/dev: Vanguard x LoL

Riots Vanguard kommt für League

Das „Wie“ und „Warum“ von Anti-Cheat-Maßnahmen

Es ist bald wieder an der Zeit und ich muss dir erneut unsere vierjährlichen Anti-Cheat-Grüße übermitteln. Ich bin „mirageofpenguins“, ein Anti-Cheat-Fachmann, der zu seinen Lebzeiten bereits 85 Millionen Sperren verteilt hat, und ich bin heute hier, um mit dir über Vanguard zu sprechen.

Vielleicht hast du dich schon früher einmal durch unsere umfangreiche Literatur hinsichtlich der Anti-Cheat-Maßnahmen in „League of Legends“ gequält. Falls nicht, gibt es hier die empfohlene Lektüre, die man vorher vielleicht lesen sollte. Du kannst sie gern überfliegen, aber im Staate Kalifornien ist mittlerweile bekannt, dass dieser Stoff eine Verlängerung der Knochen hervorruft, und er wird in der Zwischenprüfung für dieses Semester nicht weiter vorkommen.

Die Nachricht, dass es Vanguard in „League of Legends“ geben wird, hat unbestritten zu geteilten Meinungen geführt – immerhin sind die große Mehrheit der Spieler keine Cheater, und niemand ist wirklich begeistert von der Idee, noch mehr Zeug auf seinem Computer zu installieren, nur weil Cheater nicht wissen, wie man fair spielt. Anti-Cheat findet eher im Dunkeln statt, und die Schatten, in denen wir normalerweise agieren, haben den unglücklichen Nebeneffekt, dass viel Verwirrung und Beunruhigung entsteht, und ehrlich gesagt auch viele falsche Informationen verbreitet werden.

Schnall dich also an, während wir versuchen, ein so helles Licht wie möglich darauf scheinen zu lassen, wie Vanguard seine Arbeit erledigt. Dieser Beitrag könnte etwas lang werden, aber ich verspreche, auch ein paar Bilder mit einzubauen.

Cheaten in League – Grundkurs

League of Legends ist ein relativ sicheres Spiel. Der Server bildet den gesamten Spielzustand ab, und der Client ist eigentlich nur dafür zuständig, „Anfragen“ an ihn zu richten. Das oft als autoritativ bezeichnete Modell bedeutet im Wesentlichen, dass unser Server die letzte Instanz ist, die über die Wahrhaftigkeit eines Vorgangs entscheidet, und dass Dinge wie das „Wirken von Fähigkeiten während der Abklingzeit“ fehlschlagen sollten, sobald wir es vom Server ausreichend validieren lassen. Deswegen sehen wir nicht mehr so viele Exploits und stattdessen greifen die meisten Cheater auf die Automatisierung von Eingaben zurück, auch „Schummelskripte“ genannt.

Die Entwickler von Schummelskripten erstellen Plattformen, die im Wesentlichen als eine Art „Hülle“ um den eigentlichen Client von League fungieren. Sie leiten das Spiel als einen Strom von Ereignissen an diese Hülle weiter und ermöglichen es dem Endnutzer, eine Auswahl von „Schummelskripten“ zu erstellen (oder eher von irgendwoher zu kopieren und einzufügen), die bestimmte Verhaltensweisen als Reaktion auf diese Ereignisse automatisieren. Als Ergebnis sieht man dann in der Regel perfekt getimtes Zeri-Kiting, als hätte sie eine fast tödliche Dosis Koffein intus, oder eine von Gott berührte Cassiopeia, die allein durch die Macht des Gebets von jedem Skillshot unberührt bleibt. Es macht natürlich keinen Spaß, gegen Cheater zu spielen, was aber vielleicht noch schlimmer ist: Man verdächtigt andere Spieler schnell mal, solche Schummelskripte einzusetzen, wenn man erst einmal weiß, dass es sie gibt.

Hartnäckige Skriptersteller

Unser erstes Problem besteht darin, dass Cheaten süchtig macht und die Schreiber dieser Schummelskripte überaus beharrlich sind. League of Legends ist ein kostenloses Spiel, und ein Bann reicht meistens nicht aus. Regelmäßige Sperrungen treffen hier auf einen relativ gesättigten Markt für Zweitkonten, wobei die Hürde für einen Wiedereinstieg ins Spiel nur darin besteht, dass ein neues Konto der Stufe 30 zum Zeitpunkt dieses Artikels etwa 2,00 € kostet, mit einer großen Portion Pommes als Beilage. Diese Art von Preispolitik, bei der Quantität vor Qualität geht, ist nur möglich, weil – wie du vielleicht schon geahnt hast – die angebotenen Konten selbst durch Anwendung von Skripten hochgelevelt werden, was zu einer Art Endlosschleife führt, bei der Cheater immer und immer wieder versuchen können, ihre Schummelskripte zu optimieren.

Eine wissenschaftliche Untersuchung über den mangelnden Willen des gemeinen Skripters, mal selber gut zu werden, lässt sich am besten mit einem antiquierten Medium veranschaulichen, das den heutigen Historikern als „Liniendiagramm“ bekannt ist. Das oben abgebildete Diagramm zeigt den prozentualen Anteil der gespielten „League of Legends“-Spiele, in dem mindestens ein Cheater oder Bot-User mitgespielt hat. Wie immer habe ich die Anzahl der gesperrten Konten in einer zweiten Y-Achse dargestellt, damit du das ganze Ausmaß erkennen und den hoffentlich verursachten Schmerz spüren kannst.

Im Laufe des Jahres 2023 haben die liebenswerten Rabauken unseres Anti-Cheat-Teams Erkennungsmethoden in den LoL-Client geschmuggelt, die Aufschluss über das Ausmaß der Schummelskripte-Epidemie geben. Diese frechen Sicherheitsmanöver, die auch „Honeypots“ oder „Spicy Values“ genannt werden, funktionieren jedoch nur einmal, da jeder verhängte Bann zu einer genauen Prüfung und dem sofortigen Entlarven durch die Cheat-Communitys führt. Wir haben nur eine begrenzte Anzahl an Assen im Ärmel, weshalb diese Vorgehensweise in etwa so nachhaltig ist wie Schweröl. Nun haben wir jedoch Zugang zur größten Waffe der Menschheit: Statistiken.

