Исследователи Great Firewall Report сообщили о крупнейшей за все время утечке данных, связанной с национальной системой интернет-фильтрации Китая («Золотой щит», Great Firewall). В открытый доступ попало примерно 600 ГБ внутренних документов, исходного кода, рабочих логов, переписки разработчиков, репозиториев пакетов и операционных руководств, применяемых для построения и поддержки инфраструктуры цензуры и мониторинга трафика.
Что именно утекло: стек DPI, сборочные системы и архитектура Tiangou
Согласно предварительному анализу, массив данных коррелирует с лабораторией MESA Института информационной инженерии (структура Китайской академии наук), а также с компанией Geedge Networks, которую отраслевые источники связывают с Фан Биньсином — одним из архитекторов Great Firewall. Исследователи отмечают наличие полноценных систем сборки для DPI-платформ и модулей, отвечающих за распознавание и замедление инструментов обхода блокировок.
DPI и SSL-фингерпринтинг: как идентифицируются VPN и трафик приложений
Большая часть стека ориентирована на выявление VPN и иных средств туннелирования посредством глубокого анализа пакетов (DPI), SSL-фингерпринтинга и полного логирования сессий. DPI позволяет классифицировать трафик на уровне содержимого и поведенческих признаков, а SSL-фингерпринтинг — сопоставлять параметры TLS-сессий с типичными шаблонами приложений, даже если полезная нагрузка зашифрована.
Tiangou: «коробочная версия GFW» для провайдеров и пограничных узлов
Отдельные документы подробно описывают внутреннюю архитектуру коммерческой платформы Tiangou, позиционируемой как готовое решение для провайдеров и пограничных шлюзов — фактически «коробочная версия Великого китайского файрвола». Первые внедрения, по данным архива, базировались на серверах HP и Dell, однако позднее, на фоне санкционных ограничений, инфраструктура мигрировала на отечественное оборудование.
География внедрений: Мьянма, Пакистан и другие юрисдикции
Материалы указывают на развертывание Tiangou в 26 дата-центрах Мьянмы с мониторингом в реальном времени до 81 млн одновременных TCP-подключений. Система, предположительно управляемая государственной телекоммуникационной компанией, была интегрирована в ключевые точки обмена трафиком (IX), что обеспечило массовую блокировку ресурсов и выборочную фильтрацию.
По данным Wired и Amnesty International, DPI-инфраструктура Geedge Networks экспортировалась и в другие страны, включая Пакистан, Эфиопию и Казахстан, где используется совместно с платформами «законного перехвата». В Пакистане оборудование Geedge рассматривается как часть более крупной системы WMS 2.0, предназначенной для тотального мониторинга мобильных сетей, а в ряде сценариев — для перехвата незашифрованных HTTP-сессий.
Технические и правовые последствия: риски, уязвимости и комплаенс
Исследовательское сообщество предполагает, что логи сборок, технические спецификации и заметки разработчиков могут пролить свет на уязвимости протоколов и эксплуатационные недочеты систем цензуры. Это создаст возможности как для усиления средств обхода блокировок, так и для улучшения защитных механизмов у операторов связи и поставщиков инфраструктуры.
Для телеком-операторов утечка подчеркивает необходимость пересмотра процессов безопасной разработки (SSDLC), управления секретами, контроля цепочки поставок и оценки рисков экспорта DPI в контексте прав человека, законов о надзоре и санкционных режимов. Для регуляторов и правозащитных организаций материалы представляют ценность при проведении аудитов соответствия и оценке воздействия технологий мониторинга на свободу доступа к информации.
Осторожность при изучении архива: рекомендации по безопасности
Архив уже зеркалируется инициативой Enlace Hacktivista и энтузиастами. Исследователи настоятельно рекомендуют работать с материалами исключительно в изолированных от сети виртуальных машинах или других защищенных средах, проверять контрольные суммы и избегать запуска бинарных файлов без песочницы и статического анализа.
Масштаб и детализация утечки делают ее значимым источником информации о глобальном рынке DPI и цензуры. По мере появления новых анализов от Great Firewall Report, Wired и Amnesty International, стоит отслеживать обновления и оценивать влияние обнаруженных артефактов на практики безопасности, комплаенса и международного сотрудничества в сфере кибербезопасности.