La mayor filtración de documentos internos en la historia del Gran Cortafuegos de China (GFW): análisis sobre Geedge y MESA

Los gigantescos regímenes dictatoriales se confabulan para vigilar a cientos de millones de personas... suena como una novela de ciencia ficción distópica, pero es impactante que en realidad esté ocurriendo en el mundo real.

Lo de Edward Snowden todavía sigue muy presente, y encima tengo que ver aquí también comentarios de dictadores y esas cosas; ¿será que votaste por el 2? Por favor, no te quedes solo programando encerrado en tu cuarto y sal a recorrer el mundo por aquí y por allá ~

Dejando de lado la política, ¿qué es exactamente lo que quiere decir?
No entiendo en absoluto el hilo ni el contexto de las oraciones.

No veo por ninguna parte que se haya hablado de Corea, así que no entiendo por qué de repente salió el tema de la política coreana.

Por favor, retírate del sitio.
No necesitamos en esta comunidad a alguien con el cerebro podrido por la política como tú.

Por lo que dice, parece alguien que ha vivido mucho tiempo en el mundo de internet y que en la vida real no logra comunicarse adecuadamente con nadie.
En vez de quedarse escribiendo comentarios así encerrado en su cuarto, le recomiendo salir y recorrer el mundo un poco más, y convivir con "personas reales".

1. No apoyo a ese partido.
2. No sé de dónde aprendiste esa actitud de andar diciendo "a favor del 2", pero pareces una persona grosera y muy maleducada.
3. Darle lecciones de vida a otros sin saber nada sobre ellos es algo que solo provoca burlas. ¿Qué tan superior eres tú a mí?
4. Que ese incidente haya ocurrido no significa que sea algo normal ni poco sorprendente que los dictadores actuales hagan este tipo de cosas.

¡Se filtró el código fuente del Gran Hermano!

Opiniones de Hacker News

• Aquí hay un análisis y una discusión interesantes

  • Entre los primeros clientes de Geedge, desde su fundación en 2018, estuvo el gobierno de Kazajistán, al que vendió el producto principal de la empresa, Tiangou Secure Gateway (TSG)

  • Esta solución monitorea y filtra todo el tráfico web, de forma similar al Great Firewall de China, e incluso controla los intentos de evasión

  • La misma herramienta también fue adoptada en Etiopía y Myanmar, donde se utilizó para aplicar de forma efectiva prohibiciones de VPN. Geedge colaboró con operadores locales (Safaricom, Frontiir, Ooredoo, etc.) para construir sistemas nacionales de censura

  • La filtración de materiales internos mostró cómo empleados de Geedge hacían ingeniería inversa de herramientas VPN populares para encontrar maneras de bloquearlas. En concreto, afirman haber “resuelto” 9 VPN comerciales y aplicaron diversas técnicas para detectar y bloquear su tráfico

  • En China, la mayoría de las VPN comerciales ya son inaccesibles, y las principales herramientas anticensura también son muy difíciles de usar

  • Los documentos filtrados incluso incluyen capturas de correos electrónicos en texto plano

  • Se especula que la reciente tendencia de Rusia a bloquear VPN también usa este tipo de tecnología

    • Al ver que el firewall ruso “toca la puerta” directamente a endpoints websocket sospechosos o corta conexiones ssh con mucho tráfico, parece que el gobierno ruso compra y usa todo el stack chino

  • Al ver la mención de captura de correos en texto plano, uno piensa que sería raro que los países occidentales no hicieran algo parecido

    • Dicen que todos deberíamos actuar asumiendo que esta situación es una realidad cotidiana

• Se enfatiza que cuando un gobierno introduce mecanismos de control técnico sobre sus ciudadanos, desaparece la capacidad de estos para ponerle freno

  • La censura masiva, la vigilancia y la invasión de la privacidad son incompatibles con la dignidad humana

  • La lógica utilitarista de la censura en línea justificada por el “interés público”, como el terrorismo o la protección infantil, solo ve los efectos de primer orden e ignora todo lo demás

  • Una vez que un gobierno prueba la dulzura de censurar, nunca vuelve a tapar la botella

  • Al final, no se limita a bloquear contenido peligroso o desagradable, sino que la censura se expande arbitrariamente para beneficiar a quienes buscan conservar el poder

  • Ojalá esta filtración relacionada con el Great Firewall ayude a investigadores y activistas a encontrar nuevas formas de resistir la censura

  • Hay una breve observación de que estás malentendiendo fundamentalmente el campo de batalla

  • Se menciona como ejemplo que, a inicios de este mes, jóvenes de Nepal respondieron a un bloqueo masivo de redes sociales por parte del gobierno incendiando edificios y expulsando a parlamentarios, para decir que sí ha habido casos en que esa “botella” volvió a taparse