In den letzten Monaten war weltweit in 1 von 15 Spielen ein Skripter oder Bot-User am Werk, in einigen Regionen lag diese Zahl sogar bei 1 zu 5. Das Cheaten ist nicht wirklich auf bestimmte Regionen begrenzt – die Cheater gehen einfach dorthin, wo das Cheaten am einfachsten ist. In östlichen Ländern ist die Rate der Schummelskripte höher, da sich dort Cheater aus China und Korea tummeln, deren Heimatregionen über exklusive Anti-Cheat-Methoden und (was noch viel wichtiger ist) Identitätsanforderungen für das Gaming, die von der jeweiligen Regierung vorgegeben werden, verfügen.

Cheaten lohnt sich nur dann, wenn es Ruhm gibt, der es wert ist, gestohlen zu werden. Daher sind Betrugsversuche tatsächlich ein Zeichen für ein erfolgreiches, wettkampforientiertes Umfeld. Allerdings sind es viel zu viele für ein Spiel mit olympischen Ambitionen, und wenn wir wollen, dass ein Sieg etwas bedeutet, müssen wir dafür sorgen, dass er fair und rechtmäßig errungen wurde.

Effektive Skriptersteller

Das zweite Problem ist, dass die Schummelskripte ziemlich effektiv sind, und man muss ihnen zugestehen (leider), dass die Skriptersteller recht gut darin geworden sind, ohne den Einsatz ihrer Hände zu spielen. Optimal gesteuert liegt die Siegesrate der Skripter in Ranglistenspielen bei etwa 80 %. Dies und der schier unerschöpfliche Nachschub an Konten lässt sie immer wieder in den Ranglisten nach oben klettern.

Mit der Zunahme der Schummelskripte beobachten wir wieder eine bestimmte Verteilung der Skripte auf die einzelnen Stufen, wobei die höheren Ränge bevorzugt werden. Mir ist auch wichtig zu betonen, dass ich höchstpersönlich die Ranglistensymbole für die Hex-Farben, die in dieses Meisterwerk eingeflossen sind, verarbeitet und gemittelt habe. Es hat mich über eine Stunde gekostet, und meine Augen tränen immer noch.

Der vielfarbige Regenbogen, den du hier zu Gesicht bekommst, ist der Prozentsatz der beendeten Ranglistenspiele, in denen ein Cheater sein Unwesen trieb, aufgeschlüsselt nach dem Rang, den ein Skripter hatte, nachdem das Spiel beendet war. Und ja, du siehst das ganz richtig, in mehr als 10 % aller Spiele der Meisterklasse oder höher befand sich ein Cheater. Selbst bei den Herausforderern, die wir in regelmäßigen Abständen manuell überprüfen, gibt es eine beträchtliche Anzahl an Cheatern. Aus statistischer Sicht wird dies von Analysten oft als eine „miserable Linie“ bezeichnet, und wir sind von diesem Trend alles andere als begeistert.

Und was das Ganze noch schlimmer macht, ist die Tatsache, dass wir nicht wissen, wie sich dieser Trend fortsetzen wird, da die aktuellen Anti-Cheat-Maßnahmen besiegt wurden.

Packman (nein, das ist kein Tippfehler)

Aus Gründen, auf die wir gleich noch weiter eingehen werden, wollten wir den großen Vanguard-Knopf erst dann drücken, wenn es unbedingt sein musste. Deshalb hat League bis jetzt (seit fast sechs Jahren) mit Hilfe eines Anti-Manipulationsprogramms namens „Packman“ überlebt. Aufgrund einer unablässigen Flut von Cheats und Sperren bewegt sich der Bereich der Anti-Cheat-Technologie jedoch mit rekursiver Lichtgeschwindigkeit. Nach Berücksichtigung der hyperbarischen Zeitausdehnung ergibt sich ein Alter von etwa 250 Millionen „Schummeljahren“ für Packman, was die Grenze ins Prä-Mesozoikum verschiebt.

Das Hauptziel von Packman war es, die Analyse der Spielbinärdatei zu erschweren, und dazu gehört auch das „Verstecken“ der Anti-Cheat-Erkennungen, die sie an einen Spiel-Client anhängt. Das Problem ist, dass das Verbreiten der entschlüsselten Spiel-Binärdateien und das Umgehen der Anti-Cheat-Prüfungen jetzt eher einer Trainingsübung gleicht, was durch den Cyberangriff Anfang letzten Jahres wahrscheinlich nur noch einfacher geworden ist. Packman war nie dafür gedacht, überhaupt so lange im Einsatz zu sein, und die Weiterentwicklung ist einfach nicht mehr tragbar gewesen.

Laut der Publishing-Abteilung ist die Verwendung einer logarithmischen Y-Achse anscheinend ein Verbrechen in der Größenordnung von Hexerei, weshalb ich „Honeypot“-Entdeckungen aus Gründen der Vergleichbarkeit aus dem Graphen oben entfernt habe. Dadurch sind nur Banne übrig geblieben, die mithilfe des alten Packman-Systems verhängt oder überprüft wurden.

Mit diesem Diagramm möchte ich das emotionale Auf und Ab, das wir durchleben, visualisieren, auch wenn sein wahres Ausmaß sich ganz sicher nicht in zweidimensionaler Form darstellen lässt. Die Abbildung zeigt die wöchentlichen Sperrungen, die in League aufgrund von Schummelskripten ausgesprochen wurden, aufgeteilt nach solchen, die aufgrund einer Erkennung durch Packman (blau) erfolgten, und jenen, die ein Anti-Cheat-Beauftragter „manuell“ erteilt hat. Da die Effektivität von Packman nachlässt, sind wir nicht mehr in der Lage, mit dem zunehmenden Einsatz von Schummelskripten Schritt zu halten und eine noch so große Anzahl von Händen, die eine noch größere Anzahl an Betrugsmeldungen überprüfen, ist langfristig gesehen keine strategisch sinnvolle Option. Wenn wir für ein faires Spiel sorgen wollen, müssen wir also aufrüsten.

