A Exigência de TPM e Secure Boot em Jogos: Entendendo a Importância para a Segurança
Se você já se incomodou com os requisitos do Windows 11, como a necessidade de módulos TPM e Secure Boot, prepare-se para mais uma notícia: jogos futuros, como o Battlefield 6, também exigirão esses mesmos recursos. Este artigo visa explicar o motivo por trás dessas exigências, focando principalmente no Secure Boot, e esclarecer por que, na verdade, essa não é uma complicação tão grande quanto se imagina.
Os requisitos de hardware para o Battlefield 6, especificamente, listam o módulo TPM 2.0, Secure Boot, e também HVCI e VBS (relacionados à virtualização). A boa notícia é que, se o seu computador possui um módulo TPM, é provável que ele também suporte os dois últimos itens.
O que é o Secure Boot e Por Que os Desenvolvedores o Exigem?
O Secure Boot é, essencialmente, uma configuração na BIOS/UEFI. Embora algumas pessoas relatem problemas ao tentar ativá-lo, alegando que o computador foi “brickado”, isso geralmente não é o caso. A ativação inadequada pode impedir o Windows de inicializar, mas o problema é corrigível simplesmente revertendo a alteração até que o processo seja configurado corretamente.
Para muitos usuários, pode ser que nenhuma preparação adicional seja necessária. Quanto ao módulo TPM, a maioria dos computadores fabricados nos últimos 10 anos o possui, embora ele possa estar desabilitado na BIOS.
Mas, afinal, qual é a explicação técnica para o Secure Boot e por que os desenvolvedores de jogos o exigem para sistemas anti-cheat?
Primeiramente, ter o Secure Boot ativado é uma importante funcionalidade de segurança que você provavelmente deseja manter ligada de qualquer forma. Ele impede que rootkits e malwares se instalem no bootloader e executem antes mesmo do Windows ser iniciado.
Como o Secure Boot Funciona
O funcionamento se baseia em chaves de assinatura pré-carregadas nas placas-mãe, fornecidas pela Microsoft e outras empresas que assinam seus bootloaders. Isso permite que a BIOS, ou mais precisamente o firmware UEFI (a versão moderna), verifique a integridade do sistema que está carregando o sistema operacional. O objetivo é garantir que nada extra ou malicioso, que o usuário não pretendia adicionar, esteja sendo carregado.
É possível encontrar algumas dificuldades ao tentar fazer dual boot com Linux, por exemplo, mas isso é resolvido com o registro de chaves próprias. Portanto, a alegação de que o Secure Boot impede a execução de qualquer coisa que não seja Windows é incorreta, exigindo apenas um pouco de trabalho extra. É possível carregar chaves autoassinadas na BIOS para que ela também confie em itens assinados por você.
Alguns podem questionar se desenvolvedores de cheats não poderiam simplesmente assinar seus próprios códigos maliciosos para contornar o Secure Boot. Além disso, existem técnicas de “spoofing” que enganam o Windows, fazendo-o reportar que o Secure Boot está ativo, mesmo quando não está.
A Importância do Estado de Inicialização
O ponto crucial, no entanto, não é se o Secure Boot está ativado ou não no momento da execução do jogo. Após o Windows ser carregado, o Secure Boot não realiza mais nenhuma ação além de fornecer informações sobre como o sistema deveria ter sido inicializado.
Os desenvolvedores do jogo explicaram que o Secure Boot não é uma “bala de prata”, mas sim uma informação adicional que facilita muito a detecção de cheats.
Um exemplo claro é: se o Secure Boot estiver verdadeiramente ativado ao iniciar o Windows, o sistema operacional não permitirá a execução de drivers não assinados. Para rodar drivers não assinados, seria necessário iniciar o Windows sem o Secure Boot habilitado.
Muitos cheats de baixo nível utilizam drivers para obter acesso profundo ao sistema operacional sem serem detectados. A proibição de drivers não assinados cria uma barreira significativa para que esses cheats funcionem.
Verificando a Integridade Além do Windows
Mesmo que um cheat consiga iniciar o Windows com o Secure Boot ativo e intercepte as chamadas que perguntam sobre seu estado (fazendo o Windows relatar que está ativo, mesmo que não esteja), o sistema anti-cheat do jogo, que possui acesso em nível de kernel, pode verificar manualmente as assinaturas de todos os drivers em execução. Se um driver não assinado for encontrado enquanto o Windows alega estar no modo Secure Boot, o anti-cheat pode identificar que a informação reportada pelo Windows é falsa.
Isso se aplica independentemente do que o Windows esteja dizendo sobre o Secure Boot. Além disso, mesmo que um cheat sofisticado consiga carregar antes do anti-cheat e oculte completamente seu driver não assinado, o fato de o Secure Boot dever estar ativado, se o Windows diz que está, ajuda os desenvolvedores a detectar atividades suspeitas.
Por exemplo, softwares antivírus legítimos podem ter seus próprios drivers de baixo nível que inspecionam processos. Esses drivers conhecidos serão reconhecidos pelo anti-cheat como seguros.
Se o Secure Boot está habilitado, deve ser possível identificar a causa de qualquer atividade que possa parecer suspeita. Se um driver de cheat oculto estiver causando comportamento anômalo que o anti-cheat não consegue explicar, mesmo após checar todos os outros processos conhecidos, ele pode inferir que há algo escondido. Se não houver outra explicação para entradas não mapeadas (como movimentos de mouse ou inputs não justificados por programas conhecidos), o sistema pode determinar que há um cheat oculto agindo. A única forma de isso acontecer é se algo estiver deliberadamente tentando se esconder do sistema de detecção.
