Привет, Хабр!

В этой серии статей разберем недавнюю утечку данных, связанных с Великим Китайским Файрволом (GFW). Разберемся, как он работает, кого обслуживает и как его обходят.

Мы скачали 500 Гб утечек чтобы вам не пришлось и решили их изучить. Тем не менее, если хотите ознакомиться с файлами сами, опубликовали их в нашем Telegram-канале. Кстати подписывайтесь, недавно обнаружили инфу про яндекс браузер который вашу VPN панель блокирует

Эта статья - вводная, сегодня разберем что такое GFW, историю его появления и как такие системы работают. А ещё что это за Geedge такой.

Что за GFW?

Для тех кто спал последние 10 лет

Great Firewall (GFW) - Это огромная архитектура государственного контроля над интернетом, которая развивалась более двух десятилетий и стала образцом систем для блокировки интернета по всему миру.

Он развивался и разрастался еще с 90х годов, и для понимания его работы стоит немного углубиться в его историю.

1990-е годы, эпоха первых блокировок

Когда интернет пришел в Китай в 1994 году, власти столкнулись с проблемой - как контролировать информационный поток в стране с 1,2 миллиардом населения? И уже тогда они предприняли первые попытки - блокировку отдельных иностранных веб-сайтов через DNS-серверы и IP-адреса.

Уже в 1997-1998 годах Министерство общественной безопасности КНР и Китайский информационный интернет-центр начали создавать первые фильтры. Это были базовые системы, которые работали на уровне L3/L4. Туда входили DNS-фильтрации (перенаправление запросов на запрещенные сайты) и IP-блокировки (полное перекрытие трафика на определенные адреса)

Создателем и разработчиком Великого Файрвола принято считать Фан Биньсина, который стоит у истоков разработки и продолжает по сей день

2000-е годы, появление DPI

В начале 2000-х годов интернет начал быстро развиваться в Китае и стало ясно, что простых блокировок недостаточно. Люди находили обходы, использовали прокси-серверы, VPN. Власти осознали, что нужен более тщательный подход.

Тогда появились первые Deep Packet Inspection (DPI) системы. DPI - технология, которая позволяет анализировать не просто адреса веб-сайтов (на уровне заголовков пакетов), но и содержимое трафика (payload) в реальном времени.
Тогда же большая часть веб-сайтов продолжала использовать HTTP заместо HTTPS, и Китаю было очень удобно блокировать с них трафик

С 2002-2003 года начали устанавливаться первые системы DPI на узлах главных интернет-провайдеров Китая:

• China Telecom

• China Unicom

• China Mobile

Эти три компании контролируют большинство интернета в стране, что позволило государству контролировать и фильтровать контент гораздо удобнее.

2003-2008, построение экосистемы вокруг Great Firewall

Начиная с 2003 и по 2006 годы Китайцы разрабатывают и устанавливают дополнительный слой защиты в GFW. Они создают «Gold Shield Project» или «золотой щит» для массивной слежки за пользователями.

По сути, они разрабатывают ещё одну дополнительную систему цензуры поверх существующей и располагают её на ВСЕХ точках, в которых пользователь может выйти в интернет.
Основной же фаервол работал непосредственно у интернет провайдеров и фильтровал трафик уже на них.

GFW в те годы трансформировался из набора инструментов в единую архитектуру государственной цензуры.

Тогда же модернизировались и DPI-системы, которые стали фильтровать уже VPN-хендшейки, и запросы, содержащие определенные ключевые слова.

Например, вот условный Лао зашел в Интернет-кафе и решил, вдруг, поискать информацию про военное положение в Тяньаньмэнь и Ху Яобао. Черный ящик Gold Shield Project'а, установленный на hop-е до провайдера, при помощи DPI считал в нем ключевые слова «независимость» и «Тяньаньмэнь», и вот к нашему Лао уже могут подойти полицейские и проверить его на экстремизм.

А в следующих годах, к GSP внедрят интеграцию с системой социального кредита, и при поиске определенных слов социальной надежности нашего друга Лао падает на xx очков автоматически

Тогда же государство создало контрольные центры, откуда можно было менять правила фильтрации в реальном времени и отслеживать активность пользователей.

