Исследователи безопасности подтвердили, что обнаружили в сети более 500 ГБ внутренних документов, исходного кода, рабочих журналов и внутренних сообщений системы так называемого «Великого китайского файрвола». Данные включали также репозитории пакетов и операционные руководства, используемые для создания и поддержки национальной системы фильтрации трафика КНР.
Файлы, по всей видимости, принадлежат Geedge Networks, компании, давно связанной с Фан Биньсином, которого часто называют «отцом» «Великого файрвола», и лаборатории MESA в Институте информационной инженерии — исследовательскому подразделению Китайской академии наук.
В утечке содержатся полные версии систем сборки для платформ глубокой проверки пакетов, а также модули кода, которые ссылаются на идентификацию и ограничение активности конкретных инструментов обхода. Большая часть стека ориентирована на обнаружение VPN на основе DPI, снятие отпечатков SSL и полное протоколирование сеансов. Исследователи из Great Firewall Report, которые первыми проверили и проиндексировали материалы, утверждают, что документы описывают внутреннюю архитектуру коммерческой платформы под названием «Tiangou», предназначенной для использования интернет-провайдерами и пограничными шлюзами. Они описывают её как готовый «Великий брандмауэр в коробке» с первоначальными развёртываниями, как сообщается, на серверах HP и Dell, а затем переходом на оборудование китайского производства в ответ на санкции.
Утечка показывает, что система была развёрнута в 26 центрах обработки данных в Мьянме, а панели мониторинга в режиме реального времени отслеживали 81 миллион одновременных TCP-подключений. По сообщениям, система эксплуатировалась государственной телекоммуникационной компанией Мьянмы и была интегрирована в основные точки обмена интернет-трафиком, что позволило осуществлять массовую блокировку и выборочную фильтрацию.
Дело не ограничивается Мьянмой. Партнёрские отчёты WIRED и Amnesty International показывают, что инфраструктура DPI Geedge экспортировалась в другие государства, включая Пакистан, Эфиопию и Казахстан, где она часто используется вместе с законными платформами перехвата. В Пакистане оборудование Geedge, предположительно, является частью более крупной системы, известной как WMS 2.0, которая способна осуществлять тотальную слежку в мобильных сетях в режиме реального времени.
Масштаб и специфика этой утечки дают редкую возможность увидеть, как организована и коммерциализирована система цензуры в Китае. В отчёте Wired также описывается, как система Geedge может перехватывать незашифрованные HTTP-сеансы.
Исследователи пока только начали изучать архив исходного кода. Однако аналитики утверждают, что наличие журналов сборки и заметок разработчиков может помочь выявить уязвимости на уровне протокола или эксплуатационные ошибки, которыми могут воспользоваться инструменты обхода цензуры.
Весь архив теперь зеркалируется Enlace Hacktivista и другими, и исследователи призывают всех, кто скачивает или изучает его, быть осторожными. Настоятельно рекомендуется использовать виртуальные машины, изолированные от внешних сред, или другие подобные системы.
В начале августа эксперты обнаружили, что с конца июля 2020 года Китай обновил свою систему «Великий китайский файрвол» и начал блокировать весь HTTPS-трафик, который шифруется с помощью протокола TLS 1.3 и расширения к этому протоколу под названием ESNI (Encrypted Server Name Indication). Причина блокировки — невозможность отслеживать имена доменов, к которым пытается подключиться пользователь, используя новые сетевые технологии, а также фильтровать и контролировать этот трафик.
В конце прошлого месяца исследователи из Great Firewall Report выяснили, что из-за теста нового оборудования для «Великого китайского файрвола» в ночь на 20 августа КНР отключили от значительной части глобального интернета на 74 минуты.
Источник: habr.com