В інформаційний простір потрапив безпрецедентний масив матеріалів, що висвітлює внутрішню кухню національної системи інтернет-фільтрації Китаю — Great Firewall (GFW). Відомо про близько 600 ГБ внутрішньої документації, вихідного коду, робочих логів, переписки розробників, репозиторіїв пакетів і операційних інструкцій, пов’язаних із цензурою та моніторингом мережевого трафіку.
Що саме утекло: стек DPI, системи збірки та архітектура Tiangou
Попередній аналіз пов’язує дані з лабораторією MESA Інституту інформаційної інженерії Китайської академії наук та з компанією Geedge Networks, яку галузеві джерела асоціюють з Фан Біньсіном — одним із архітекторів GFW. Серед матеріалів — повноцінні системи збірки для DPI-платформ, а також модулі, що виявляють і цілеспрямовано сповільнюють інструменти обходу блокувань.
DPI і SSL-фінгерпринтинг: як ідентифікують VPN і трафік застосунків
Ядро витоку демонструє фокус на глибинному аналізі пакетів (DPI), SSL-фінгерпринтингу та повному логуванні сесій. DPI класифікує трафік за вмістом і поведінковими ознаками, а SSL-фінгерпринтинг зіставляє параметри TLS-з’єднань із відомими шаблонами застосунків і VPN — навіть коли корисне навантаження зашифроване. Це дозволяє точніше виявляти тунелювання, проксі та інші канали обходу цензури.
Tiangou: «коробкова версія GFW» для провайдерів та прикордонних вузлів
Окремий пласт документів описує Tiangou — комерційну платформу як «готове рішення» для інтернет-провайдерів і пограничних шлюзів, фактично коробкову версію Великого китайського файрвола. Перші інсталяції базувалися на серверах HP і Dell, однак надалі, під впливом санкційних обмежень, інфраструктуру перенесено на вітчизняне обладнання.
Географія та масштаби розгортань: М’янма, Пакистан і не лише
Матеріали свідчать про інтеграцію Tiangou у 26 дата-центрах М’янми з моніторингом у реальному часі до 81 млн одночасних TCP-підключень. Система, імовірно підконтрольна державному телеком-оператору, розміщена у ключових точках обміну трафіком (IX), що забезпечує масові блокування та вибіркову фільтрацію ресурсів.
За даними Wired і Amnesty International, інфраструктура DPI від Geedge Networks експортувалася також до Пакистану, Ефіопії та Казахстану й застосовується разом із платформами «законного перехоплення». У Пакистані обладнання Geedge розглядають як компонент ширшої системи WMS 2.0, розрахованої на тотальний моніторинг мобільних мереж і, у низці сценаріїв, на перехоплення незашифрованих HTTP-сесій.
Наслідки для безпеки та права: уразливості, SSDLC і комплаєнс
Журнали збірок, технічні специфікації та нотатки розробників можуть пролити світло на уразливості протоколів і експлуатаційні огріхи систем цензури. Це відкриває можливості як для вдосконалення інструментів обходу, так і для зміцнення захисту з боку операторів зв’язку та постачальників інфраструктури (оновлення сигнатур, коригування політик DPI, підвищення якості виявлення аномалій).
Для телеком-операторів витік підкреслює потребу переглянути процеси SSDLC, управління секретами, контроль ланцюга постачання та оцінку ризиків експорту DPI у контексті прав людини, законів про нагляд і санкційних режимів. Для регуляторів і правозахисних організацій матеріали є цінними для аудитів відповідності й оцінювання впливу технологій моніторингу на доступ до інформації. Висновки Great Firewall Report, Wired і Amnesty International варто відстежувати для об’єктивної картини.
Як безпечно вивчати архів: практичні рекомендації
Оскільки архів уже активно дзеркалюється (зокрема, ініціативою Enlace Hacktivista), дослідникам радять працювати виключно в ізольованих від мережі віртуальних машинах або інших захищених середовищах, перевіряти контрольні суми, уникати запуску бінарних файлів без пісочниці й проводити попередній статичний аналіз. Такий підхід мінімізує ризик компромета