Vanguard betritt die Bühne

Wie die meisten Anti-Cheat-Programme besteht auch Vanguard aus einem präventiven und einem detektivischen Teil. Wir wollen so viele Betrugsmethoden wie möglich von vorneherein unterbinden, aber in bestimmten Bereichen, in denen das sofortige „Verhindern“ eines Betrugs lokal (und offensichtlich) zu leicht dazu führen würde, dass unser Vektor revidiert werden kann, „entdecken“ wir stattdessen passiv den Eingriff und ergreifen erst nach einer Verzögerung Maßnahmen. Indem wir unsere wundersamen Erkennungszauber hinter die Prüfung unseres Servers stellen, haben wir die Möglichkeit, unsere Methoden zu verschleiern, wenn wir sie durch scheinbar willkürliche Sperren für die Entwickler noch undurchsichtiger machen. Dieses Spiel wird oft als „Katz- und Mausspiel“ bezeichnet, und es ist ein grotesker Tanz, den jeder Anti-Cheat-Entwickler weltweit tagtäglich vollführt.

Das schnellste Anti-Cheat ist das beste Anti-Cheat

Indem wir uns vom Spiel-Client abkoppeln und mehr von Vanguard auf den Server verlagern, können wir bei Spielern, bei denen ein erhöhtes Risiko besteht, andere „Checks“ durchführen, was unsere Erkennung von Verstößen deutlich beschleunigt und zielgerichteter macht.

Die „Zeit zum Handeln“ ist die Anzahl Spiele, die ein Cheater abschließen kann, bevor sein Konto in die Dimension zwischen den Welten gleitet. Das ist aus verschiedenen Gründen nicht perfekt, aber ich zähle mich zu den wenigen Glücklichen, die die Möglichkeit haben, A/B-Tests für Anti-Cheats sowohl im Nutzermodus als auch im Kernel-Modus durchzuführen.

Zur Veranschaulichung hier ein Diagramm der „Zeit zum Handeln“ bei beiden Spielen, auch wenn das kein wirklich fairer Vergleich ist. Betrügereien sind bei Ego-Shootern weitaus ausgefeilter, und obwohl Spiele in League of Legends von kürzerer Dauer sind, lag League von Anfang an weit vorne, um dieses Rennen zu gewinnen. Aufgrund des aerodynamischen Designs von Vanguard (und der Geschwindigkeit, mit der es angepasst werden kann) ist es jedoch so mühsam geworden, unentdeckt zu bleiben, dass sich die meisten Cheater nicht einmal die Mühe machen. Stattdessen regen sie sich ein paar Spiele lang auf und werden dann gesperrt, so wie es von der Natur vorgesehen ist.

Umgebungssicherheit

Vanguard unterscheidet sich von anderen Anti-Cheat-Programmen durch die Durchsetzung von Sicherheitsstandards, die noch weiter links vom Spiel-Client liegen – und zwar auf dem Betriebssystem selbst. Einige dieser Anforderungen funktionieren nicht völlig reibungslos, errichten jedoch viele Hürden für diejenigen, die beim Verbreiten von Cheats erfolgreich sein wollen. Aus diesem Grund müssen wir ständig Kompromisse eingehen zwischen der Sicherheit des Spiels und der Leichtigkeit, mit der Spieler darauf zugreifen können.

TPM 2.0

LoL x Vanguard erfordert ein TPM 2.0-Modul, und obwohl Microsoft ursprünglich vorhatte, ein solches für alle neuen Windows 11-Installationen vorzuschreiben, war die tatsächliche Durchsetzung dieser Vorgabe relativ schwach und konnte leicht umgangen werden. Wir haben dies nun aufgegriffen und uns entschlossen, es selbst umzusetzen. Es kann passieren, dass einige wenige Windows 11-Nutzer nun feststellen, dass sie League of Legends nicht mehr ohne weiteres spielen können, insbesondere dann, wenn sie Registrierungsschlüssel geändert haben, um diese Anforderung zu umgehen.

TPM steht für „Trusted Platform Module“ (Vertrauenswürdiges Plattformmodul), und wir benötigen es aus zwei Gründen. Der erste Grund besteht darin, dass es die Sicherheit der Validierung von Zertifizierungssignaturen erhöht (etwas, auf das wir uns verlassen, um zu wissen, ob andere Software vertrauenswürdig ist). Der zweite (und noch wichtigere) Grund ist aber, dass es als eine nicht fälschbare Form der Hardwarekennung fungiert. Wenn es eingeschaltet ist und funktioniert, können wir davon ausgehen, dass du nicht cheaten willst, denn wenn du das tun würdest, könnten wir den Chip leicht für immer aus dieser Domäne verbannen. Um mehr darüber zu erfahren, wie du TPM aktivierst, sieh dir bitte diesen hilfreichen Support-Artikel dazu an.

Der Treiber

Anti-Cheat-Treiber sind nichts Neues, und wir haben sie auch nicht erfunden. Der Zweck unserer Treiber-Komponente ist nicht das Sammeln von weiteren Informationen – wir sehen durch den Benutzermodus bereits alles, was wir brauchen. Stattdessen ist das primäre Ziel von Vanguard, zu bestätigen, dass das Spiel aktuell in einer vertrauenswürdigen Umgebung läuft. Dadurch müssen wir weniger Erkennungen erstellen, weniger Daten sammeln, und vor allem können potenzielle Cheater schwerer auf das Spiel zugreifen.

