Điểm qua cái hay, dở của hệ thống Vanguard Anti Cheat Valorant.

Sẽ chẳng có vấn đề gì nếu một chương trình Anti-Cheat tự nâng quyền để có thể kiểm tra xem liệu các phần mềm đang được chạy bên cạnh Valorant có làm gì “ảo diệu” bên ngoài game hay không. Nhưng hãy cùng điểm qua những cái hay, cái dở của Vanguard.

1: LỘNG QUYỀN

Vanguard chạy ở Ring 0, cấp độ cao nhất trong hệ thống (“kernel-mode driver”) của máy tính, điều này cũng có nghĩa là nếu bạn không có hiểu biết về cách vận hành của kiến trúc, bạn không thể tự dừng Vanguard được (trừ khi gỡ bỏ nó khỏi máy) vì phần mềm này có quyền kiểm soát máy của bạn lớn hơn cả quản trị viên (admin).

Bạn sẽ phải chỉ định quyền truy cập hệ thống (SYSTEM-permission) cho người dùng (user), một việc mà bạn không được làm vì lý do liên quan đến bảo mật và nếu bản thân bạn còn không có toàn quyền kiểm soát máy tính của mình, tại sao Riot lại được làm việc ấy?

Lý giải một chút về “Ring 0”: Kiến trúc x86 có bốn cấp độ hay bốn “ring” để nâng cao bảo mật cho máy tính cũng như hệ điều hành. Quyền hạn từ thấp đến cao:

• Ring 3 (applications) cho phép người dùng cài đặt và chỉnh sửa các ứng dụng trong máy tính, chỉ tác động lên phần mềm, nếu muốn sử dụng phần cứng như CPU để xử lý thì người dùng cần đưa ra chỉ thị để nhận được hỗ trợ từ nhân (kernel), ví dụ phổ biến nhất là lệnh “sudo” để thực hiện một số tác vụ trên Linux hay yêu cầu quyền admin để cài phần mềm của Windows.

• Ring 2 và 1 (device drivers) đòi hỏi quyền của người quản trị (admin, root) để thực hiện một thay đổi lên các thiết bị hay phần cứng gắn ngoài. Chẳng hạn như cài driver cho card màn hình hay yêu cầu đóng/mở webcam, mic…

• Tại Ring 0 (kernel), tất cả các ứng dụng hoặc mã lệnh sẽ có đặc quyền cao nhất và trực tiếp tương tác với các phần cứng quan trọng như CPU và bộ nhớ. Chương trình tại Ring 0 có quyền truy cập vào tất cả phần cứng và phần mềm trên máy mà không cần sự phê duyệt của quản trị viên hay người dùng.

Cách thức vận hành trên máy tính: Khi khởi động, nó sẽ bắt đầu chương trình ở Ring 0, rồi sử dụng bootloader để gọi ra các mã lệnh ở trong kernel và nạp vào BIOS.

Sau đó BIOS liệt kê thông tin về các thiết bị được cắm vào máy tính, chuyển sang Ring 1 và 2 để cài đặt driver, giúp người dùng sử dụng được bàn phím và chuột, đọc được ổ cứng hay USB trong quá trình boot. Cuối cùng, máy sẽ chuyển sang Ring 3 để bắt đầu nạp hệ điều hành Windows vào (thực tế thì quá trình này cực kỳ phức tạp, mình chỉ tóm gọn những ý chính).

Vanguard chạy ở Ring 0, tức là ngay từ khi bật máy nó đã hoạt động, chứ không cần chờ đến lúc đăng nhập vào Windows.

2: CHẠY 24/7

Một điểm đáng chú ý khác, đó là Vanguard luôn luôn hoạt động. Nó khởi động cùng thời điểm bạn bật máy lên và không bao giờ dừng lại. Nó chạy với mức độ quyền hạn ngang với phần mềm diệt virus mà bạn dùng, một trong số ít các ứng dụng mà bạn sẽ cho toàn quyền trên máy tính của bản thân.

Vanguard có thể dừng chương trình diệt virus của bạn và thả một đống malware vào hệ thống. Sẽ dễ chấp nhận hơn nếu nó chỉ hoạt động khi đang chơi Valorant nhưng không, nó luôn chạy, bất di bất dịch nhưng vẫn hoạt động.

Ngay cả với chủ trương cao đẹp của Riot, chẳng có hệ thống nào là không thể hack được. Không khó để đạt được 1 triệu lượt cài đặt game này trước khi hết năm nay, xâm nhập được vào các máy chủ quản lý hệ thống Vanguard đồng nghĩa với việc hacker sẽ có toàn quyền truy cập của 1 triệu khách hàng.

Đấy là chưa kể đến toàn bộ dữ liệu mà họ có thể thu thập. Xin nhắc lại: TOÀN QUYỀN TRUY CẬP. Điều ấy tức là hacker có thể truy cập Google Chrome của bạn, yêu cầu xem tất cả mật khẩu đã lưu hoặc chỉ cần ngồi đó, ghi lại trong khi bạn đang loay hoay gõ mật khẩu. Bao gồm cả thông tin tài khoản ngân hàng, …

Và trước khi ai đó phản biện: “Chrome cần có mật khẩu của ông thì mới hiện các mật khẩu khác.” – Đúng và khi bạn nhập mật khẩu để vào Windows sau khi boot, Vanguard đã chạy sẵn rồi …

Chắn chắn điều này cũng có thể áp dụng lên bất kỳ công ty cung cấp phần mềm diệt virus nào nhưng mọi chương trình chạy ở cấp cao nhất đều gia tăng hiểm hoạ và sự lo lắng ấy là hơi thừa thãi.

