Maior vazamento de documentos internos da história do Grande Firewall da China (GFW): análise relacionada a Geedge e MESA

Grandes grupos ditatoriais conspiram para vigiar centenas de milhões de pessoas... parece uma história de ficção científica distópica, mas é assustador que isso esteja acontecendo no mundo real.

O caso Edward Snowden ainda está bem vivo na memória, e eu ainda ter que ver por aqui comentários falando de ditador e essas coisas... será que é mais um daqueles que votaram no 2? Por favor, não fiquem só programando trancados no quarto; vão conhecer o mundo por aí ~

Deixando a política de lado, afinal, o que você está querendo dizer?
Não estou conseguindo entender nada do fluxo e do contexto das frases.

Não vejo nenhuma menção à Coreia em lugar nenhum, então não entendo por que de repente surgiu esse papo de política coreana.

Por favor, saia do site.
Você não precisa desta comunidade com esse cérebro politizado.

Pelo que você está dizendo, parece que você vive há muito tempo no mundo da internet e não consegue se comunicar direito no mundo real.
Em vez de ficar só escrevendo comentários desse tipo trancado no quarto, espero que você circule mais pelo mundo e conviva com "pessoas reais".

1. Eu não apoio esse partido.
2. Não sei onde você aprendeu essa atitude de ficar chamando os outros de 2jjik, mas isso parece grosseiro e mal-educado.
3. Dar lição de vida sobre alguém sem saber absolutamente nada sobre essa pessoa é algo que só atrai deboche. O quanto você é melhor do que eu?
4. Só porque esse caso aconteceu não significa que o fato de os ditadores atuais fazerem esse tipo de coisa seja algo normal ou nada surpreendente.

Vazaram os códigos-fonte do Big Brother!

Comentários do Hacker News

• Há uma análise e uma discussão interessantes aqui

  • Desde sua fundação em 2018, um dos primeiros clientes da Geedge foi o governo do Cazaquistão, para o qual vendeu o principal produto da empresa, o Tiangou Secure Gateway (TSG)

  • Essa solução monitora e filtra todo o tráfego web, de forma semelhante ao Great Firewall da China, e também controla tentativas de contorno

  • A mesma ferramenta também foi adotada na Etiópia e em Mianmar, onde foi usada para impor na prática a proibição de VPNs. A Geedge trabalhou com operadoras locais (Safaricom, Frontiir, Ooredoo etc.) para construir sistemas nacionais de censura

  • O vazamento de materiais internos revelou como funcionários da Geedge fizeram engenharia reversa das principais ferramentas de VPN para descobrir maneiras de bloqueá-las. Especificamente, diz-se que 9 VPNs comerciais foram “resolvidas”, e várias técnicas foram aplicadas para detectar e bloquear esse tráfego

  • Na China, a maior parte das VPNs comerciais está inacessível, e as principais ferramentas anticensura também são muito difíceis de acessar

  • Os documentos vazados incluem até informações de captura de emails em texto simples

  • Especula-se que a recente onda de bloqueio de VPNs na Rússia também use esse tipo de tecnologia

    • Pelo fato de o firewall russo “bater” diretamente em endpoints websocket suspeitos ou derrubar conexões SSH com muito tráfego, parece que o governo russo comprou e usa toda a stack chinesa

  • Ao ver a menção à captura de emails em texto simples, penso que não há como países ocidentais não fazerem algo semelhante

    • Dizem que todos devemos reconhecer que essa situação é a realidade cotidiana e agir de acordo

• Enfatiza-se que, quando um governo introduz mecanismos de controle técnico contra seus cidadãos, desaparece a capacidade que a população tinha de controlar o governo

  • Censura em massa, vigilância e violação de privacidade são incompatíveis com a dignidade humana

  • A lógica utilitarista da censura online em nome do “interesse público”, como terrorismo ou proteção infantil, olha apenas para os efeitos imediatos e ignora impactos além disso

  • Uma vez que o governo prova a doçura da censura, ele nunca mais fecha essa garrafa

  • No fim, não se limita a bloquear apenas conteúdo perigoso ou desagradável; a censura se expande arbitrariamente em benefício de forças que querem manter o poder

  • Espera-se que este vazamento relacionado ao Great Firewall ajude pesquisadores e ativistas a encontrar novos meios de resistir à censura

  • Há uma observação curta de que você está entendendo o campo de batalha de forma fundamentalmente errada

  • Cita-se como exemplo o caso de jovens nepaleses que, no começo deste mês, reagiram ao bloqueio massivo de redes sociais pelo governo incendiando prédios e expulsando parlamentares, dizendo que essa “garrafa” realmente já foi fechada de novo em alguns casos

