Geedge and MESA leak: Analyzing the great firewall’s largest document leak 🔥 Горячее
Краткий русский пересказ утечки Geedge & MESA
- 11 сентября 2025 года утекло ≈600 ГБ внутренних данных «Великого китайского файрвола» (GFW): исходники, логи, переписка.
- Источник — компания Geedge Networks (главный учёный — «отец GFW» Фан Бинсин) и лаборатория MESA при Институте информатики АН Китая.
- Документы показывают: разработка и эксплуатация систем фильтрации для Синьцзяна, Цзянсу, Фуцзяня; экспорт цензуры в Мьянму, Пакистан, Эфиопию, Казахстан и другие страны «Пояса и пути».
- Архивы: 500 ГБ RPM-репозиторий, 35 ГБ Git MESA, 15 ГБ Jira Geedge, десятки документов Word о тендерах, графиках, отчётах.
- Зеркала: BitTorrent и HTTPS на EnlaceHacktivista.
- Рекомендация: разбирать только в изолированной виртуалке — возможны следящие модули и вредоносное ПО.
Комментарии (121)
- Компания Geedge с 2018 г. продаёт авторитарным режимам (Казахстан, Пакистан, Беларусь, Россия) «Great-Firewall-ин-а-box» под маркой Tiangou Secure Gateway: DPI, MITM, SNI-сканирование, «замедление» SSH/VPN, блокировка QUIC и облачных IP.
- Участники считают, что технологии цензуры уже массово экспортируются западными вендорами (Cisco, Nokia, Siemens, Blue Coat) и внедряются в корпоративных и государственных сетях; «западный файрвол» — вопрос времени и удобного повода.
- Обход всё ещё возможен (v2ray, Outline/Shadowsocks, ротация серверов, маскировка трафика), но GFW быстро учится: типичный Outline-блок наступает через 3 дня наблюдений.
- Мнения морализаторов разделились: кто-то видит в разработчиках «веру во всё ради общего блага», кто-то — «провалившихся людей»; упоминается, что в Китае индивидуализм воспринимается как вредный «западный» порок.
- Лейтмотив: «как только власть попробовала цензуру, бутылку уже не закупорить» — примеры Непала, Беларуси, России; в то же время всплывают новые исследования и инструменты как для усиления, так и для обхода блокировок.
Analysis of the GFW's Unconditional Port 443 Block on August 20, 2025
20 августа 2025 г. с 00:34 до 01:48 по Пекину GFW безусловно сбрасывал все TCP-соединения на 443-порт, разрывая трафик между Китаем и остальным миром.
Ключевые факты
- Цель: только 443/tcp; 22, 80, 8443 не трогались.
- Механизм:
- из Китая:
SYNилиSYN+ACKвызывали три поддельныхRST+ACK; - в Китай:
RSTпосылались только наSYN+ACKсервера.
- из Китая:
- Оборудование: отпечатки не совпадают с известными GFW-узлами ⇒ либо новое устройство, либо сбой.
Примеры трафика
Из Китая наружу
CN_IP → NON_CN_IP:443 [SYN]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 0, ack 1, win 1980-1982)
NON_CN_IP:443 → CN_IP [SYN+ACK]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 1, ack 1, win 3293-3295)
Снаружи в Китай
192.168.0.162 → baidu.com:443 [SYN]
baidu.com:443 → 192.168.0.162 [SYN+ACK]
baidu.com:443 → 192.168.0.162 [RST+ACK] (seq 1, ack 1, win 2072-2074)
Инцидент длился 74 минуты; приглашаем сообщить дополнительные наблюдения.
Комментарии (128)
- Пользователи обсуждают масштабные сбои/блокировки в китайском интернете, многие называют это «комендантским часом» и опасаются повторения на Западе.
- Возникли вопросы о топологии «Великого фаервола»: централизован ли он, действует ли между всеми узлами или только между домашними и коммерческими сетями.
- Некоторые считают инцидентом ошибку конфигурации, другие — «сухую тренировку» перед будущими ограничениями, особенно в военное время.
- Упоминаются последствия для удалённых работников и иностранцев: падение VPN, пропущенные созвоны, поиск запасных каналов (Starlink, LoRa, V2Ray).
- Подчёркивается, что внутри Китая даже запуск личного блога требует лицензии ICP, а HTTPS-сертификаты часто отсутствуют.