3: THĂM DÒ

Vanguard có quét dữ liệu của các thiết bị từ bên ngoài.

Bằng chứng: https://www.reddit.com/r/VALORANT/comments/g2h6h6/a_anticheat_error_caused_csgo_pro_mixwell_to_be/

Vậy chuyện gì đã xảy ra? Mixwell – một pro player CS:GO – cắm dây từ điện thoại vào máy tính, Vanguard kick anh ra khỏi trận và báo lỗi nhưng làm thế nào để chứng minh Vanguard có đọc dữ liệu trong điện thoại của anh ấy hay ít nhất là đang cố làm việc đó? Dưới đây là một vài giả thiết:

Điện thoại có hệ điều hành riêng, có quyền hạn riêng, với định dạng file khác (.apk thay vì .exe) và với một chương trình của Windows, tất cả những thứ kể trên đều rất khó xác định. Vanguard cũng không phải ngoại lệ nhưng quan trọng nhất là: Quyền hạn nâng cao của Vanguard không tương thích với chiếc điện thoại được cắm vào.

Đó là kết quả của những chính sách bảo vệ đời tư có hiệu lực cách đây vài năm và bắt buộc cho tất cả các thiết bị di động. Khi Vanguard muốn có quyền truy cập hoàn toàn nhưng bất ngờ gặp phải một rào cản không thể vượt qua, chức năng “chống hack” sẽ được kích hoạt.

Bằng cách nào đó mà Vanguard lọt được qua chính sách kể trên (giả thiết là khả thi với quyền hạn Ring 0, dù có đôi chút khó lường), nhiều khả năng nó sẽ tìm được một app đầy khả nghi trên điện thoại của Mixwell để kích hoạt thuật toán “chống hack”.

Tuy nhiên, khi anh ấy cắm dây chuột vào USB thì điều này (gần như) không xảy ra (vì chuột máy tính không có dữ liệu gì ngoài lệnh để cài đặt driver).

4: XUNG ĐỘT

Dựa vào đâu mà chủ thớt chắc chắn đến vậy? Vì bản thân anh cũng gặp vấn đề nhưng là với tường lửa của mình. Như đã đề cập ở trên, anh có sự hiểu biết về bảo mật của các hệ thống sử dụng Windows. Anh tự thiết lập tường lửa của mình để không bị ảnh hưởng đến quá trình chơi game nhưng vẫn thực hiện tốt công việc bảo đảm an toàn.

Tường lửa chỉ hoạt động khi có truyền tải rõ rệt trong quá trình lưu thông vì anh không hề nghịch ngợm linh tinh gì và có sở hữu một công cụ diệt virus dành cho dân văn phòng.

Thế nhưng, Vanguard vẫn cảnh báo mỗi khi anh khởi động game. Lúc đầu, anh đoán là do tường lửa. Anh cố tìm vấn đề trong tường lửa nhưng không có. Rồi anh thử tắt nó thì lại vào được game bình thường. Anh liên lạc với bộ phận hỗ trợ và sau bản cập nhật mới nhất thì vấn đề đã biến mất hoàn toàn.

Một việc anh vẫn muốn làm đó là sử dụng Wireshark để theo dõi và kiểm tra mọi thông tin mà Vanguard gửi lên mạng lưới nhưng vì Vanguard thâm nhập quá sâu vào hệ thống nên việc này không đơn giản chút nào.

5: KẾT LUẬN

Tóm lại, một công cụ anti-cheat của năm 2020 nên:

• Không bao giờ chạy ở Ring 0 (Kerner-Mode Driver). Không lý do lý trấu. Thuyết âm mưu về mối quan hệ Riot – Tencent – chính phủ Trung Quốc không được tính đến trong bài viết này. Nhưng vẫn cứ là không.

• Không bao giờ được hoạt động khi game chưa chạy (hoặc launcher chưa chạy).

• Không bao giờ can thiệp vào bất cứ thứ gì khác trong máy tính của người dùng. Yêu cầu quyền đọc dữ liệu trong khi đang chơi Valorant(!)? Được thôi, nhưng không được ghi lên một file bên ngoài game của mình và/hoặc khi Valorant không chạy. Đã có nhiều trường hợp xác nhận Vanguard làm giảm FPS của game khác. Tuyệt đối không.

• Có một mục rõ ràng cho tường lửa để người dùng có thể thấy port đang được sử dụng cho mục đích giao tiếp. Nếu Riot theo dõi máy của tôi, tôi muốn được thăm dò công cụ theo dõi ấy.

• Không can thiệp vào bất cứ thiết bị gì mà người dùng cắm vào máy tính. Đó không phải là việc của Riot!

Valorant là một tựa game thú vị nhưng cái Vanguard Anti-Cheat này chỉ là một đống rác rưởi mà thôi. Thay đổi nhanh còn kịp khi mà game vẫn đang trong giai đoạn Beta.

Nếu máy tính của bạn là một cái ô tô, Vanguard sẽ có quyền kiểm soát tất cả, từ vô lăng, phanh, van tiết lưu. Đúng ra nó chỉ là một cái camera quay về phía ghế ngồi nhưng họ lại lắp hệ thống ấy vào trong động cơ để theo dõi.

Xem thêm:
>>>Thêm 1 player CS:GO chuyển sang thi đấu chuyên nghiệp Valorant.
>>>Hệ thống chống hack của Valorant gây giảm FPS cho các game khác và có quyền Admin máy tính của bạn.