  • Relembra-se o caso alemão e faz-se um alerta contra o otimismo de que o vazamento do GFW será útil

• Isso leva a perguntar que tipo de pessoa fracassada decide usar seu talento para construir ferramentas assim

  • Se dá dinheiro, alguém certamente vai fazer. Ou é algo que pode ser imposto à força
    • Por mais triste que seja, enfatiza-se que é preciso partir desse princípio na maioria dos assuntos

• Compartilha-se uma experiência antiga de viver em um país que usava o GFW

  • Antes do surgimento do v2ray, muitas vezes era possível contornar usando protocolos arbitrários

  • Se você transformasse uma conexão SSH em socks5 e a empacotasse com ROT13 ou alguma cifra ROTn aleatória, era possível evitar o sintoma de o firewall reduzir gradualmente a velocidade depois de alguns KB

  • O OpenSSH expunha seu nome e versão em texto simples ao conectar, o que o tornava previsível

  • Com o tempo, o firewall também ficou mais agressivo e passou a reduzir imediatamente a velocidade de protocolos não identificados

  • Se você imitasse tráfego HTTP legítimo, como fingir baixar um arquivo favicon.ico, dava para trocar com segurança apenas os pacotes de conteúdo

  • O projeto Iodine também tentou algo semelhante com pacotes de ping, mas era mais lento

  • Hoje o v2ray recomenda até que o desvio imite ao máximo tráfego real, incluindo a aparência de uma página web válida e certificados

  • Depois que comecei a ganhar dinheiro, também pensei em enviar o tráfego em round-robin por vários IPs, porque um IP consistente acaba criando uma impressão digital

  • Já não moro mais nesse país, então não cheguei a testar essa hipótese, mas ao ver o vazamento do código-fonte achei que isso poderia virar um projeto interessante de fim de semana

  • Enquanto decodificadores de tráfego para TCP, HTTP, QUIC etc. estavam explícitos, não havia um para UDP, e isso não afetava o contorno. Talvez a mesma limitação de taxa por IP atuasse em UDP em um nível mais baixo

  • Somando minha própria experiência, mantive um servidor Outline no mesmo IP por 3 anos e o GFW sempre bloqueava aquele IP depois de cerca de 3 dias

    • O Outline ofusca o tráfego com shadowsocks, mas parece ser bloqueado após 3 dias de observação
    • Pretendo tentar um experimento rodando vários servidores continuamente na próxima visita
    • VPNs de backup usando openvpn/wireguard também eram bloqueadas de forma semelhante após cerca de 3 dias
    • Curiosamente, na última semana não fui bloqueado usando apenas dois servidores alternadamente
    • Supõe-se que os padrões de tráfego sejam um fator de bloqueio mais importante que o protocolo

  • Pede-se uma explicação mais detalhada sobre a ideia de empacotar conexões SSH com ROT13 ou ROTn para evitar o bloqueio do firewall

    • Diz que gostaria de implementar isso por conta própria e quer ver scripts ou ferramentas, se ainda existirem
    • Vem implementando há alguns anos um protótipo de soft router warps usando técnicas de exfiltração e tem interesse em aplicar métodos semelhantes além de DNS/HTTP smuggling a outros protocolos de rede
    • Link de referência do projeto: https://github.com/tholian-network/warps

• Fica-se curioso para saber quem é o “Snowden chinês” por trás deste vazamento

  • Espera-se que ninguém jamais encontre essa pessoa

• Entende-se que tráfego QUIC não pode ser atacado com técnicas de MITM, então surge a dúvida de como o GFW lida com isso. Bloqueia completamente ou apenas filtra?

  • Não é só o QUIC; TLS e outros canais criptografados também podem ser protegidos da mesma forma

    • Identificar esses canais e bloqueá-los não é difícil
    • O padrão de tráfego de um acesso a um site normal é muito diferente de um usuário mandando todo o tráfego por uma única conexão
    • Por exemplo, grandes sites de vídeo como o YouTube já são bloqueados na China, então o tráfego de VPN vira alvo com muita facilidade
    • Protocolos importantes como QUIC já têm técnicas de resposta sob medida
    • O protocolo por si só não é a resposta; para realmente enfrentar o GFW, é preciso um protocolo anticensura sob medida
    • Protocolos genéricos e amplamente usados não conseguem escapar da análise de padrões do firewall

  • Segundo o relatório https://gfw.report/publications/usenixsecurity25/en/#3, o firewall chinês bloqueia farejando informações de SNI durante o handshake, de forma semelhante ao TLS

  • Questiona-se por que o QUIC seria diferente de HTTP1.1 ou 2 do ponto de vista de ataques MITM

    • No fim, quem impede MITM é o certificado
    • Se as autoridades obrigarem o sistema a confiar em um certificado-raiz, não haverá muita diferença com QUIC

