Ein bislang beispielloses Datenleck von rund 600 GB gibt tiefe Einblicke in die Funktionsweise der chinesischen Internetzensur („Great Firewall“, auch „Golden Shield“). Nach Angaben des Great Firewall Report wurden interne Dokumente, Quellcode, Build-Logs, Entwicklerkommunikation, Paket-Repositories und Betriebsanleitungen oeffentlich. Die Funde erhellen Prozesse und Technologien hinter Deep Packet Inspection (DPI), SSL/TLS-Fingerprinting und verteilten Plattformen zur Verkehrsanalyse.
Was geleakt ist: Build-Systeme, DPI-Stack und Verknuepfungen zu MESA und Geedge
Die Artefakte korrelieren nach vorlaeufiger Analyse mit der MESA-Laborumgebung des Institute of Information Engineering (Chinese Academy of Sciences) sowie mit Geedge Networks, das in Branchenkreisen mit dem GFW-Architekten Fang Binxing in Verbindung gebracht wird. Auffaellig sind vollstaendige Build-Umgebungen fuer DPI-Plattformen inklusive Module, die auf das Erkennen und Drosseln von Umgehungstools ausgelegt sind.
DPI und SSL-Fingerprinting: Erkennung von VPNs und App-Verkehr
Der geleakte Stack fokussiert auf die Identifikation von VPNs und Tunneling-Verfahren mittels DPI, SSL/TLS-Fingerprinting und Session-Logging. DPI klassifiziert Verkehr anhand Inhalts- und Verhaltensmerkmalen; TLS-Fingerprinting vergleicht Handshake-Parameter mit bekannten Profilen – ein Verfahren, das in der Praxis etwa als JA3/JA4 bekannt ist – und funktioniert auch bei verschluesselten Nutzdaten.
Tiangou: Kommerzialisierte „Boxed“-Great-Firewall fuer Provider
Besonders detailliert beschrieben ist die Architektur von Tiangou, einer Plattform, die als fertig integrierte Loesung fuer ISPs und Border-Gateways dient – faktisch eine „GFW aus der Box“. Erste Deployments liefen auf Servern von HP und Dell; spaeter erfolgte laut Unterlagen eine Migration auf inlaendische Hardware, mutmasslich im Kontext von Sanktions- und Lieferkettenrestriktionen.
Internationale Einsaetze: Myanmar, Pakistan und weitere Jurisdiktionen
Die Dokumente weisen auf ein Tiangou-Rollout in 26 Rechenzentren in Myanmar hin, mit Live-Überwachung von bis zu 81 Mio. gleichzeitigen TCP-Verbindungen. Die Integration an zentralen Internetknoten (IX) ermoeglichte breitflaechige Sperren und selektive Filterung. Laut Wired und Amnesty International wurde die DPI-Infrastruktur von Geedge zudem in Laender wie Pakistan, Aethiopien und Kasachstan exportiert und teils mit Lawful-Intercept-Loesungen kombiniert.
Pakistan: Einordnung in WMS 2.0
In Pakistan wird Geedge-Equipment als Bestandteil von WMS 2.0 betrachtet – einer Plattform zur umfassenden Ueberwachung mobiler Netze, inklusive Faehigkeiten zum Zugriff auf unverschluesselte HTTP-Sitzungen. Derartige Integrationen unterstreichen die globale Nachfrage nach DPI-basierten Kontrollsystemen.
Sicherheits- und Compliance-Folgen: Risiken, Luecken und Governance
Fuer die Sicherheitscommunity koennen Build-Logs, technische Spezifikationen und Entwickler-Notizen Hinweise auf Protokollschwaechen und Implementierungsfehler liefern. Das eroeffnet Chancen, Umgehungsschutz zu verbessern, aber auch Wege, Zensurmechanismen robuster zu machen. Betreiber koennen daraus Härtungsstrategien ableiten, etwa strengere Signaturpruefungen, Traffic-Normalisierung und Anomalieerkennung.
Telekom-Provider sollten Prozesse der Secure Software Development Lifecycle (SSDLC) ueberpruefen: Geheimnisverwaltung (z.B. Vaulting), reproduzierbare Builds, Signaturketten, SBOM-Pflege, Schwachstellenmanagement und Lieferkettenkontrollen. Angesichts moeglicher Exportbezuge ist zudem eine Bewertung gegen Menschenrechtsrisiken, Aufsichtsrecht und Sanktionsregime angezeigt. Regulierer und NGOs koennen die Materialien fuer Compliance-Audits und Folgenabschaetzungen zur Informationsfreiheit nutzen.
Operative Sicherheit beim Studium des Archivs
Da Spiegel des Archivs u.a. von Enlace Hacktivista kursieren, empfehlen Forschende strikt isolierte, netzgetrennte VMs, Hash-Verifikation, keine Ausfuehrung unbekannter Binaries ohne Sandboxing und prioritaer statische Analysen. So lassen sich Supply-Chain-Risiken und potenzielle Booby-Traps minimieren.
Die Dimension und Tiefe des Leaks machen es zu einer Schluesselquelle fuer das Verstaendnis des globalen DPI-Markts und staatlicher Zensurpraktiken. Organisationen sollten die fortlaufenden Auswertungen von Great Firewall Report, Wired und Amnesty International beobachten, intern Bedrohungsmodelle aktualisieren und Governance-Prozesse nachschaerfen – von SSDLC bis Export-Compliance. Wer fruehzeitig Lehren zieht, reduziert Sicherheits-, Rechts- und Reputationsrisiken messbar.