Fortnite? Overwatch? League of Legends? Als u van deze spellen heeft gehoord maar het verschil tussen een aim-bot en een wall-hack niet kent (laat staan ESP), lees dan verder om te begrijpen waarom sommige ‘gewone’ mensen zich als een vis op het droge voelen bij competitieve wedstrijden — en waarom dat een probleem is.
Sinds 2018 vormen videogames een van de meest lucratieve industrieën ter wereld, en genereren ze meer dan € 39 miljard aan inkomsten in alleen al de Verenigde Staten. Er is een volledig media-ecosysteem ontstaan rond de gaming-industrie, met e-sports-toernooien die op kabeltelevisie worden uitgezonden en bijna 400 miljoen kijkers per jaar trekken. Streaming-platforms zoals Twitch en Mixer zorgen ervoor dat er nog meer kijkers bijkomen.
In tegenstelling tot de stereotypes van tieners en jongemannen, wijst onderzoek van ESA (Entertainment Software Association) erop dat de gemiddelde gamer in de V.S. 34 jaar oud is, en 45% van de doelgroep bestaat uit vrouwen. Een leidende factor bij het besluiten tot de aankoop van een videogame is vandaag de dag de mogelijkheid tot online gameplay, waardoor ontwikkelaars en uitgevers abonnementskosten in rekening kunnen brengen en spelers een competitieve arena kunnen aanbieden om hun vaardigheden te testen tegen andere tegenstanders.
Cheats voor videogames zijn niets nieuws, maar nu, onder de enorme verscheidenheid aan prestatieverhogende cheats, zien we cheats die malware-achtig gedrag vertonen, ontduikingsfeatures gebruiken en technieken die niet onderdoen voor geavanceerde, aanhoudende dreigingen.
Wat is videogame-cheating en hoe is het van invloed op de industrie en andere spelers?
In de context van de de gigantische multiplayer- en online games van vandaag de dag, kan cheaten een speler een oneerlijk voordeel opleveren ten opzichte van echte tegenstanders. Het bederft de pret voor alle anderen en veroorzaakt directe (door te cheaten) en indirecte (door uitputting) financiële verliezen voor game-bedrijven die ze niet lijken te kunnen stoppen.
Er bestaat niet slechts één indeling voor de classificatie van cheats, maar in zeer ruime zin bestaan er twee categorieën voor cheats binnen de online videogame-wereld: exploitatie van technische kwetsbaarheden in de client, de server, de omgeving of de game; en fraude door de privacy of veiligheid van de andere spelers in gevaar te brengen, of door insider-manipulatie. Het is niet verrassend dat deze twee soorten cheats vaak hand in hand gaan.
Er ontstaat een grijze markt
Jarenlang waren gestolen game-items of inloggegevens zelfs beschikbaar op bekende veilingsites zoals eBay. Vandaag de dag is er sprake van websites die zijn gespecialiseerd in virtuele items om hulp te bieden aan spelers die op zoek zijn naar de kortste route om game-items te verkrijgen. De economie omvat virtuele sweatshops waar iemand anders het account van een speler overneemt om saaie of eentonige taken te voltooien — en dat is slechts het topje van de ijsberg. Behalve het verkopen van cheats, handelen sommige gemeenschappen ook in gehackte accounts voor games, VPN-aanbieders en pornowebsites.
Een van de beruchtste cheats illustreert de grootte van de cheat-markt: WoWGlider, een bot die is ontwikkeld door MDY Industries voor de game World of Warcraft, die op zijn hoogtepunt 12 miljoen spelers in een virtuele wereld samenbracht. WoWGlider verkocht meer dan 100.000 kopieën voor $ 25 per stuk, wat deze enkele cheat tot een miljoenenonderneming maakte.
Net als bij ransomware is het bestrijden van ontwikkelaars van cheats met gebruik van juridische middelen een lang en saai proces, waarbij rekening moet worden gehouden met de wetten van meer dan één land — en als het directe gevolg daarvan positief uitpakt voor de uitgever van de game, weerhoudt niets andere mensen ervan om de fakkel over te nemen en de ene cheat door de volgende te vervangen.
Surfen op de ban-golf
In januari 2019 bande Valve Corporation, maker van het digitale distributieplatform Steam en populaire games zoals Counter Strike, Dota 2 en andere meer dan 1 miljoen accounts tijdens wat bekend staat als de grootste ban-golf die Steam ooit geraakt heeft (tot dusver).
Maar gemeenschappen zijn nog altijd vergeven van berichten met klachten over het toenemende aantal cheaters dat games verpest.
Valve’s digitale downloadmarkt en -gemeenschap registreerde 125 miljoen gebruikers in 2018, waardoor het het leidende distributieplatform voor pc-games blijft. Steam biedt uitgevers en ontwikkelaars een eenvoudige en bekende omgeving waarin ze hun creaties te gelde kunnen maken.
Een van de features die ervoor zorgt dat Steam zijn leidende positie behoudt als online gaming-platform is het VAC-systeem (Valve Anti-Cheat), dat cheats detecteert die zijn geïnstalleerd op computers van gebruikers en deze gebruikers vervolgens bant. Zelfs als nieuwe accounts eenvoudig aan te maken zijn, tenzij de gebruiker een soort controleerbare informatie verstrekt, zoals een creditcard of telefoonnummer, zal de functionaliteit op het platform enorm worden beperkt.
