Группа ученых из Университета Мэриленда представила доклад о новом слое, обнаруженном в системе «Великого китайского файрвола». Им оказалась вторичная система фильтрации HTTPS SNI, работающая параллельно с первой, запущенной в прошлом году.
Дело в том, что внутри «Великого китайского файрвола» существуют различные механизмы цензурирования, которые работают с разными протоколами. Его наиболее мощная и технически продвинутая часть — это система, работающая с зашифрованным трафиком HTTPS, и этот механизм разделен на две отдельные системы. Первая и наиболее старая из них работает, перехватывая HTTPS-соединения на начальных этапах, а затем изучает поле SNI, которое содержит данные о домене, к которому пользователь пытается получить доступ. Таким образом, поле SNI позволяет правительству Китая блокировать доступ к нежелательным сайтам.
Второй механизм, представленный в прошлом году, в целом похож на первый, но работает с HTTPS-соединениями, где используются современные протоколы, которые шифруют поле SNI (как eSNI). Так как эта система не может «видеть», к какому домену пользователь пытается получить доступ, блокируются вообще все соединения, в которых обнаруживаются поля eSNI. Второй механизм пока не получил широкого распространения и, похоже, пока находится на этапе тестирования, так как немногие HTTPS-соединения используют eSNI в целом.
Теперь эксперты из Университета Мэриленда пишут, что они обнаружили вторичную систему фильтрации HTTPS SNI, работающую параллельно с запущенной в прошлом году. Исследователи рассказали журналистам The Record, что это открытие было сделано случайно, еще в 2019 году. По словам экспертов, обнаруженная система столь же эффективна, как и первый уровень при цензуре HTTPS, хотя она вмешивается в происходящее уже на последних этапах соединения.
«Мы стали замечать странные стратегии, в которых Geneva [система обхода цензуры] обходила цензуру во время первой части хэндшейка TLS (где, как предполагалось, имела место цензура), но все же не могла продвинуться в хэндшейке дальше. В то время мы не полностью понимали что это, но с тех пор наши инструменты и понимание “Великого китайского файрвола” улучшились, так что теперь мы осознаем, что это были странные результаты.
Мы не знаем наверняка, что это такое, но, похоже, что этот механизм специфичен для HTTPS: мы не наблюдаем такого же поведения в других протоколах, которые подвергаются цензуре», — сообщил журналистам Кевин Бок (Kevin Bock).
Эксперты резюмируют, что еще несколько лет назад «Великий китайский файрвол» представлялся специалистам единым целым, но теперь становится ясно, что он состоит из разных наборов middlebox’ов, работающих параллельно друг с другом, и каждый из них предназначен для цензуры разных протоколов.
«Наше открытие означает, что “Великий китайский файрвол” параллельно использует как минимум три разных middlebox’а для цензуры HTTPS: два для соединений на основе SNI и еще одно семейство middlebox’ов для цензуры соединений на основе ESNI», — гласит отчет.
