Обнаружен скрытый слой Великого китайского файрвола

Обнаружен скрытый слой Великого китайского файрвола

GFW параллельно использует по крайней мере три разных промежуточных ящика для цензуры HTTPS.

image

Группа ученых из Университета Мэриленда обнаружила ранее скрытый слой в системе цензурирования в Китае «Золотой щит», также известной как «Великий китайский файрвол» (Great Firewall of China, GFW).

GFW представляет собой систему фильтрации содержимого интернета в КНР. Разработка проекта была начата в 1998 году, а в 2003 году он был введен в эксплуатацию по всей стране. Система включает такие подсистемы, как систему управления безопасностью, систему информирования о правонарушениях, систему контроля выхода и ввода, информационную систему мониторинга и систему управления трафиком.

Хотя внутри Великого китайского межсетевого экрана существуют различные механизмы цензуры, которые обслуживают разные протоколы, наиболее мощной и технически продвинутой является система, предназначенная для работы с зашифрованным web-трафиком HTTPS. Механизм цензуры HTTPS включает две отдельные системы. Первая перехватывает HTTPS-соединения на их начальных этапах, а затем просматривает поле данных соединения (SNI), раскрывающее домен, к которому пользователь пытается получить доступ. Даже если китайские цензоры не могут расшифровать содержимое фактического HTTPS-соединения, поле SNI позволяет правительству Китая блокировать доступ пользователей к нежелательным сайтам.

Вторая система, представленная в прошлом году, обслуживает HTTPS-соединения, в которых используются современные протоколы, шифрующие поле SNI (как eSNI). Поскольку система не может видеть, к какому домену пользователи пытаются получить доступ, данный механизм цензуры является гораздо более грубым, поскольку GFW просто блокирует все соединения с полями eSNI.

Второй механизм не получил широкого распространения, поскольку цензоры все еще тестируют его возможности, и очень немногие HTTPS-соединения используют eSNI.

Однако, ученые из Университета Мэриленда обнаружили вторичную систему фильтрации HTTPS SNI, работающую параллельно с первой.

«На самом деле это было случайное открытие, и мы наткнулись на него еще в 2019 году. Мы начали находить странные стратегии, в которых Женева [система обхода цензуры] побеждала цензуру в первой части TLS-рукопожатия (где, как предполагалось, имела место цензура), но все же не провалилась глубже в рукопожатии», — пояснили ученые.

По словам экспертов, система так же эффективна, как и первый уровень при цензуре HTTPS-трафика, даже если она вмешивается на последних этапах соединения.

Это открытие означает, что GFW параллельно использует по крайней мере три разных промежуточных ящика для цензуры HTTPS — два для соединений на основе SNI и еще одно семейство промежуточных ящиков полностью для цензуры соединений на основе ESNI.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!