  • Recordando el caso alemán, se advierte contra el optimismo de pensar que la filtración del GFW vaya a ayudar

• Esto hace preguntarse qué clase de persona fracasada decide usar su talento para construir herramientas así

  • Si da dinero, alguien siempre terminará haciéndolo. O puede ser algo que te obliguen a hacer
    • Insisten en que, por triste que sea, así es como hay que pensar y actuar en la mayoría de los asuntos

• Se comparte la experiencia de haber vivido antes en un país que usaba el GFW

  • Antes de la aparición de v2ray, era común lograr evasión usando protocolos arbitrarios

  • Si convertías una conexión SSH en socks5 y la envolvías con cifrado ROT13 o algún ROTn arbitrario, podías evitar el síntoma de que el firewall empezara a bajar gradualmente la velocidad tras unos pocos KB

  • OpenSSH revelaba su nombre y versión en texto plano al conectarse, así que era fácil de identificar

  • Con el tiempo, el firewall se volvió más agresivo y empezó a reducir de inmediato la velocidad de protocolos no identificados

  • Si imitabas tráfico HTTP legítimo, por ejemplo fingiendo descargar un archivo favicon.ico, podías intercambiar de forma segura solo los paquetes de contenido

  • El proyecto Iodine también intentó algo parecido con paquetes ping, aunque era más lento

  • Hoy en día v2ray incluso recomienda parecerse lo más posible a tráfico real, incluyendo la apariencia de una página web válida y certificados

  • Cuando empecé a ganar dinero, también pensé en enviar tráfico con round-robin a múltiples IP, porque una IP consistente crea una huella

  • Ya no vivo en ese país, así que no he probado esa hipótesis, pero viendo la filtración del código fuente, pienso que podría ser un proyecto interesante para un fin de semana

  • Aunque se mencionaban decodificadores de tráfico para TCP, HTTP, QUIC, etc., no había uno para UDP, y eso no afectó la evasión. Quizá el mismo rate limiting por IP también funcionaba para UDP en una capa más baja

  • Sumando mi experiencia, operé un servidor Outline en la misma IP durante 3 años y el GFW siempre bloqueaba esa IP después de unos 3 días

    • Outline ofusca el tráfico con shadowsocks, pero parece que lo bloquean tras 3 días de observación
    • Planeo probar un experimento manteniendo varios servidores activos en mi próxima visita
    • Mi VPN de respaldo (usando openvpn/wireguard) también era bloqueada de forma similar tras unos 3 días
    • Recientemente, como durante una semana alterné solo entre dos servidores, curiosamente no me bloquearon
    • Sospecho que el patrón de tráfico importa más para el bloqueo que el protocolo

  • Piden que se explique un poco más la idea de envolver conexiones SSH con ROT13 o ROTn para evitar el bloqueo del firewall

    • Dicen que les gustaría implementarlo ellos mismos y quisieran ver si queda algún script o herramienta
    • Comentan que en los últimos años han seguido implementando un prototipo de soft router warps usando técnicas de exfiltración, y les interesa aplicar métodos similares a otros protocolos de red más allá del smuggling por DNS/HTTP
    • Enlace de referencia a su proyecto: https://github.com/tholian-network/warps

• Da curiosidad saber quién es el “Snowden chino” detrás de esta filtración

  • Ojalá nadie logre encontrar jamás a esa persona

• Entiendo que el tráfico QUIC no puede ser atacado con técnicas MITM, así que surge la duda de cómo lo maneja el GFW: si lo bloquea por completo o solo lo filtra

  • No solo QUIC, también TLS y otros canales cifrados pueden protegerse de la misma manera

    • Identificar esos canales y bloquearlos no es difícil
    • El patrón de tráfico de una navegación web normal y el de un usuario que envía todo su tráfico por una sola conexión son muy distintos
    • Por ejemplo, sitios de video pesado como YouTube ya están bloqueados en China, así que el tráfico de VPN se vuelve un blanco muy fácil
    • Para cada protocolo importante, como QUIC, ya hay técnicas de respuesta específicas
    • El protocolo por sí solo no es la respuesta, y para luchar de verdad contra el GFW se necesitan protocolos anticensura hechos a la medida
    • Con protocolos genéricos y ampliamente usados no se puede evitar el análisis de patrones del firewall

  • Según el reporte https://gfw.report/publications/usenixsecurity25/en/#3, el firewall chino bloquea olfateando la información SNI durante el handshake, de forma similar a TLS

  • Se preguntan por qué QUIC sería distinto de HTTP1.1 o 2 desde la perspectiva de ataques MITM