Wir möchten so viel von unserem Anti-Cheat-System wie nur möglich (und ungefährlich) in ein vorbeugendes Muster umwandeln. Windows kann leicht beschädigt werden und angesichts der aktuellen Bedrohungen müssen wir uns selbst um unsere Abwehrmaßnahmen kümmern. Wir müssen den Daten des Betriebssystems über den Prozess VALORANT vertrauen können, sonst können Cheater ihn gefährden, unsere Überprüfungen umgehen und „vorlügen“, dass alles in Ordnung ist.

VALORANT_Games_Detected_vs_Actions_Taken_DE.jpg
„Hardware“ zeigt an, dass das Konto sofort als Wiederholungstäter erkannt wurde. „Manuell“ bezeichnet ein Konto, das von einem Beauftragten überprüft werden musste, bevor es gesperrt wurde. „Erkennung“ ist genau das, was du bestimmt vermutest: Eine Sperre, die wegen festgestellter Cheat-Software verhängt wurde. Sie sind nach „Geschwindigkeit“ eingefärbt und „Manuell“ mögen wir immer noch nicht gerne.

Zu guter Letzt sehen wir uns den Prozentsatz der Ranglistenspiele in VALORANT mit einem Cheater an: Ein wundervoller Kontrast zu den Gerichten, die aus der Küche von Vanguard kommen. Selbst wenn es schwierig wird, können wir mithilfe der Hardware-Erkennung und den Systemanforderungen von Vanguard die Stellung halten, aber vor allem hebt das hervor, was uns heute in League of Legends fehlt. Das aktuelle Anti-Cheat-System von LoL verfügt über keine Befragungs- oder Umgebungsbestandteile – alles ist nur „Erkennung“ oder „Manuell“.

Die Härte der Abfragen von Vanguard an die Sicherheit des Hosts treibt die Kosten von wiederholtem Cheaten in die Höhe. Klar kann ein Cheater seine Festplatten in die Spülmaschine stecken oder manuell seinen eigenen Code in den Kernel-Speicher mappen (an alle Cheater, die das hier lesen: Traut euch ruhig, ich bin schon gespannt auf die Ergebnisse), aber der Punkt ist, dass diese Dinge Cheater Geld und Zeit kosten.

Warum ist es immer aktiviert?

Vanguard läuft nicht wirklich „ständig“. Der Treiber lädt beim Hochfahren, aber Vanguard wird nicht aufgerufen und es besteht keine Netzwerkverbindung, solange du nicht ein Riot-Spiel startest. Es sitzt buchstäblich nur rum (auf bedrohliche Weise), damit es sicherstellen kann, dass zwischen dem Laden von Windows und dem Starten des Spiels nichts passiert, das dem Betriebssystem schaden könnte.

Wenn du League startest, kontaktiert der Vanguard-Client den Treiber, um zu bestätigen, dass alles zu 100 % in Ordnung ist. Und wenn das stimmt, erhältst du eine gültige Anti-Cheat-Sitzung und darfst dich mit dem Spielserver verbinden. Die Anweisungen des Clients aktivieren dann Funktionen im Treiber, die auf Dinge achten, die den signierten League-Prozess beeinträchtigen könnten, und diese verhindern. Du kannst jederzeit den Treiber deaktivieren und musst dann nur dein Gerät neu starten, um die Integrität der Vertrauenskette „wieder zu bestätigen“, bevor du ein Spiel starten kannst.

LoL x Vanguard

Wenn Vanguard in League Einzug hält, wird die Anzahl der Cheater drastisch zurückgehen, aber das ist noch lange nicht alles.

Durch die stärkere VM-Prävention treiben wir die Kosten von Bot-Programmen in die Höhe und machen Wiederholungstätern ordentlich das Leben schwer. Dadurch wird es weniger Bots geben, die Konto-Boosting betreiben, und das Umgehen von Sperren wird nicht mehr einfach nur aus „ein anderes Stufe-30-Konto kaufen“ bestehen. Mit seinem Gerätefingerabdruck bietet uns Vanguard auch erneut Gelegenheiten, uns um die Manipulation der ELO-Wertung (Boosting), Smurfing und Kontokompromittierungen zu kümmern. Wir werden Belohnungen zurücknehmen können, die Booster nicht verdient haben, Smurfs schneller auf ihre angemessene Wertung bringen und vielleicht sogar „unfaire“ arrangierte Gruppen ungültig machen.

Durch die erhöhte Sicherheit des Clients und weniger Skripte kann das Team von League mehr mechanisch anspruchsvollere Designs wie Kombos, Timing-Fenster und Exekutierungen umsetzen. Die Ranglistenstatistiken werden nicht so stark von Spielern verzerrt sein, die Skripte einsetzen, womit wir einfacher die Balance für Champions mit hohem Risiko und hohem Potenzial finden können. Außerdem können von Cheatern ruinierte Spiele im Zuge dessen „zurückgenommen“ werden und die betroffenen Spieler erhalten ihre LP zurück.

Ich weiß, dass du dich vielleicht nur schwer über ein neues Anti-Cheat-System freuen kannst, aber wir sind gerade am schwierigsten Punkt. Sobald das geschafft ist, wird es nur noch besser.

Bis zum nächsten Mal

Das Team von Vanguard besteht mittlerweile aus fast dreißig Leuten, also fast 1.000 % mehr im Vergleich zu den einsamen drei, die 2014 damit begonnen haben. Wir haben alles von unserer Daten-Pipeline bis hin zu unserer Cheat-Erkennung selbst gemacht, und die Teammitglieder geben alles, um das fairste Gaming-Erlebnis zu schaffen. Einige unserer Erfolge stammen aus technischen Innovationen, aber ein viel größerer Teil entstand aus simpler harter und unnachgiebiger Anstrengung. Cheater arbeiten ständig gegen uns, und unsere Sorgfalt ist nur dank der Unterstützung unserer Spieler möglich.

Danke fürs Lesen, danke fürs Spielen und danke, dass du ein paar albernen Ex-Cheatern geholfen hast, einen höheren Sinn zu finden.

