Eine Geschichte von zwei Leaks: Wie Hacker die große Firewall Chinas durchbrachen

Die Große Firewall von China (GFW) ist eines der, wenn nicht sogar das fortschrittlichste Internetzensursystem der Welt. Da repressive Regierungen ihre Zensurregeln im Allgemeinen nicht einfach veröffentlichen, liegt die Aufgabe, genau zu bestimmen, was erlaubt ist und was nicht, der Zensurmessgemeinschaft, die Experimente über zensierte Netzwerke durchführt. In diesem Vortrag diskutieren wir zwei Wege, wie sich die Zensurmessung von passiven Experimenten zu aktiven Angriffen auf die Große Firewall entwickelt hat. Während wir 2021 das DNS-Injektionssystem der Great Firewall untersuchten, fielen uns etwas Merkwürdiges auf: Manchmal enthielten die eingeschleusten Antworten seltsamen Müll. Nach einiger Recherche stellten wir fest, dass wir auf eine Speicheroffenlegungslücke gestoßen waren, die uns ein beispielloses Fenster in das Innere der Großen Firewall geben würde: Wallbleed. Also haben wir Probes entwickelt, die bis zu 125 Byte pro Antwort durchsickern konnten, und sie zwei Jahre lang wiederholt gesendet. Fünf Milliarden Antworten später entstand das Bild... beunruhigend. Über 2 Millionen HTTP-Cookies sind geleakt. Fast 27.000 URL-Parameter mit Passwörtern. SMTP-Befehle, die E-Mail-Adressen offenlegen. Wir fanden Verkehr von RFC 1918 privaten Adressen – was darauf hindeutet, dass wir das eigene interne Netzwerk der Großen Firewall sahen. Wir haben gesehen x86_64 Frames mit ASLR-fähigen Zeiger gestapelt haben. Wir haben sogar unseren eigenen getaggten Traffic nach China geschickt und diese genauen Bytes später in Wallbleed-Antworten wiederhergestellt, was eindeutig beweist, dass echter Nutzerverkehr offengelegt wurde. Im September 2023 begann das Patchen. Wir beobachteten in Echtzeit, wie Blöcke von IP-Adressen aufhörten, auf unsere Sonden zu reagieren. Aber natürlich haben dieselben Entwickler, die diesen Fehler ursprünglich gemacht haben, weitere Fehler gemacht. Innerhalb weniger Stunden entwickelten wir "Wallbleed v2"-Abfragen, die das Leck trotzdem auslösten. Die Verwundbarkeit bestand weitere sechs Monate bis März 2024. Die GFW-Messforschung ging wieder zum normalen Betrieb, bis im September dieses Jahres eine anonyme Quelle 600 GB geleakten Quellcode, Pakete und Dokumentationen über Enlace Hacktivista veröffentlichte. Diese Daten stammen von Geedge Networks – einem Unternehmen, das eng mit dem GFW und dem zugehörigen MESA-Labor verbunden ist. Geedge Networks entwickelt Zensursoftware nicht nur für die GFW, sondern auch für andere repressive Länder wie Pakistan, Myanmar, Kasachstan und Äthiopien. Wir werden einige unserer neuartigen Erkenntnisse aus dem Leak von Geedge Networks besprechen, einschließlich neuer Erkenntnisse darüber, wie das Leak mit Wallbleed zusammenhängt. Wallbleed und das Leak von Geedge Networks zeigen, dass Zensurmessungsforschung mehr sein kann als nur das aktive Untersuchen zensierter Netzwerke. Wir hoffen, dass dieser Vortrag ein Aufruf an Hacker gegen Internetzensur sein wird. Weitere Informationen zu Wallbleed finden Sie im GFW-Bericht: https://gfw.report/publications/ndss25/en/ Für die Öffentlichkeit lizenziert unter http://creativecommons.org/licenses/by/4.0

LicenseCreative Commons Attribution