2008-н.в

После 2008 года (Олимпиада в Пекине, волнения в Синьцзяне и Тибете) GFW начал ещё сильнее интегрироваться с системой государственной безопасности.
Можно сказать, что тогда цензура и наблюдение стали единым целым.

Параллельно они развивали системы:

• Мониторинга социальных сетей, путем создания и популяризации своих аналогов (Weibo, WeChat, QQ)

• Отслеживания индивидуальных пользователей через их IP- и MAC- адреса

• Throttling (замедление) трафика неугодных ресурсов (:)))())

• Блокировки VPN - инструментов обхода цензуры

2015-2020, расширение

После 2015 года, при усилении внутриполитической позиции, GFW получил дополнительное финансирование и человеческие ресурсы.

Тогда его стали развертывать и на региональных уровнях - в каждой провинции была создана своя версия GFW.

Помимо прочего, в GFW стали внедрять AI и машинное обучение для распознавания «опасного контента» и интегрировали его с системой социального кредита - людей стали наказывать за определенную интернет-активность. Появилась возможность заблокировать отдельного пользователя без блокировки всего сайта

Тогда GFW из инструмента отдельного агентства превратился в образцовую систему

2020-2024, глобальное распространение

К 2020-м годам Китай понял ценность своей системы и начал активно экспортировать не только саму технологию, но и модель государственного контроля. Стало это известно из слитых документов компании Geedge, которая является главной компанией, занимающейся ресерчем и разработкой (R&D) технологий для GFW.

Тогда же модель GFW становится товаром, который продается странам Средней Азии, Африки, Юго-Восточной Азии и другим регионам.

Из чего состоит GFW сейчас?

Около месяца назад слили 500ГБ данных, связанных с GFW, которые сообщество(в том числе и мы) активно анализируем. Судя по ним, GFW сейчас разрабатывается двумя структурами.

Первая - это MESA Lab. Государственное учреждение, которое занимается исследованиями и разработками технологий контроля. Вторая - это Geedge Networks, коммерческая компания, которая была основана в 2018 году в Hainan. Руководителем является Fang Binxing (отец китайского файрвола, как говорят в народе) в качестве chief scientist, а CTO компании - Zheng Chao, который ранее был ведущим исследователем в MESA.

Связь между ними более близкая чем кажется. Большая часть ядра команды Geedge пришла из MESA, а также из других университетов вроде "Харбинский политехнический университет" и "Пекинский университет почты и телекоммуникаций". Когда смотришь на git commits утекшего кода Geedge, видны имена людей, которые были в списке сотрудников MESA.

То есть люди переходили из государственной структуры в коммерческую, но продолжали работать над тем же самым. MESA занимается разработками для государства, Geedge упаковывает эти разработки в коммерческие продукты и экспортирует их другим странам.

Основные компоненты GFW

Cyber Narrator

Cyber Narrator - это система мониторинга, которая работает на уровне интернет-провайдеров. Её основная задача - фиксировать каждое действие пользователя в интернете. Система фиксирует все посещаемые сайты, DNS-запросы, IP-адреса источников и назначения, временные метки, размер трафика, типы используемых протоколов.

По сути, это ведение полного журнала активности каждого пользователя. Cyber Narrator работает в фоновом режиме на сетях интернет провайдеров и собирает информацию непрерывно.

TSG Galaxy

Она собирает информацию со всех Cyber Narrator по стране. В одном месте - все данные о том, кто, когда и какие сайты посещает.

Система позволяет искать по IP-адресам, времени и сайтам, строит профили пользователей и выявляет закономерности поведения.

Cyber Narrator — это обычный сборщик данных, а вот TSG Galaxy - это центр вычислений: хранилище и аналитика, которая показывает полную картину интернет-активности в масштабе страны.

Tiangou Secure Gateway

Обычно он расположен в столице или крупном городе, где есть органы безопасности.

Из Tiangou администраторы могут в реальном времени менять правила фильтрации по всей стране:

1. добавлять или убирать ключевые слова из чёрного списка

2. блокировать IP-адреса и домены

3. отслеживать активность пользователей

4. просматривать статистику и формировать отчёты.

Tiangou — это точка контроля. Через него проходит всё управление системой цензуры.

TSGX

TSGX - это как раз тот самый ТСПУ который использует DPI для блокировок :)
Это серверное оборудование которое физически устанавливается в сети интернет-провайдера.