Häufig gestellte Fragen

Willkommen zurück. Diese nächsten paar Fragen hier haben nicht so recht irgendwohin gepasst, also haben wir sie für begeisterte Leser unten hingepackt – hauptsächlich, damit sie alles Wissen aufsaugen können, das wir zu teilen haben. Sei aber gewarnt, dass mein großartiger Lektor diesen Teil explizit mit den Worten „das überlebst du nicht“ ignoriert hat. Wenn du es also wagst, über diese Zeilen hinaus zu lesen, begibst du dich in die Welt des ungefilterten Wahns. Du wurdest gewarnt.

F: Ist Vanguard nicht Spyware?

Nein, aber ich wette, mit diesen Wörtern in genau dieser Reihenfolge kann man rein rechnerisch am schnellsten Retweets sammeln. Sämtliche Inhaltsalgorithmen sind programmatisch süchtig nach den Klicks, die die Wörter „Spyware“ oder „Rootkit“ generieren, und die mathematische Jagd nach der nächsten Dosis hat sie weg von informativem Journalismus und hin zu einem falschen Pandämonium geführt, dessen einziges Alleinstellungsmerkmal seine bemerkenswerte Nutzlosigkeit ist.

Jede Region muss sich an die entsprechenden Richtlinien und regulatorischen Vorgaben halten, weshalb Tencent beispielsweise sein eigenes Anti-Cheat-System für Spiele in Tencents Region (darunter Riot-Spiele, für die Tencent der chinesische Publisher ist) hat. Zwar geben wir die Cheats weiter, die wir finden, damit unsere jeweiligen Teams Erkennungen für sie entwickeln können, aber wir müssen abgesehen davon nichts teilen. Wir haben uns mit dem Anti-Cheat-Team von Tencent in einem ganzen Jahrzehnt vielleicht dreimal getroffen, und ausgetauscht haben wir nur Grüße und die Berichte über gesperrte Konten. Wir haben weder Vanguard noch seinen Code weitergegeben und Anti-Cheat-Daten haben nie die Büros von Riot verlassen.

F: Warum brauchen wir Anti-Cheat-Systeme?

Ich möchte doch wohl hoffen, dass dieser Artikel zumindest eine winzige Delle in die Kunststoffwand geschlagen hat, die diese Frage ist. Aber um noch weiter herumzuphilosophieren: In League besser zu werden ist wie ein Instrument zu lernen – nämlich durch harte Übung. Ich persönlich habe das nie erlebt (15 Jahre und ich habe die Platinhürde nie überwunden), aber der springende Punkt ist, dass man es könnte. Alles, was du brauchst, um dich mit den Besten zu messen, sind dein Gehirn, ein Ethernet-Kabel und Maus und Tastatur mit Hintergrundbeleuchtung.

Übung dauert und man kommt nicht um sie herum. Aber was wäre, wenn du jemanden bezahlen könntest, die Tasten für dich zu drücken, anstatt selbst zu üben? Und was, wenn du nicht einmal die Tasten drücken müsstest, sondern einfach nur deinen Toaster programmieren könntest, damit er das Spiel für dich spielt? Was, wenn du das Spiel gar nicht spielen würdest, sondern einfach nur einen Pokal mit der Plakette „Der Allergrößte“ kaufen würdest? Diese Dinge machen die Leistungsgesellschaft kaputt, verringern die Zufriedenheit und machen jeden Grund zunichte, sich wirklich zu bemühen. Wir wollen, dass der Sieg verdient ist, und wir wollen, dass er dir etwas bedeutet.

F: Was ist mit Linux?

Wir haben Linux nie offiziell unterstützt, und es stimmt, dass die aktuelle Lutris-basierte Implementierung für League nicht die Anforderungen des Vanguard-Treibers erfüllen kann. Linux bietet uns im Moment keine ausreichenden Möglichkeiten um den Boot-Status oder die Kernel-Module zu bestätigen, und die Schwierigkeit bei der Sicherheit wird durch die frustrierenden Unterschiede zwischen den Distributionen nur weiter erhöht. Es wäre sogar höchst gefährlich, Emulatoren zu erlauben, da viele Cheats dann einfach nur auf dem Host laufen und die VM auf eine Weise manipulieren oder analysieren könnten, die für Vanguard unsichtbar ist.

Bei Anti-Cheat-Systemen liegt ein großer Teil darin, sicherzustellen, dass die Umgebung nicht manipuliert wurde, und das ist naturgemäß auf Linux extrem schwierig. Sämtliche Hintertürchen, die wir uns offenhalten, werden von Entwicklern sofort für Cheats genutzt, und gestern haben nur etwa 800 Linux-Benutzer League gespielt. Wir sind zu dem Schluss gekommen, dass es dieses Risiko nicht wert ist.

F: Habt ihr die Cheater schon mal freundlich gebeten, damit aufzuhören?

Wir haben Cheater einmal gebeten, uns handschriftliche Entschuldigungen zuzusenden, damit ihre Sperren aufgehoben werden. Einige haben versprochen, damit aufzuhören, viele haben Kinder auf Fiverr billigst angeheuert, die diese Entschuldigung für sie schreiben sollten, und 91 % der Konten, deren Sperren wieder aufgehoben wurden, wurden innerhalb der nächsten 6 Monate wieder wegen Schummelskripten gesperrt. Mit diesem Gegner kann man nicht verhandeln und unsere beste Verteidigung ist, ihre Versuche zu vereiteln, bis sie genug Zeit hatten, um so etwas wie Empathie zu entwickeln.

F: Ich habe gehört, dass Vanguard Tastaturen zerstört?