  • Não é verdade que tráfego criptografado com QUIC impeça MITM

  • Em geral, depende-se de metadados como o IP de conexão ou de ataques de downgrade

    • Até que todos os servidores suportem QUIC, o firewall pode fingir que o servidor não suporta QUIC
    • Pode parecer seguro contornar usando Cloudflare, mas na prática a Espanha já bloqueou toda a Cloudflare durante partidas de futebol, então não dá para relaxar

• Considera-se que a disseminação desses sistemas de censura por toda parte é resultado de um esforço coordenado

  • Parece que, de repente, todos os líderes se tornaram inclinados ao autoritarismo
    • Até mesmo líderes de democracias ocidentais só fingem valorizar a democracia; na essência são iguais

• Só preciso de um firewall simples que bloqueie anúncios

• No início houve preocupação de que países ocidentais, como o Reino Unido, imitassem esse sistema

  • Não acho que todos estejam tentando adotar isso ativamente neste momento, mas também não é um medo totalmente infundado

  • Na prática, estamos nos aproximando mais desse tipo de sistema

  • O fato de o Partido Comunista Chinês precisar mobilizar um sistema tão gigantesco para impedir o acesso dos cidadãos à informação e a expressão de opiniões contrárias mostra que o regime está seriamente errado

  • Ainda bem que vivemos em uma sociedade relativamente livre

  • A internet está sendo cada vez mais empurrada para a intervenção estatal e a censura. Isso não parece desejável

  • O objetivo desses sistemas não é bloquear toda desobediência ou toda consciência pela raiz, mas desacelerar a velocidade com que boatos ou propaganda viralizam

    • Isso dá ao governo tempo para preparar a resposta necessária
    • Em lugares sem preparação social para a circulação irrestrita de informação, podem ocorrer efeitos colaterais como os linchamentos via WhatsApp na Índia
    • Com os EUA liderando de fato a internet mundial, países sem mecanismos de controle ficam vulneráveis a operações de influência, revoluções coloridas etc. (a China seria exceção)
    • No fim, todos os países acabarão criando sua própria versão do GFW, porque não há alternativa para garantir soberania na internet
    • Os EUA só serão os últimos a adotar isso graças à sua forte influência e aos instrumentos legais que podem aplicar às empresas de internet dentro do próprio país

  • Ouvi o podcast político britânico Not Another One, no qual se mencionava que a política de bloqueio de pornografia no Reino Unido vem sendo observada por políticos estrangeiros por controlar demais o acesso a conteúdo

    • Há 20 anos, era difícil até imaginar crianças tendo acesso a esse tipo de conteúdo extremo
    • No Reino Unido, a publicação de livros obscenos é regulada pelos Obscene Publications Acts, mas o ambiente online vinha sendo permitido

  • Na verdade, o GFW foi originalmente construído pela Cisco, e o Ocidente já tem toda a tecnologia relacionada

    • Com uma justificativa, isso pode ser implantado a qualquer momento
    • A China depende de exportações, então não bloqueia tudo
    • Também há muitos serviços de proxy, mas a maioria tem vínculos com o governo

  • Na prática, quase todas as empresas também usam internamente parte desses sistemas, como proxies, firewalls e filtros de conteúdo

    • Isso é especialmente comum em setores altamente regulados, como finanças e bancos
    • Eu mesmo opero na minha rede um proxy que filtra arbitrariamente conteúdos indesejados, como anúncios

  • Em resposta à interpretação de que o regime do Partido Comunista Chinês é fraco a ponto de precisar bloquear a opinião dos cidadãos, faz-se uma analogia com a OpenAI

    • Assim como em modelos de IA a qualidade dos dados importa mais do que a arquitetura, para os humanos a qualidade da informação que lhes é injetada também é mais importante
    • O principal objetivo do Great Firewall é censurar a oposição política, mas também há um aspecto de impedir que cidadãos chineses mergulhem em mídia “junk food”
    • O Douyin (TikTok chinês) tem forte censura política, mas a qualidade dos vídeos é mais “saudável”
    • Há uma grande diferença de valores algorítmicos entre o Douyin, voltado para harmonia social, e o TikTok, voltado para maximização de receita publicitária
    • As ações do governo chinês não se explicam completamente apenas como “supressão da oposição política”, mas podem ser vistas como parte de uma missão maior de realizar a “harmonia social” confucionista
    • Isso explicaria melhor ações do governo, incluindo excesso de regulação, assim como a diferença entre os algoritmos do Douyin e do TikTok. O único critério não é suprimir oposição

• Toda esta discussão parece cheia de advogados do diabo

  • Expressa-se que a sociedade está quebrada