De manier waarop anticheating engines werken blijft onduidelijk; “security through obscurity” lijkt een essentieel onderdeel te zijn om cheaters in het duister te laten tasten over hoe de detectie precies plaatsvindt. Maar zelfs een simpele zoektocht op het internet heeft er bij sommige anticheating-systemen voor gezorgd dat spelers werd verboden om deel te nemen aan een spel nadat geheugenscans woorden zoals “cheat” detecteerden en deze verdachte activiteit meldden. Valve’s VAC werd beschuldigd van het inspecteren van DNS-verzoeken die door de gebruiker waren gedaan, zelfs vóór het lanceren van een spel op het platform.
Anticheating-tactieken omvatten volledige geheugenscans, procesanalyses, code-inspecties en meer. Gebruikers hebben natuurlijk hun zorgen kenbaar gemaakt over privacy-kwesties toen duidelijk werd hoe de componenten werken of hoeveel van hun informatie naar derden wordt verzonden.
De ontleding van malware-achtige cheats
Wanneer men rekening houdt met de netwerkarchitectuur van online games, moeten sommigen elementen door de client worden verwerkt om de verwerking te versnellen en de lag te beperken tussen het moment waarop een actie naar de server wordt verzonden en wanneer er een respons wordt ontvangen en dit op de display wordt weergegeven.
Dit laat de deur open voor client-side cheating, waarbij de speler game-bestanden en geheugenvariabelen kan aanpassen, of zelfs verschillende drivers voor grafische kaarten kan gebruiken om informatie te onthullen die eerder verborgen was door de game client. Dat is het geval bij een wall-hack of ESP (extrasensory perception, oftewel buitenzintuiglijke waarneming), waarbij een speler tegenstander door muren heen kan zien en god-achtige vaardigheden kan vertonen door simpelweg meer informatie tot zijn beschikking te hebben dan andere spelers.
Fortnite, een battle-royale-achtige game met meer dan 250 miljoen spelers, detecteert de aanwezigheid van een debugger als het spel wordt opgestart en probeert reverse-engineering-activiteiten te verijdelen, waarbij de gebruiker wordt gewaarschuwd. Meer geavanceerde cheaters gebruiken nu rootkits die game-modificaties kunnen verbergen voor anticheating-systemen. Dit creëert een dynamisch landschap waarin game-ontwikkelaars anti-cheating-oplossingen nodig hebben om hun games te beschermen, en deze oplossingen zouden ook rootkit-gedrag kunnen tentoonstellen. Het is een wapenwedloop tussen twee tegengestelde krachten — ironisch genoeg is dat ook vaak het geval in veel van de huidige videogames.
Cheats verpesten het plezier van andere spelers — voor starters
Het cheaten in videogames bestrijkt een breed spectrum aan activiteiten en motivaties.
Er bloeit een groeiende economie in een nichemarkt, gericht op individuen die bereid zijn te betalen voor hulpprogramma’s, hacks, trainers en modificaties die de moeilijkheidsgraad van een game naar wens kunnen aanpassen. Hun gedrag is soms intern gerechtvaardigd als het cheaten plaatsvindt om alleen het systeem te verslaan, en niet andere menselijke spelers. Voor de sociale en gedragsmatige gevolgen van het dwarszitten van andere spelers is een ander soort onderzoek nodig; de consequenties daarvan zijn duidelijk en hebben een directe impact op de inkomsten van legitieme bedrijven en eerlijke spelers.
Geldelijke schattingen van de grootte van deze virtuele economie zijn problematisch; het juridisch vervolgen van zulke gevallen onthult alleen een bescheiden glimp van dit landschap. Het probleem is naar alle waarschijnlijkheid veel groter dan wat we momenteel te zien krijgen door een aantal voorbeelden. De informatiebeveiligingsgemeenschap begint een meer proactieve aanpak te hanteren als het gaat om het onderwijzen en beschermen van gamers.
Het aanbieden van de eerlijke speelomgeving die bedrijven en gebruikers verwachten, vereist een multidisciplinaire aanpak, en net zoals game-ontwikkelaars wellicht niet over beveiligingsvaardigheden van zeer hoog niveau beschikken, kan het zijn dat beveiligingsexperts dan weer niet zo heel bekend zijn met de gaming-wereld.
Videogame-ontwikkelaars vertrouwen op een verscheidenheid aan gemeenschappelijke beginselen om meeslepende en verslavende omgevingen te creëren die spelers niet kunnen weerstaan. Er wordt veel tijd en moeite gestoken in het ontwerpen van levels, personages, en een beloningssysteem dat ervoor zorgt dat spelers blijven terugkomen voor meer. Cheaters verstoren deze delicate balans.
En als spelers stoppen met gamen en online gemeenschappen giftig worden, lijdt de hele industrie én de bijbehorende banen daaronder.
Niet alles is wat het lijkt
“The cake is a lie.” In de game Portal 2, toont een paasei aan dat de motiverende beloning niet altijd echt is. De essentie van gedragsmatig game-design gedistilleerd in één eenvoudige zin.
Valsspelen is al zo oud als de mensheid, maar de toevoeging van de technologische component produceert een aantrekkelijk systeem waarin de consequenties van dit gedrag op grote schaal kunnen worden bestudeerd en begrepen. Er wordt elke dag een breed aanbod aan hulpmiddelen voor game-modificaties verspreid, waarvan sommige met malware-achtige eigenschappen.
De antivirusindustrie heeft ervaring met het aanpakken van weggemoffelde code, uitvoerbare bestanden en andere veelvoorkomende technieken die worden gevonden in malafide voorbeelden die eenvoudig kunnen worden gebruikt in het game-ecosysteem. Ook al worden niet alle cheats op dezelfde manier gecreëerd of zijn deze niet allemaal kwaadaardig van aard, de illegaliteit van deze creaties is duidelijk, zelfs voordat er rekening wordt gehouden met de implicaties wat betreft de veiligheid en privacy voor gebruikers.