Сегодня 13 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → брандмауэр

Китайский файрвол на час обрушил HTTPS — миллионы жителей Китая остались без защищённого соединения

В ходе инцидента, причины которого пока не ясны, «Великий китайский файрвол» (Great Firewall of China, GFW) заблокировал весь трафик через один из ключевых портов для зашифрованного соединения. Сбой в работе системы интернет-цензуры привёл к массовому разрыву HTTPS-соединений с сайтами.

 Источник изображения: Scott Rodgerson/Unsplash

Источник изображения: Scott Rodgerson/Unsplash

20 августа система интернет-цензуры КНР продемонстрировала аномальное поведение. Как сообщает Tom's Hardware со ссылкой на специализированный ресурс мониторинга GFW Report, в течение приблизительно 74 минут система внедряла поддельные TCP RST+ACK пакеты, нарушая все соединения на TCP-порту 443, после чего вернулась к обычному режиму фильтрации

TCP-порт 443 традиционно используется для HTTPS — безопасной версии протокола HTTP, которая шифрует соединение между устройствами. Важно отметить, что, согласно данным GFW Report, блокировки были ограничены портом 443 и не затронули другие распространённые порты, такие как 22 (SSH), 80 (HTTP) или 8443 (альтернативный для HTTPS). Это отличает инцидент от ранее применявшихся методов фильтрации, которые были направлены на блокировку самих протоколов шифрования, таких как TLS 1.3, на всех портах без исключения.

Как отмечает GFW Report, «Великий китайский файрвол» не является единой монолитной системой, а представляет собой комплекс сетевых устройств, выполняющих цензурирование и используя различные методы сбоя трафика. На данный момент неизвестно, было ли событие 20 августа запланированным или же оно стало результатом технического сбоя.

Хакеры нашли и эксплуатировали брешь в «Великом китайском файрволе» — её не удалось залатать с первой попытки

Группа из восьмерых учёных и специалистов в области кибербезопасности обнаружила уязвимость Wallbleed в системе «Золотой щит», также известной как «Великий китайский файрвол». С 2021 года они постоянно эксплуатировали её в стремлении изучить механизмы работы системы, информация о которой практически отсутствует.

 Источник изображения: Ricardo / unsplash.com

Источник изображения: Ricardo / unsplash.com

Своё название Wallbleed уязвимость получила по образцу Heartbleed в OpenSSL, обнаруженной более десяти лет назад. Ошибка связана с утечкой памяти и чтением данных за пределами разрешённого диапазона, но авторам исследования удалось заставить китайское оборудование раскрывать данные порциями всего по 125 байтов. Система «Золотой щит» предназначена для блокирования запрещённой в Китае информации и замедления иностранного трафика. Она начала работу ещё в девяностые годы и с течением лет становилась всё более сложной. Для мониторинга онлайн-активности пользователей и фильтрации информации используются различные методы.

Wallbleed была обнаружена в подсистеме DNS-инъекций, которая отвечает за генерацию поддельных ответов DNS. Когда китайский пользователь пытается зайти на заблокированный сайт, его компьютер запрашивает через DNS IP-адрес, соответствующий домену сайта, чтобы можно было установить с ним соединение. «Золотой щит» обнаруживает и перехватывает этот запрос и отправляет ответ с поддельным IP-адресом, ведущим в никуда. С точки зрения пользователя доступ, таким образом, блокируется.

 Источник изображения: aay / unsplash.com

Источник изображения: aay / unsplash.com

При определённых условиях система возвращала пользователю не только поддельный IP-адрес, но и 125 байтов дополнительных данных. Утечка происходила с любой машины, которая проверяет запрос и в зависимости от его содержания блокирует его. Тщательно подготовив такой запрос, можно было захватить 125 байтов из памяти машины в системе. Для каждого пользователя в системе «Золотой щит» одновременно работают не менее трёх машин с DNS-инъекциями; но существуют и другие подсистемы, которые срабатывают, если пользователь каким-то образом получает правильный IP-адрес.

Wallbleed — не первая уязвимость, обнаруженная в китайской системе блокировки ресурсов. В 2010 году некий аккаунт в Twitter (сейчас X) опубликовал однострочный скрипт, который из-за уязвимости в DNS позволял получать 122 байта дополнительных данных из памяти машин. Открывшие Wallbleed непрерывно эксплуатировали уязвимость с октября 2021 по март 2024 года. До сентября-октября 2023 года это была уязвимость Wallbleed v1, которую китайские эксперты уcтранили, но вскоре была обнаружена Wallbleed v2 — её в марте 2024 года закрыли уже окончательно.

