Seria przełomowych obejść bazujących na hypervisorze pozwoliła piratom wydać nielegalne kopie dużych tytułów – w tym Resident Evil Requiem, Crimson Desert i Life is Strange: Reunion – w ciągu godzin od oficjalnej premiery. Denuvo – przez dekadę uważane za najskuteczniejszą ochronę przed piractwem w branży gier – straciło status niezdobytej twierdzy. Irdeto potwierdził TorrentFreakowi, że pracuje nad aktualizacją zabezpieczeń.
W jaki sposób piraci ominęli zabezpieczenia Denuvo w dniu premiery?
Tradycyjne metody łamania zabezpieczeń Denuvo wymagały tygodni lub miesięcy żmudnej inżynierii wstecznej. Cracker musiał przeanalizować ścieżki DRM w kodzie gry, zidentyfikować punkty weryfikacji i ręcznie wyłączyć każde z nich. To pracochłonny proces, który skutecznie odstraszał większość grup pirackich i opóźniał pojawienie się nielegalnych kopii.
Hypervisor działa zupełnie inaczej. Zamiast atakować grę bezpośrednio, operuje poniżej standardowego poziomu widoczności systemu operacyjnego – w warstwie określanej przez badaczy bezpieczeństwa jako Ring -1. Na tym poziomie – z wyłączonymi kluczowymi funkcjami ochronnymi – narzędzie przechwytuje instrukcje CPU wysyłane przez Denuvo i odsyła fałszywe dane. Gra myśli, że zabezpieczenie działa, gdzie w rzeczywistości jest całkowicie ominięte.
To fundamentalna zmiana podejścia. Tam, gdzie wcześniej konieczna była miesiącami praca przy konkretnym tytule, teraz wystarczy uruchomić gotowe narzędzie. W efekcie pirackie wersje już pierwszego dnia stały się faktem.
Skala przełomu jest bezprecedensowa. Według relacji TorrentFreak, oprócz wspomnianych premier, metodą hypervisora padły też chronione od dłuższego czasu tytuły – m.in. Assassin’s Creed Shadows. Środowisko pirackie zanotowało więcej przełomów w krótkim czasie niż przez wiele poprzednich lat łącznie.
Poważne ryzyko dla graczy. Co grozi za instalację hypervisora?
Metoda działa. Ale nie jest bezkosztowa dla użytkownika.
Aby uruchomić hypervisora, gracz musi wyłączyć kluczowe mechanizmy ochronne systemu Windows. Mowa o Virtualization-Based Security (VBS), Hypervisor-Enforced Code Integrity (HVCI) oraz egzekwowaniu podpisów sterowników. To zabezpieczenia zaprojektowane z myślą o blokowaniu malware’u na poziomie jądra, rootkitów i ransomware’u.
Administratorzy jednego z głównych forów sceny piractwa sami ostrzegają użytkowników. Administrator serwisu napisał wprost, że nawet jeśli ktoś ufa autorom hypervisora i samodzielnie skompiluje go ze źródeł, poważna podatność w jego kodzie może natychmiast zapewnić atakującemu maksymalny i niewykrywalny dostęp do systemu.
To nie pusta groźba. Systemy AMD są aktualnie stabilniejsze. Użytkownicy Intela zgłaszają poważne problemy z wydajnością i stabilnością, co popycha ich do kolejnych niebezpiecznych rozwiązań. Metoda jest wciąż młoda, a nowe problemy i rozwiązania pojawiają się dosłownie codziennie.
Pytanie, czy przeciętny pirat przeczyta te ostrzeżenia, pozostaje otwarte.
Oficjalna odpowiedź Irdeto na złamanie Denuvo
Denuvo nie milczy. Daniel Butschek – szef komunikacji Irdeto – potwierdził TorrentFreakowi, że firma aktywnie opracowuje zaktualizowane wersje zabezpieczeń dla gier dotkniętych przez obejścia hypervisora. Zapewnił przy tym, że wzmocnione środki nie wpłyną na wydajność dla legalnych graczy.
Butschek odniósł się też do spekulacji, że Denuvo musiałoby zejść do Ring -1, żeby skutecznie odpowiedzieć na nową metodę. Wykluczył tę ścieżkę wprost: firma nie zmierza w kierunku głębszych poziomów jądra. Dokładny mechanizm odpowiedzi pozostaje na razie nieujawniony.
Możliwości jest kilka. Denuvo mogłoby sprawdzać obecność zewnętrznych hypervisorów przez identyfikatory CPUID lub pomiary opóźnień procesora. W środowisku pirackim pojawiają się też głosy, że Irdeto mogłoby przejść na codzienne weryfikacje licencji – choć to uderzyłoby w legalnych graczy i prawdopodobnie i tak dałoby się ominąć. Inna opcja to współpraca z Microsoftem przy ograniczeniu trybu DSE, ale ta droga również wydaje się mało realistyczna.
Sama scena piracka nie jest w tej sprawie jednomyślna. Część środowiska początkowo odmawiała dystrybucji plików opartych na hypervisorze, argumentując, że żadna gra nie jest warta nieodwracalnych szkód dla komputera. Zmiana nastąpiła, gdy zespół KiriGiri i MKDEV wyeliminowali wymóg wyłączenia Secure Boot lub używania narzędzia EfiGuard – od tego momentu repacki z hypervisorem zaczęły się rozprzestrzeniać szerzej, każda z widoczną etykietą HYPERVISOR.
Pewne forum będące centrum tej sceny zawsze słynęło z restrykcyjnej moderacji. Przy hypervisorach zasady są jeszcze surowsze. Administrator RessourectoR wprowadził szczegółowe wymagania publikacyjne i listę dobrych praktyk dla każdego wydania. Na razie nie odnotowano poważnych incydentów bezpieczeństwa powiązanych bezpośrednio z tą metodą. To może się jednak zmienić – zaufanie do anonimowych źródeł zawsze można stracić.
Historia Denuvo to nieustanna gra w kotka i myszkę. Firma zawsze potrafiła odpowiadać na kolejne metody łamania zabezpieczeń, choć nigdy nie zdołała całkowicie wyeliminować piractwa. Cel zawsze był skromniejszy: utrzymać ochronę przez pierwsze tygodnie sprzedaży, gdy generuje się większość przychodów.
Teraz ten cel jest poważnie zagrożony. Day-zero piraty to rzeczywistość, nie groźba. Irdeto musi odpowiedzieć szybko i skutecznie, żeby przekonać wydawców, że Denuvo wciąż ma sens jako inwestycja.
Do tego czasu hypervisor pozostaje realną opcją dla tych, którzy są gotowi podjąć ryzyko. Najbardziej na „wojence” mogą ucierpieć gracze – historia pokazywała, że agresywna walka z piractwem i wprowadzanie kolejnych zabezpieczeń potrafią uprzykrzać życie zwykłemu konsumentowi na wiele sposobów. Nie bez powodu wśród graczy panuje niechęć względem Denuvo, które potrafi negatywnie wpływać na wydajność gier.
SEGA porzuca ambitny projekt o wartości 800 milionów dolarów. Firma wraca do korzeni
Nintendo potwierdza nowe gry na Switch 2. Akcje spółki spadły po podwyżce ceny konsoli