Bei der Veröffentlichung (im Jahr 2020) haben wir entschieden, dass Vanguard seine Positionierung beim Hochfahren einsetzen soll, damit bekannte signierte, aber anfällige Treiber nicht in vollem Umfang geladen werden. Damit wollten wir verhindern, dass Cheater ihre eigenen Treiber laden (oder gehackte Dienste zum Laden nutzen) und somit Vanguard unterwandern. Allerdings ist uns im Kompatibilitätslabor (und nicht einmal im Alphatest) nicht aufgefallen, dass außerordentlich spezifische Hardwarekonfigurationen maßgeschneiderte und kaputte Kernel-Treiber verwenden, um vergleichsweise unbekannten Geräten Anweisungen zu geben.

In einem berüchtigten Fall ging es um einen Treiber, der für die Tastaturbeleuchtung verantwortlich war. Cheater konnten leider diesen ansonsten ordentlich signierten Treiber nutzen, um ihre eigene Malware zu laden. Dadurch „sahen“ sie wie eine bedenkenlose Installation von Windows aus (bei der die Zertifikatsverifizierung noch aktiviert war), doch es konnten Cheats auf Kernel-Ebene ausgeführt werden. Weil dieser Treiber nur für Tastaturbeleuchtung und -makros verantwortlich war, haben wir ihn ausgeschlossen, bis die Entwickler einen neuen veröffentlichten. Daraus entstand das Gerücht, wir würden Tastaturen mit Hintergrundbeleuchtung hassen – was zugegebenermaßen stimmt (wir sind Kinder der Finsternis).

F: Was ist mit Falschmeldungen?

Spieler, die behaupten, sie wären „fälschlicherweise gesperrt“ worden, fallen in eine von sieben Kategorien, hier nach Wahrscheinlichkeit sortiert:

  1. Sie geben eine erfundene Geschichte an.

  2. Sie haben mit einem Smurf einen Cheat ausprobiert und ihr Hauptkonto durch die Hardwareverknüpfung vergiftet (was wir intern als „Hoppala“ bezeichnen).

  3. Sie haben ihr Konto mit jemandem geteilt, der gecheatet hat – bei solchen Personen handelt es sich in der Regel um Boosting-Dienste oder Verwandte.

  4. Sie haben sich wiederholt mit einem Booster in die Warteschlange eingereiht, der Cheats benutzt hat, und dadurch eine 180-tägige Sperre erhalten.

  5. Ihr Konto wurde von einem wütenden Serienhacker gestohlen, der es benutzt hat, um andere Spieler genau 6 Spiele lang zu quälen.

  6. Sie haben eine Cheat-Software für ein anderes Spiel benutzt, die Vanguard zu ihrem Leidwesen entdeckt hat.

  7. Sie haben Malware installiert, die dieselben Operationen ausführt wie ein Cheat.

Was die Fälle von Kontokompromittierungen betrifft, so versuchen wir, die Konten zum Schutz zu sperren, wir sind jedoch nicht immer schnell genug. Manchmal macht der Schaden einen zu großen Prozentsatz der Spielzeit des Kontos aus und es wird so gut wie unmöglich, festzustellen, wer der „wahre“ Besitzer ist. Was Hardware-seitige Cheats angeht, so können wir immer sagen, für welches Spiel der Cheat gedacht war, daher empfehlen wir dir auch, in keinem Spiel zu cheaten. Was tatsächliche Falschmeldungen betrifft (die meistens durch Malware verursacht werden), so machen wir die Regel, durch die sie nach den Analysen zustande gekommen sind, komplett „rückgängig“ und heben alle Banne auf, die aufgrund eines schadhaften Assets verhängt wurden. Diese Fälle sind selten und es kommt noch seltener vor, dass solche Sperrungen mehr als einige Tage dauern.

Wenn du eine Anfrage bezüglich einer Überprüfung einer Sperrung stellen möchtest, sende uns bitte ein Ticket, und falls du eine Antwort erhalten solltest, die du erwartet hast, dann bedeutet das lediglich, dass das Konto einem der ersten 6 Fälle zugeordnet wurde.

F: Warum verklagt ihr nicht einfach die Entwickler von Cheats?

Oh, keine Sorge, das tun wir in nötigen Fällen und unsere Rechtsabteilung macht nichts lieber, als die Erfahrungen zu verteidigen, die Riot den Menschen zur Verfügung stellt. Doch im Fall von Vanguard gibt es nur sehr wenige Entwickler, die bisher die Ausdauer hatten, um eine Klage zu rechtfertigen. Viele versuchen erst gar nicht, Vanguard zu umgehen, und wer es probiert, gibt in der Regel nach ein oder zwei verhaltenen Versuchen, die Anti-Cheat-Salven abzuwehren, auf. Außerdem spielen uns auch die unerbittlichen Exit-Scams in die Karten, da sie in der Cheating-Community Misstrauen säen und dadurch die Wahrscheinlichkeit verringern, dass größere Anbieter zu einem wirklichen Problem werden. Durch die richtige Anti-Cheat-Haltung entsteht nur selten ein ausreichend großes Geschäftsfeld rund um einen Provider, um eine Klage zu rechtfertigen. Aktuell befasst sich ein Großteil unserer Rechtsabteilung mit Werbungen für Malware, die als Aimbot getarnt ist.

F: Warum entwickelt ihr nicht einen Spielmodus für Cheater?

Eine „Cheater-Insel“ klingt nach einer Menge Spaß, wir haben uns jedoch dazu entschlossen, unsere Zeit stattdessen mit dem präventiven Verhindern von Cheats zu verbringen. Wir verfügen nicht über unendlich Geld und wenn wir Ressourcen für Spielfunktionen aufwenden würden, die nur dazu dienen, Cheater zu quälen, die wir bereits erwischt haben, dann würde das im Grunde das „Anti-“ aus „Anti-Cheat“ nehmen. Sollte sich mein Budget jedoch verfünffachen, dann werde ich mich dafür einsetzen, dass die Cheater Hausarrest erhalten. Ich werde deine Eltern anrufen, für eine Spieleentwicklerkonferenz. Vergiss Hardware-Banne und rate, wer nicht zum Abschlussball gehen darf … Bitte wende dich an dein lokales Kongressmitglied.