    • Al final, lo que evita el MITM es el certificado
    • Si las autoridades obligan a confiar en un certificado raíz, con QUIC tampoco habría mucha diferencia

  • No es cierto que el tráfico cifrado de QUIC impida MITM

  • Normalmente se basan en metadatos como la IP de conexión o en ataques de degradación

    • Mientras no todos los servidores soporten QUIC, el firewall puede fingir que el servidor no soporta QUIC
    • Uno podría pensar que evadir a través de Cloudflare sería seguro, pero en la práctica España llegó a bloquear todo Cloudflare durante partidos de fútbol, así que no conviene confiarse

• Se ve que la instalación de estos sistemas de censura en tantos lugares es el resultado de un esfuerzo coordinado

  • Parece que de repente todos los líderes se volvieron inclinados al autoritarismo
    • Incluso los líderes de las democracias occidentales solo aparentan valorar la democracia, pero en el fondo son iguales

• Solo hace falta un firewall simple que bloquee anuncios

• Al principio preocupaba que países occidentales como el Reino Unido imitaran estos sistemas

  • No creo que ahora mismo todos estén intentando copiarlos activamente, pero tampoco es una paranoia exagerada

  • En realidad, nos estamos acercando cada vez más a sistemas de ese tipo

  • Que el Partido Comunista Chino necesite movilizar un sistema tan enorme para impedir el acceso a información y la expresión de opiniones disidentes muestra que el régimen ya está bastante mal

  • Somos afortunados de vivir en sociedades relativamente libres

  • Internet está cediendo cada vez más terreno a la intervención y la censura gubernamental. No parece algo deseable

  • El objetivo de estos sistemas no es bloquear por completo toda desobediencia o toda toma de conciencia, sino ralentizar la velocidad con la que rumores o propaganda pueden volverse virales

    • Así, el gobierno gana tiempo para preparar la respuesta que necesite
    • La difusión irrestricta de información puede causar efectos secundarios en lugares socialmente no preparados, como los linchamientos por WhatsApp en India
    • Dado que Estados Unidos domina de facto el internet mundial, los países sin mecanismos de control quedan expuestos a distintas formas de influencia y revoluciones de color. (China es la excepción)
    • Al final, todos los países terminarán construyendo su propia versión del GFW, y no hay alternativa si quieren asegurar soberanía sobre internet
    • Estados Unidos solo será el último en implementarlo, gracias a su enorme poder y a las herramientas legales que puede aplicar a las empresas de internet dentro de su territorio

  • Escuché el pódcast político británico Not Another One, donde mencionaban que la política británica de bloqueo de porno está llamando la atención de políticos extranjeros por su control excesivo del acceso a contenidos

    • Hace apenas 20 años, era difícil incluso imaginar que menores pudieran acceder a contenido tan extremo
    • En el Reino Unido, la publicación de libros obscenos está regulada por las Obscene Publications Acts, pero en línea se había permitido

  • En realidad, el GFW fue construido por Cisco, y Occidente ya tiene toda la tecnología relacionada

    • Con cualquier pretexto, podría desplegarse en cualquier momento
    • China depende de las exportaciones, así que no bloquea absolutamente todo
    • También hay muchos servicios proxy, pero la mayoría tienen vínculos con el gobierno

  • De hecho, casi todas las empresas ya usan internamente parte de estos sistemas (proxy, firewall, filtro de contenido)

    • Es especialmente común en sectores altamente regulados como finanzas y banca
    • Yo mismo tengo corriendo en mi red un proxy que filtra arbitrariamente contenido no deseado, como anuncios

  • Sobre la interpretación de que el Partido Comunista Chino es débil por bloquear la opinión de sus ciudadanos, se explica con una analogía al caso de OpenAI

    • Así como en los modelos de IA importa más la calidad de los datos que la arquitectura, en los humanos también importa más la calidad de la información que se les inyecta
    • El propósito principal del Great Firewall es censurar a la oposición política, pero también hay un componente de evitar que los ciudadanos chinos se hundan en medios de “comida chatarra”
    • Douyin (el TikTok chino) tiene una censura política fuerte, pero la calidad del contenido es más “saludable”
    • Hay una gran diferencia entre los valores algorítmicos de Douyin, orientados a la armonía social, y los de TikTok, orientados a maximizar ingresos publicitarios
    • Las acciones del gobierno chino no se explican del todo solo como “represión de la oposición política”, sino como parte de una misión más amplia de realizar la “armonía social” confuciana
    • Esto explica mejor acciones del gobierno, incluida la sobrerregulación, así como la diferencia entre los algoritmos de Douyin y TikTok. La “represión de la oposición” no es el único criterio

• Toda esta discusión se siente llena de abogados del diablo

  • Expresa que la sociedad está arruinada