающие на уровне ядра операционной системы, оказывались в положении ищейки, которую пустили по ложному следу. Они могли делать скриншоты экрана для отправки на ручную проверку — и видели лишь обычный геймплей. Они могли сканировать оперативную память в поисках сигнатур известных читов — и не находили ничего, потому что в памяти не было ничего лишнего. Они могли проверять целостность игровых файлов — и файлы были в идеальном порядке. Игровой компьютер оставался кристально чистым и с точки зрения любого античита выглядел как система абсолютно честного игрока.
Вся «грязная работа» происходила на совершенно другом устройстве, которое античит не мог видеть в принципе. Для него ноутбука, стоящего рядом и пассивно слушающего трафик, просто не существовало. Пакеты данных шли своим чередом, игрок просто косил глаза на второй монитор, где в реальном времени обновлялась тактическая обстановка. Доказать факт использования чита было невозможно. Никаких логов, никаких улик, никаких следов.
Слон в комнате: двадцатилетняя слепота индустрии
И здесь возникает главный, почти риторический вопрос: как так получилось, что эта зияющая дыра в безопасности, этот «проходной двор» для данных, оставалась незамеченной на протяжении более двадцати лет? Как целая индустрия с миллиардными оборотами, одержимая борьбой с читерством, могла не заметить слона в комнате? Ответ, как ни странно, кроется в удивительном примере коллективной слепоты, причём с обеих сторон баррикад.С одной стороны, разработчики читов десятилетиями были зациклены на одной и той же парадигме: взлом самого клиента игры. Они пытались влезть в память, перехватить функции рендеринга, выполнить произвольный код внутри, ведя сложную, изощрённую борьбу за компьютер игрока и постоянно изобретая новые способы спрятаться от античита.
В этой погоне за технологиями читоделы вели себя, как индеец Зоркий Глаз из старого анекдота, который не заметил, что у сарая, который он охранял, попросту нет одной стены.
С другой стороны — не меньшее удивление вызывают разработчики игр и античитов. Никто из них за все эти годы не удосужился превентивно закрыть эту элементарную уязвимость и внедрить шифрование игрового трафика. Возможно, они считали, что такая атака слишком сложна в реализации для массового пользователя, или просто не видели в ней угрозы, пока она не «выстрелила», или просто не предполагали самой такой возможности.
От элитного оружия до массового побоища
Жизненный цикл «Радара» — классический пример того, как секретная технология постепенно просачивается в массы. Изначально, на заре своего появления, это был ультраприватный софт для очень узкого круга «своих». Вполне вероятно, что его использовали на полупрофессиональной и даже профессиональной сцене, где проверка игровых компьютеров перед матчами — обязательная процедура. «Радар» был идеальным оружием для таких условий, ведь он не оставлял никаких улик на проверяемой машине.На этом этапе чит был элитным инструментом, доступным единицам. Он позволял доминировать в турнирах и онлайн-матчах, создавая репутацию гениальных игроков с нечеловеческой интуицией.
Затем, как это всегда бывает, информация начала просачиваться. «Радар» стал доступен по инвайтам, за очень большие деньги — сотни, а то и тысячи долларов. Им пользовались те, кто был готов серьёзно вложиться в своё нечестное преимущество. Круг пользователей расширился, но всё ещё оставался достаточно закрытым. Сообщество честных игроков начало что-то подозревать, но бездоказательные обвинения тонули в общем шуме.
К концу 2019 — началу 2020 года плотину прорвало. Сама концепция пакетного перехвата утекла в массы. Десятки программистов смекнули, что для создания такого чита не нужны глубокие познания в реверс-инжиниринге. Нужны лишь базовые навыки работы с сетью. «Радары» для популярных игр — CS: GO, Escape from Tarkov, PUBG, DayZ — стали клепать все кому не лень.
