Пираты победили Denuvo: игры теперь взламывают в день релиза, но разработчик обещает новые меры

Последние несколько недель значительная часть интернета, связанного с играми и пиратством, была охвачена волной ликования по поводу обнаружения обхода антипиратской защиты Denuvo. Новый метод не только позволил взламывать уже выпущенные игры, но и сделал выпуск репаков новейших игр в день их релиза нормой.

Современные версии Denuvo и их многоуровневые подходы к DRM-защите выдержали испытание временем и долго считались эталоном в сфере цифровой защиты компьютерных игр. Естественно, появление способа обхода Denuvo в любой игре, где используется эта защита, создаёт проблемы как для разработчиков из Denuvo Software Solutions GmbH, так и для материнской компании Irdeto, поскольку их основной источник дохода, по всей видимости, оказался под угрозой.

Irdeto через популярный новостной сайт о DRM и авторском праве TorrentFreak выступила с заявлением, в котором утверждается, что компания уже работает над контрмерами. Компания также заявляет, что от усиления защиты «производительность не пострадает» и что улучшенная защита не будет затрагивать операционную систему.

Упоминание компанией производительности отсылает к прошлому скандалу, когда независимые проверки антипиратской защиты Denuvo показали, что она вызывает скачки загрузки центрального процессора, что приводило к сильным рывкам и падению FPS во многих играх на разных конфигурациях ПК. Как пишет портал Toms Hardware, Denuvo категорически отрицала этот факт и впоследствии даже пыталась высмеивать его в интернете, поскольку взломанные версии работали намного лучше, чем те, что использовали DRM-защиту.

Irdeto также заявляла, что установка игр с обходом защиты представляет собой проблему безопасности. И в этот раз у компании есть веские основания для таких утверждений. Использование нового метода обхода Denuvo с помощью гипервизора заключается в запуске игры внутри скрытого низкоуровневого слоя, который находится ниже операционной системы и подменяет ответы на проверки защиты. Даже в его последней версии данный метод обхода антипиратской защиты требует от пользователей отключения на своих ПК:

• Системы безопасности на основе виртуализации (VBS): уровня, отделяющего операционную систему Windows от функций обеспечения безопасности, работающих на более высоком уровне привилегий.
• Функции защиты учётных данных: подфункции VBS, которая хранит учётные данные для входа в систему в изолированном от остальной части операционной системы контейнере.
• Проверки цифровой подписи драйверов: проверки того, что все драйверы, установленные в системе, должны иметь цифровую подпись, выданную Microsoft идентифицируемой компании или разработчику, чтобы предотвратить установку случайных драйверов на системном уровне.
• Функции изоляция ядра / целостность памяти (HVCI): аналогично вышеописанному, но полностью предотвращает установку/использование любого неподписанного кода на уровне ядра, а также модификации существующего подписанного кода, чтобы программы не могли пытаться вмешиваться в существующие драйверы.

Также метод требует установки созданного сообществом гипервизора с работающей поверх него Windows. Этот гипервизор имитирует ответы на проверки, которые выполняет Denuvo, и работает с более высокими правами доступа (уровень Ring -1, «ниже» ядра ОС), чем сама операционная система, за счёт чего имеет полный, практически неотслеживаемый доступ к оборудованию и программному обеспечению.

Отключение любой из вышеописанных функций безопасности по отдельности не рекомендуется, а деактивация всех сразу — тем более. Как только все эти цифровые контрольные точки будут отключены, любое запущенное на ПК вредоносное приложение получит полную свободу действий для захвата системы. При этом обнаружить или устранить последствия будет крайне проблематично. И, естественно, этот факт ускользнёт от обнаружения практически любым антивирусным пакетом.

Дополнительную обеспокоенность вызывает тот факт, что даже при отсутствии злых намерений (если опустить сам факт взлома игр) никто не может гарантировать, что гипервизор не будет иметь собственных уязвимостей в безопасности, которые можно эксплуатировать на уровне доступа, превышающем даже уровень доступа самой операционной системы.