F: Was ist mit OSX?

Im Moment gibt es auf OSX noch nicht besonders viele Tools für die Entwicklung von Skripten, doch der „Bedarf“ wächst. Vorerst wird es kein Vanguard für Mac geben, aber wir haben immer noch ein paar Asse im Ärmel, wenn Cheater zwangsläufig versuchen, das auszunutzen. In der Zwischenzeit wurde mir mitgeteilt, dass es pro Kartendeck nur vier Asse gibt. Ich lehne diese Hypothese auf Basis von erhöhtem Durchsatz ab. Warum sollten wir nicht 5 Asse ausspielen? Mehr Asse = unschlagbar. Wer fordert mich heraus zu einer Partie?

F: Macht Vanguard die Tools von Drittanbietern kaputt?

Entwickler, die nicht die offiziellen APIs benutzen, werden Schwierigkeiten haben, weiterhin Informationen aus dem Speicher des Clients auszulesen, was vor allem daran liegt, dass Cheats genau das tun. Sobald wir bestimmte Tools zulassen, sind wir für deren Sicherheit verantwortlich, wenn Cheats versuchen, sie auszunutzen – daher ziehen wir es vor, wenn jeder einfach die API nutzt. Sollten Tools den Speicher des Clients dennoch auslesen, können wir nicht garantieren, dass sie nicht kaputtgehen. Ganz im Gegenteil: Wir versprechen sogar, dass wir sie absichtlich so oft wie möglich kaputtmachen werden.

F: Warum greift ihr für die Anti-Cheat-Maßnahmen nicht auf eine KI zurück?

Wir benutzen Maschinenmodelle, um vorherzusagen, mit welcher Wahrscheinlichkeit ein Spieler cheatet. Da wir aber nur Daten nutzen, die an den Spielserver gesendet werden, können wir uns aktuell nicht die notwendige Detailgenauigkeit erlauben, um „Informations-Cheats“ zu entdecken, die die Eingabe des Spielers nicht modifizieren – ESPs, NdK-Lecks und Radarhacks sind so gut wie unmöglich zu entdecken. VALORANT und LoL sind stark von der Kunst abhängig, Informationen zu sammeln und zu verschleiern, weshalb derartige Cheats großen Schaden anrichten und schlussendlich traditionelle Anti-Cheat-Methoden erforderlich machen.

Und selbst wenn es nur um Aimbots geht, ist das Ergebnis nicht besonders gut. Die besten Modelle können nur 30–50 % der Cheats identifizieren, die allein auf den serverseitigen Eingaben der Spieler basieren – und das ist für ein kostenloses wettkampforientiertes Spiel, das keine Einschränkungen für einen Wiedereinstieg aufweist, einfach nicht ausreichend. Noch schlimmer ist die Tatsache, dass die Entwickler von Aimbots bereits damit begonnen haben, „Vermenschlichungsfunktionen“ anzubieten, um Spielermeldungen zu verhindern, und obwohl es sich dabei immer noch in den meisten Fällen um alberne Geräuscherzeuger handelt, wird irgendwann ein aufstrebender junger Cheater sein Wochenende damit verbringen, ein Modell zu trainieren, das „die Maus wie ein echter Junge bewegt“. Ganz ehrlich, es würde mich nicht wundern, wenn in den nächsten sechs Monaten eine Abhandlung mit genau diesem Inhalt auftauchen würde, das dann wahrscheinlich den Titel „Operation Geppetto“ trägt.

F: Warum macht ihr den Treiber nicht quelloffen?

Anti-Cheat-Maßnahmen sind ein unendlicher Kampf, der sich ständig wiederholt. Viele der Schutzprüfungen, die Vanguard durchführt, um die Integrität des System zu gewährleisten, finden absichtlich im Verborgenen statt, sind hochmodern und wurden in einigen Fällen auf Sand gebaut. Wir profitieren stark von der Verwirrung, die das System bei Cheatern hervorruft, und wenn wir ihnen die Möglichkeit geben würden, sich unsere Erkennungsmethoden anzusehen, würde unser Vorrat schneller zur Neige gehen, als wir neue entwickeln könnten. Eine quelloffene Anti-Cheat-Anwendung wäre vollkommen nutzlos (Aprilscherz 2021).

F: Was, wenn ich technische Probleme mit Vanguard habe?

Aktuell sieht sich Vanguard mit jeder Menge Zuordnungsvorurteilen konfrontiert und die Mehrheit der Probleme, die auftreten, werden von externen Quellen verursacht, die nur schwer auszumachen sind. In letzter Zeit besteht eines der größten Probleme in der Verteilung von raubkopierter Software, die eine Registry-Option umschaltet („DevOverrideEnable“) und es ermöglicht, dass „verschiedene“ Versionen von wichtigen Windows-Dateien in alle laufenden Prozesse geladen werden. Wir wissen natürlich nicht, warum man so etwas tun sollte (zwinker zwinker), aber Vanguard mag es gar nicht, wenn kompromittierte Windows-Dateien in VALORANT geladen werden – wir nutzen eine große Menge davon, um selbst Manipulationsüberprüfungen durchzuführen. Wir empfehlen dir außerdem, vorsichtig zu sein, wofür du den Windows Defender ausschaltest, denn er macht seinem Namen alle Ehre und verteidigt Windows.

Wie dem auch sei, Probleme können auftreten, aber bitte sende uns ein Ticket. Wir helfen dir.

F: Wenn Vanguard wirklich so gut ist, warum sehe ich dann immer noch Cheats in VALORANT?

Wir gehen nicht sofort gegen jeden Cheat oder jedes Konto vor. Jeder Bann ist eine Art Signal für den Entwickler, dass sein Cheat entdeckt wurde und er ihn „aktualisieren“ muss. Um das Voranschreiten unseres „Cheat-Wettrüstens“ zu verlangsamen, verzögern wir Banne basierend auf der Raffinesse und Sichtbarkeit des Cheats und Cheaters.

