研究人员证实,与中国防火墙相关的超过 500GB 的内部文件、源代码、工作日志和通信内容大量泄露。该数据转储于 9 月 11 日在网上出现,暴露了中国国家流量过滤系统的内部运作方式。
据信,泄露的文件来自 Geedge Networks(一家与常被称为防火墙“之父”的方滨兴有联系的公司)和中国科学院信息工程研究所 MESA 实验室。此次泄露揭示了深度数据包检测(DPI)平台的完整构建系统,以及旨在识别和限制特定规避工具的代码模块。根据 Great Firewall Report 的研究人员的说法,该技术的很大一部分集中在基于 DPI 的 VPN 检测、SSL 指纹识别和完整会话日志记录。
这些文件详细介绍了名为“天狗”的商业平台的内部架构,该平台被宣传为面向互联网服务提供商(ISP)和边界网关的交钥匙“盒子里的防火墙”。据报道,天狗的早期部署使用惠普和戴尔服务器,然后由于制裁而转向中国采购的硬件。一份泄露的部署表显示,该系统在缅甸的 26 个数据中心实施,实时仪表板监控 8100 万个并发 TCP 连接。该系统由缅甸国营电信公司运营,并集成到核心互联网交换点,实现大规模封锁和选择性过滤。
这次泄密事件的影响超出了中国的边界。 《连线》和国际特赦组织的报告表明,Geedge 的 DPI 基础设施已出口到其他国家,包括巴基斯坦、埃塞俄比亚和哈萨克斯坦,通常与合法拦截平台结合使用。在巴基斯坦,Geedge 的设备据称是名为 WMS 2.0 的大型系统的一部分,该系统能够对移动网络进行实时全面监控。
此次泄密事件让我们得以难得一睹中国审查机构的设计和商业化情况。泄露的文件还显示,Geedge 的系统可以拦截未加密的 HTTP 会话。研究人员现在正在分析源代码档案,其中的构建日志和开发人员注释可能会揭示审查规避工具可能利用的协议级弱点或操作失误。
整个档案目前由 Enlace Hacktivista 和其他人镜像。由于存在潜在的安全风险,下载或检查存档只能在气隙虚拟机或其他沙盒环境中进行。
这些信息的曝光可能会对全球互联网审查和监视实践产生重大影响。
