I ricercatori hanno confermato una fuga sostanziale di oltre 500 GB di documenti interni, codice sorgente, registri di lavoro e comunicazioni relative al Great Firewall cinese. Il data dump, emerso online l’11 settembre, mette in luce il funzionamento interno del sistema di filtraggio del traffico nazionale cinese.
Si ritiene che i file trapelati provengano da Geedge Networks, una società legata a Fang Binxing, spesso definita il “padre” del Great Firewall, e dal laboratorio MESA presso l’Istituto di ingegneria dell’informazione, una divisione di ricerca dell’Accademia cinese delle scienze. La fuga di notizie rivela quelli che sembrano essere sistemi completi per piattaforme di ispezione approfondita dei pacchetti (DPI), nonché moduli di codice progettati per identificare e limitare specifici strumenti di elusione. Secondo i ricercatori del Great Firewall Report, una parte significativa della tecnologia si concentra sul rilevamento VPN basato su DPI, sull’impronta digitale SSL e sulla registrazione dell’intera sessione.
I documenti descrivono in dettaglio l’architettura interna di una piattaforma commerciale chiamata “Tiangou”, commercializzata come un “Great Firewall in a box” chiavi in mano per fornitori di servizi Internet (ISP) e gateway di frontiera. Secondo quanto riferito, le prime implementazioni di Tiangou utilizzavano server HP e Dell prima di passare all’hardware di origine cinese a causa delle sanzioni. Un foglio di implementazione trapelato indica che il sistema è stato implementato in 26 data center in Myanmar, con dashboard in tempo reale che monitorano 81 milioni di connessioni TCP simultanee. Il sistema era gestito dalla compagnia statale di telecomunicazioni del Myanmar e integrato nei principali punti di scambio Internet, consentendo il blocco di massa e il filtraggio selettivo.
Le implicazioni di questa fuga di notizie si estendono oltre i confini della Cina. Rapporti di WIRED e Amnesty International suggeriscono che l’infrastruttura DPI di Geedge è stata esportata in altri paesi, tra cui Pakistan, Etiopia e Kazakistan, spesso utilizzata insieme a piattaforme di intercettazione legali. In Pakistan, l’attrezzatura di Geedge fa presumibilmente parte di un sistema più ampio noto come WMS 2.0, in grado di sorvegliare in modo capillare le reti mobili in tempo reale.
La fuga di notizie offre uno sguardo raro sulla progettazione e commercializzazione dell’apparato di censura cinese. I documenti trapelati rivelano anche che il sistema di Geedge può intercettare sessioni HTTP non crittografate. I ricercatori stanno ora analizzando l’archivio del codice sorgente, rilevando la presenza di registri di build e note degli sviluppatori che potrebbero rivelare debolezze a livello di protocollo o passi falsi operativi che gli strumenti di elusione della censura potrebbero sfruttare.
L’intero archivio è attualmente sottoposto a mirroring da Enlace Hacktivista e altri. Il download o l’esame dell’archivio deve essere eseguito solo in VM con air gap o altri ambienti sandbox a causa di potenziali rischi per la sicurezza.
L’esposizione di queste informazioni potrebbe avere conseguenze significative per la censura di Internet e le pratiche di sorveglianza a livello globale.