O Papel do Módulo TPM
O Trusted Platform Module (TPM) é um chip físico, que pode ser discreto na placa-mãe ou, mais comumente hoje, integrado ao próprio processador (CPU). Este chip armazena uma chave privada que, fisicamente, nunca pode sair dele. No entanto, ele pode assinar dados solicitados e retornar o resultado assinado.
A função principal do TPM é verificar que aquele chip específico naquele computador é o que assinou um determinado arquivo ou dado.
No contexto do anti-cheat, o TPM pode fortalecer ainda mais o processo de inicialização. Embora existam maneiras de simular (spoof) um TPM, o uso correto fornece mais informações sobre o comportamento esperado do sistema.
Um benefício adicional é que o módulo TPM possui uma chave privada e, consequentemente, uma chave pública única. Ele pode funcionar como um ID de hardware exclusivo. Se um trapaceiro estiver usando um cheat menos sofisticado que não consegue simular o TPM, o anti-cheat pode usar essa informação para banir o usuário no nível do hardware. Isso garante que pelo menos alguns trapaceiros sejam bloqueados de forma mais permanente.
Verificando e Habilitando os Requisitos
Essas medidas de segurança realmente funcionam para prevenir trapaceiros? Houve relatos de cheats durante os betas, o que é esperado. No entanto, é notável que, mesmo com relatos de que TPM e Secure Boot eram obrigatórios no beta, algumas pessoas conseguiram rodar o jogo apenas com o Secure Boot ativado, mas sem o TPM instalado ou habilitado. Isso sugere que, no lançamento oficial, com o reforço dessas exigências, a capacidade de detectar e capturar trapaceiros será ainda maior.
É sempre um jogo de gato e rato: desenvolvedores de cheats criarão métodos mais astutos para contornar os sistemas, mas a ideia é adicionar o máximo de barreiras possível para facilitar a detecção. Quando detectados, leva mais tempo para os desenvolvedores de cheats criarem novas soluções.
Mesmo no caso de cheats de hardware, onde um segundo computador é usado para injetar comandos, isso serve apenas para elevar a barreira de entrada. O número de pessoas dispostas a ter um segundo computador dedicado apenas para trapacear é muito menor do que aquelas dispostas a reiniciar o PC e instalar software.
Verificando a Situação do TPM
Para saber se você tem um TPM e se ele está ativo no Windows, você pode executar o comando `tpm.msc`. Se a ferramenta não indicar que o módulo TPM não foi encontrado, você certamente possui um.
Mesmo que o resultado seja negativo, se o seu processador foi fabricado após 2015, você provavelmente tem um TPM. Para CPUs Intel, qualquer coisa a partir da 6ª geração (nome com 6000 ou superior) deve ter um firmware TPM (chamado de Intel fTPM). Você pode pesquisar como ativar o fTPM na BIOS; ele também pode ser chamado de PTT (Platform Trust Technology).
Se sua CPU não tiver um módulo TPM, sua placa-mãe pode possuir um local para um TPM físico discreto que você pode adquirir. É preciso atenção, pois existem diferentes modelos (com 20 ou 14 pinos), mas eles costumam custar em torno de 40 dólares.
Habilitando o Secure Boot
Se você precisa ativar o Secure Boot (o que é recomendado de qualquer forma), lembre-se de que algumas pessoas relataram problemas ao tentar ativá-lo, alegando ter “brickado” o computador. Na verdade, isso não “bricka” a máquina.
O problema ocorre porque o Windows pode ser instalado em dois modos de inicialização: o moderno UEFI ou o antigo Legacy BIOS. O Secure Boot exige o modo UEFI.
O que determina o modo de inicialização inicial do Windows é se o Compatibility Support Module (CSM) estava habilitado na BIOS no momento da instalação.
* Se o CSM estava habilitado, você está usando o modo Legacy (BIOS antigo).
* Se o CSM estava desabilitado, você está usando o modo UEFI (mais moderno).
Você pode verificar isso digitando “Informações do Sistema” (System Information) no menu Iniciar ou executando `msinfo32.exe` e observando o campo “Modo da BIOS”.
Se estiver em modo UEFI, basta entrar na BIOS, ativar o Secure Boot e tudo deve funcionar.
Se você estiver no modo Legacy, desabilitar o CSM e habilitar o Secure Boot fará com que o Windows tente inicializar no modo moderno, para o qual ele não está configurado, resultando na falha da inicialização do sistema operacional. Novamente, isso não “bricka” o computador; você precisará reverter a alteração no CSM para que o Windows inicie novamente, permitindo que você prepare o sistema adequadamente antes de tentar a transição para o modo UEFI e ativar o Secure Boot.
Existe um guia detalhado disponível em fóruns sobre como verificar e converter o modo de inicialização do Windows de Legacy para UEFI, se for necessário. Mas, primeiramente, verifique seu “Modo da BIOS”.
Em resumo, a exigência de TPM e Secure Boot deve ser encarada como uma camada extra de proteção que torna a vida dos criadores de cheats significativamente mais difícil, e não como um grande inconveniente técnico intransponível para o usuário comum.