Außerdem werden Cheater cheaten. Wir haben unsere Schutzebene so weit wie möglich ausgebaut, ohne dabei bestehende Setups und Spieler, die sich nichts zu Schulden kommen haben lassen, zu beeinträchtigen. Wir finden die Schuldigen schnell genug, aber leider schaffen sie es meistens, ein Video von ihrem Verbrechen auf TikTok zu veröffentlichen, um die höchste Werbung-zu-Malware-Klickrate zu erzielen, die jemals irgendein Video bekommen hat. Und nur weil das Video mit „live“ markiert ist, bedeutet das noch lange nicht, dass es sich um einen Livestream handelt. Lade keinen Mist herunter.

F: Hilft Vanguard auch bei DDoS?

Es gibt (im Allgemeinen) drei Arten von Drophacks: (1) DDoS-Wiederholungsangriffe auf einen Server, (2) DDoS-UDP-Angriffe auf andere Benutzer und (3) missgestaltete Serverpakete. Bei keinen davon handelt es sich um intelligente Angriffe, man braucht sich von ihnen also nicht beeindrucken lassen. Bei Vanguard handelt es sich um eine Client-seitige Anti-Cheat-Methode, weshalb wir die Tools zum Auslesen des Traffics erkennen und verhindern können, dass unser Packet Handler angegriffen wird. Was DDoS-Angriffe gegen Benutzer zu Hause betrifft, so hat Vanguard in diesem Bereich nicht viel zu bieten – eine lokale Software kann nicht verhindern, dass Netzwerk-Elemente überlastet werden.

F: Warum können wir Vanguard nicht nur für Vietnam aktivieren?

Das würde nur dazu führen, dass die Skripter auf die Philippinen ziehen.

F: Warum können wir Vanguard nicht nur für Vietnam und die Philippinen aktivieren?

Dann würden sie nach Singapur ziehen.

F: Warum können wir Vanguard nicht nur für Vietnam, die Philippinen und Singapur aktivieren?

Cheats sind kein regionsspezifisches Problem. Die meisten unserer Server verfügen über kein Geofencing, und wenn sie es täten, wäre Tunneling nur eine Google-Suche entfernt. Cheater kennen keine Grenzen und du bekommst meine ganze Anerkennung, weil du dieses Gedankenexperiment toleriert hast.

F: Was, wenn ich persönlich nicht mit Vanguard kompatibel bin?

Wir verstehen dich und respektieren deine Entscheidung zu 100 %. Hoffentlich kommt bald der Tag, an dem die Plattformen für unsere Spiele Entwicklern die erforderlichen Sicherheitsfunktionen bieten, um Cheats ohne externe Software verhindern zu können. Wenn es bei deiner Ablehnung jedoch um den Datenschutz von Riot geht, so macht es nicht den geringsten Unterschied, ob du einen Spiel-Client oder Vanguard ausführst. Die Daten lassen sich nach wie vor über den Benutzer-Modus auslesen und wir sind alle Ingenieure, die für dasselbe Studio arbeiten und dieselben Ziele verfolgen – das Sammeln deiner persönlichen Daten zählt nicht dazu. Wenn du Riot nicht vertraust, benutze unsere Software nicht.

F: Welche persönlichen Daten sammelt Vanguard?

Riot sammelt nur, was erforderlich ist, um unsere Spiele auszuführen und abzusichern. Mehr Daten sind für uns lediglich ein größeres Risiko und wir sammeln nur das absolute Minimum, das wir benötigen, um unsere Arbeit zu machen. Auf lokaler Ebene verfügt Vanguard über System-Hooks, um seine Sicherheitsmaßnahmen ausführen zu können, wir schicken deine Dateien oder Dokumente jedoch nicht zurück. Wie viele andere Anti-Malware- und Anti-Cheat-Systeme auch nutzen wir eine Technik namens „Signature Scanning“, um zu ermitteln, ob eine Reihe von Bytes im Speicher zu einer bekannten Cheat-Anwendung passt. Die Ergebnisse dieses Abgleichs können nur wahr oder falsch sein (es gab eine verdächtige Byte-Reihe oder eben nicht) und wir versuchen, dieses Muster auch bei den anderen Überprüfungen anzuwenden. Bei Dingen wie „benutzt du gerade ein DMA-Gerät“ oder „hat eine Anwendung gerade versucht, dem Spiel eine Eingabe zu übermitteln“ handelt es sich meistens um binäre Antworten (obwohl bei Letzterem der Name des verantwortlichen Prozesses eingeschlossen ist).

Was andere Erkennungsmethoden betrifft, so benötigen wir Schnappschüsse, die wir im Nachhinein genauer untersuchen können, und es kann vorkommen, dass diese persönlich identifizierbare Informationen enthalten. So zeichnen wir beispielsweise den Dateipfad jeder Bibliothek auf, die in League geladen wird, und dabei könnte ein Benutzername enthalten sein. Wir machen das, um nach der Entdeckung eines Cheats die Möglichkeit zu haben, Cheater ausfindig zu machen, die ihn bereits benutzt haben (anstatt nur derer, die ihn ab diesem Zeitpunkt benutzen). Diese Daten befinden sich jedoch nur 14 Tage lang im „Warm Storage“ und werden niemals benutzt, um irgendetwas anderes damit zu machen, als nach Cheats zu suchen. Ich kann nicht alle Dinge aufzählen, die sich Vanguard ansieht, sonst wüssten die Cheater nämlich, welchen Bereichen sie die größte Aufmerksamkeit widmen müssen. Wir brauchen ein gewisses Maß an Geheimniskrämerei, um erfolgreich sein zu können, aber ich hoffe, ich konnte klarstellen, welche Absichten wir mit den Daten verfolgen, die wir sammeln.

F: Welcher Satz schickt dich zurück in die Dimension der Schmerzen?

Netter Versuch, Asmodäus.