11 сентября исследователи сообщили о беспрецедентной утечке данных, связанной с китайской системой интернет-цензуры. В открытом доступе оказались более 500 гигабайт исходного кода, внутренних документов, рабочих журналов и переписки, относящихся к так называемому «Великому китайскому файрволу». Материалы выложены на сайте Rutab.net и уже вызвали большой интерес у специалистов в области кибербезопасности.
По предварительным данным, утечка связана с компанией Geedge Networks, которую в Китае связывают с Фан Бинсином — широко известным как «отец» национальной системы интернет-фильтрации. Также упоминается лаборатория MESA при Институте инженерной информации Китайской академии наук. Среди файлов обнаружены репозитории кода для платформ глубокой проверки пакетов (DPI), инструменты обнаружения VPN, SSL-фингерпринтинг и средства протоколирования интернет-сессий.
Исследователи проекта Great Firewall Report утверждают, что документы описывают внутреннюю архитектуру платформы «Тяньгоу» (Tiangou), которую называют готовым решением «файрвол в коробке». Первые её версии разворачивались на серверах HP и Dell, но позже перешли на оборудование китайского производства. Из раскрытых данных следует, что система применялась не только в Китае, но и за его пределами — например, в Мьянме, где она была внедрена в 26 центрах обработки данных и контролировала до 81 млн одновременных соединений.
Партнёрские публикации WIRED и Amnesty International сообщают, что DPI-технологии Geedge поставлялись также в Пакистан, Эфиопию и Казахстан, где их интегрировали в национальные системы наблюдения и фильтрации интернет-трафика. В Пакистане, по утверждениям источников, оборудование стало частью системы WMS 2.0, способной к масштабному мониторингу мобильных сетей в реальном времени.
Эксперты считают, что наличие исходного кода и журналов разработки позволит выявить уязвимости и ошибки в протоколах, которые могут использовать сторонние инструменты обхода цензуры. В то же время исследователи предупреждают о риске: работать с архивом рекомендуется только в изолированных средах (air-gapped VM или песочницах), так как файлы могут содержать потенциально вредоносный код.