Разработка была тривиальной, а потому и цена на массовые версии чита резко упала. Теперь «всевидящее око» мог позволить себе практически любой желающий. Серверы наводнили «ясновидящие», которые всегда знали, за каким углом вы сидите, которые предугадывали каждый ваш шаг и «пылесосили» все ценности. А банить всё так же, вроде как, и не за что. Честная игра в одночасье начала трещать по швам, превращаясь в фарс.
Финита ля комедия
Когда проблема из элитарной превратилась в массовую, игнорировать её стало невозможно. Форумы и Reddit разрывались от жалоб, стримеры и ютуберы били в набат. Индустрия, которая два десятилетия не замечала уязвимость, была вынуждена реагировать, и реагировать стремительно. На кону стояла репутация и будущее всего соревновательного гейминга.Первыми нанесли ответный удар разработчики античита BattlEye, который защищает такие игры, как Escape from Tarkov или DayZ. Во второй половине июня 2020 года они выпустили обновление, которое одним махом решило проблему. Следом подтянулись и все остальные крупные игроки рынка. Решение было столь же простым и гениальным, как и сам чит: они просто начали шифровать игровой трафик.
К сетевому протоколу прикрутили TLS-подобное шифрование, аналогичное тому, что защищает ваши данные при входе в интернет-банк. Теперь пакеты, летевшие от сервера к игроку, превратились из открытой книги в нечитаемую абракадабру. Программа-парсер на втором компьютере больше не могла извлечь из них никаких осмысленных данных — ни координат, ни здоровья, ни лута.
Вся концепция «Радара» умерла в одночасье. Зияющая дыра, существовавшая с незапамятных времён, была наконец-то заткнута. Комедия окончилась.
Безнаказанные призраки прошлого
И всё бы хорошо, но у этой истории есть одно главное и самое неприятное наследие. Все, кто пользовался «Радарами» в тот тёмный период, остались безнаказанными. Поскольку чит не оставлял никаких цифровых следов на игровом компьютере и никак не изменял поведение самого клиента, у античитов не было и нет никаких формальных оснований для бана — ни в реальном времени тогда, ни ретроактивного сейчас. Не за что зацепиться.Эти игроки просто выглядели как невероятно удачливые и скилловые везунчики с феноменальной интуицией. Они всегда «угадывали», где появится противник, а их слух и зрение, казалось, работали на 360 градусов. Так что если в 2018-2020 годах вы часто откидывались в кресле с немым вопросом «Да как он узнал?!», но подозреваемый так и не улетел в бан — знайте, с высокой долей вероятности вы столкнулись с одним из таких «призраков». Они забрали ваши активы, испортили вам настроение и растворились в прошлом, не получив по заслугам. Увы, так тоже бывает.
Заключение
История «Радара» — поучительная притча. Притча о том, как одна простая, но гениальная в своей наглости и простоте идея смогла поставить на колени всю многомиллиардную индустрию соревновательных игр. Она показала, что иногда самые опасные уязвимости лежат не в глубинах сложного кода, а на самой поверхности, скрытые пеленой коллективной слепоты и привычки. Разработчики слишком верили в защиту на стороне клиента, а читеры слишком долго стучались не в ту дверь.Хотя эта конкретная уязвимость сегодня надёжно закрыта, гонка вооружений продолжается. Уже сейчас появляются новые, ещё более изощрённые методы обмана: читы на основе машинного обучения, анализирующие видео- и аудиопоток, или аппаратные устройства, вмешивающиеся в сигнал от мыши. Битва за честную игру не закончится никогда, и история «Радара» служит суровым напоминанием о том, что нельзя недооценивать изобретательность тех, кто хочет получить несправедливое преимущество.
Именно поэтому я и рассказал эту историю. Не для того, чтобы кто-то попытался повторить этот трюк — он больше не работает. А для того, чтобы облегчить душу тем, кто в те годы ловил обидные «голова-глаза» из неведомых кустов и терялся в догадках. Теперь вы знаете, что дело было не всегда в вашем скилле. Иногда против вас играл не человек, а призрак с ноутбуком. Не нарушайте лицензионное соглашение, господа. И да пребудет с вами скилл.