ТСПУ устанавливается в критических точках - на магистральных каналах, где весь трафик проходит через несколько узлов, на границе страны для контроля международного трафика, на узлах крупных провайдеров.

Устройство перехватывает весь трафик, проходящий через него, анализирует его с помощью DPI, выполняет фильтрацию в реальном времени, блокирует нежелательные соединения, собирает данные для отправки в TSG Galaxy и Cyber Narrator.

TSG-OS

TSG‑OS — это операционная система, которая работает на ТСПУ. Она основана на Linux и включает драйверы для работы с сетевым оборудованием, модули DPI для анализа трафика, интерфейсы управления для администраторов, коммуникационные протоколы для связи с основной точкой контроля, и быстрого обновления устройств.
Через ТСПУ‑OS(для простоты назовем ее так) администраторы могут подстраивать поведение ТСПУ под нужды конкретной страны или региона.

Как всё работает на практике

Когда пользователь в стране‑клиенте пытается открыть запрещённый сайт, его запрос сначала проходит через ТСПУ — «чёрный ящик», установленный у провайдера.

На устройстве работает ТСПУ‑OS, которая анализирует трафик с помощью DPI. Если система находит запрещённые слова или замечает использование VPN или Tor, она сразу блокирует соединение.

Одновременно ТСПУ передаёт информацию о попытке в основную базу данных (Cyber Narrator) — туда записываются IP‑адрес и время события.

Потом эти данные попадают в основной центр вычислений (TSG Galaxy), где собирается и обрабатывается вся статистика.

А уже через интерфейс основных центров безопасности (Tiangou Secure Gateway) органы видят всё: кто, когда и к какому ресурсу пытался подключиться, какие слова были в запросе.

Региональные версии GFW в Китае

Как мы говорили раньше, в Китае в каждой провинции свой GFW, и из утекших документов становится более ясно, где именно какие фильтры используются:

Клиенты Geedge и экспорт технологии

Из утекших документов видно, где именно Geedge развернула или развертывает системы, основанные на архитектуре GFW.

Расписали в таблице ниже:

Финансирование разработчиков GFW

MESA получает финансирование напрямую из государственного бюджета Китая как государственное научное учреждение. По документам за 2016 год, команда MESA получала контракты на сумму свыше 35 миллионов юаней в год, и это были только зафиксированные в документах суммы. К 2024 году объемы значительно выше, особенно учитывая национальное значение проектов.

Geedge же работает по коммерческой модели.
Компания получает деньги через контракты с ISP в странах-клиентах, через международные организации и компании-посредники (Thales Group, Investcom Holding, ATOM и другие), через дипломатические инициативы типа "Пояс и Дорога".

Использование посредников позволяет скрыть прямую связь между китайским государством и системой контроля в стране-клиенте. Geedge не называет себя "китайской компанией, которая продает цензуру", а позиционирует свои продукты как "решения для кибербезопасности" или "управление сетевым трафиком".

Делаем выводы по первой части

GFW превратился из внутреннего инструмента в экспортируемый товар. Geedge взяла отработанную архитектуру и упаковала её в модульные продукты: Cyber Narrator для мониторинга, TSG Galaxy для анализа данных, Tiangou для управления, ТСПУ как физическое устройство для установки. Вот такой вот SaaS...

В итоге вышла система, которую можно быстро развернуть в любой стране. Не нужно годы разработок. Достаточно установить "черный ящик" (ТСПУ) у всех провайдеров, подключить его к центру управления, и система начнет работать. Geedge уже развернула это в Казахстане, Эфиопии, Пакистане, Мьянме. Каждая страна получает одну и ту же архитектуру, но с локализированными настройками.

Куда приведёт сотрудничество этих стран с Geedge? Поживем-увидим :)
Делитесь мнением в комментариях!

В следующей части разберем методы обхода GFW и подробнее ознакомимся с содержимым сервисов, поставляемых Geedge. Также будем анализировать метрики DPI, используемые GFW и методы, при помощи которых они деанонимизируют пользователей. Stay Tuned!

Напомним, если хотите ознакомиться с утечкой 500 гб сами, уже опубликовали торрент в нашем Telegram-канале.