Обнаружен скрытый слой Великого китайского файрвола

Группа ученых из Университета Мэриленда обнаружила ранее скрытый слой в системе цензурирования в Китае «Золотой щит», также известной как «Великий китайский файрвол» (Great Firewall of China, GFW).

GFW представляет собой систему фильтрации содержимого интернета в КНР. Разработка проекта была начата в 1998 году, а в 2003 году он был введен в эксплуатацию по всей стране. Система включает такие подсистемы, как систему управления безопасностью, систему информирования о правонарушениях, систему контроля выхода и ввода, информационную систему мониторинга и систему управления трафиком.

Хотя внутри Великого китайского межсетевого экрана существуют различные механизмы цензуры, которые обслуживают разные протоколы, наиболее мощной и технически продвинутой является система, предназначенная для работы с зашифрованным web-трафиком HTTPS. Механизм цензуры HTTPS включает две отдельные системы. Первая перехватывает HTTPS-соединения на их начальных этапах, а затем просматривает поле данных соединения (SNI), раскрывающее домен, к которому пользователь пытается получить доступ. Даже если китайские цензоры не могут расшифровать содержимое фактического HTTPS-соединения, поле SNI позволяет правительству Китая блокировать доступ пользователей к нежелательным сайтам.

Вторая система, представленная в прошлом году, обслуживает HTTPS-соединения, в которых используются современные протоколы, шифрующие поле SNI (как eSNI). Поскольку система не может видеть, к какому домену пользователи пытаются получить доступ, данный механизм цензуры является гораздо более грубым, поскольку GFW просто блокирует все соединения с полями eSNI.

Второй механизм не получил широкого распространения, поскольку цензоры все еще тестируют его возможности, и очень немногие HTTPS-соединения используют eSNI.

Однако, ученые из Университета Мэриленда обнаружили вторичную систему фильтрации HTTPS SNI, работающую параллельно с первой.

«На самом деле это было случайное открытие, и мы наткнулись на него еще в 2019 году. Мы начали находить странные стратегии, в которых Женева [система обхода цензуры] побеждала цензуру в первой части TLS-рукопожатия (где, как предполагалось, имела место цензура), но все же не провалилась глубже в рукопожатии», — пояснили ученые.

По словам экспертов, система так же эффективна, как и первый уровень при цензуре HTTPS-трафика, даже если она вмешивается на последних этапах соединения.

Это открытие означает, что GFW параллельно использует по крайней мере три разных промежуточных ящика для цензуры HTTPS — два для соединений на основе SNI и еще одно семейство промежуточных ящиков полностью для цензуры соединений на основе ESNI.