Исследователи эксплуатировали уязвимость, чтобы получить некоторую информацию об оборудовании в системе «Золотой щит», о котором неизвестно практически ничего. В частности, они выяснили, что данные оставались в памяти оборудования от нуля до пяти секунд, а его центральные процессоры имели архитектуру x86_64. Они также установили, что уязвимые промежуточные узлы обрабатывали трафик с сотен миллионов китайских IP-адресов, то есть практически со всей страны.

Новая статья: NGFW по-русски: знакомство с межсетевым экраном UserGate C150

Данные берутся из публикации NGFW по-русски: знакомство с межсетевым экраном UserGate C150

Cloudflare защитит искусственный интеллект при помощи искусственного интеллекта

Cloudflare разрабатывает собственный межсетевой экран для генеративных ИИ-моделей с целью защитить их от потенциальных кибератак или других вредоносных угроз. Кроме поддержки современных стандартов сетевой безопасности, брандмауэр с помощью нейросети будет анализировать запросы, отправленные пользователями генеративного ИИ, чтобы попытаться заранее обнаружить потенциальные эксплойты.

 Источник изображения: blog.cloudflare.com

Источник изображения: blog.cloudflare.com

«Некоторые уязвимости, затрагивающие традиционные веб-приложения и API-приложения, применимы и к миру LLM (больших языковых моделей), включая инъекции или кражу данных, — сообщил менеджер по продукту Cloudflare Group Даниэле Молтени (Daniele Molteni). — Однако существует новый набор угроз, которые теперь актуальны из-за того, как работают программы LLM».

Вводимые пользователем данные на сайтах и в инструментах ИИ сначала подвергнутся фильтрации через Cloudflare и лишь затем достигнут самого генеративного ИИ. Брандмауэр также сможет прерывать генеративные запросы ИИ и сканировать их на наличие потенциальных угроз. Данные, отправленные в общедоступные модели ИИ, такие как ChatGPT или Claude, могут быть доступны практически любому, поэтому брандмауэр Cloudflare будет очищать запросы пользователей от потенциально конфиденциальной информации.

Брандмауэр Cloudflare с ИИ может также подвергать цензуре вводимые пользователем данные другими способами. Брандмауэр разрабатывается для предотвращения «манипулирования» моделями ИИ с помощью входных данных, которые могут привести к галлюцинациям модели и другим ложным или опасным реакциям.

Согласно сообщению Cloudflare, клиенты также смогут «блокировать запросы, которые попадают в неуместные категории», если у них есть опасения, что такие запросы могут привести к тому, что ИИ будет использовать «токсичную, оскорбительную или проблемную лексику». Хотя компания называет такие случаи примерами «атак быстрого внедрения», неясно, в какой степени будут подвергаться цензуре подлинные запросы пользователей.

На этой неделе Cloudflare также представила сервис «Защитный искусственный интеллект» для бизнеса, который использует нейросеть для анализа веб-сайтов на предмет потенциальных угроз, основанных на искусственном интеллекте.


window-new
Soft
Hard
Тренды 🔥
Пользователи ChatGPT снова могут удалять свои чаты безвозвратно 19 ч.
Арт-директор Halo покинул студию после 17 лет работы и намекнул на проблемы в команде разработчиков 21 ч.
Один из основателей ИИ-стартапа Thinking Machines переметнулся к Марку Цукербергу 23 ч.
Apple завершила поддержку своего бесплатного видеоредактора Clips 12-10 06:28
Новая статья: CloverPit — добро пожаловать в яму. Рецензия 12-10 00:07
Chrome сам будет блокировать уведомления с сайтов, которые пользователь игнорирует 11-10 14:40
ChatGPT прошёл стресс-тест на политическую предвзятость, но не безупречно 11-10 14:24
Telegram получил большое обновление: переписки в групповых звонках, комментарии к профилям и другие нововведения 11-10 11:57
Apple купит технологии компьютерного зрения и специалистов стартапа Prompt AI за «некоторую сумму» 11-10 11:01
На Apple подали в суд за обучение ИИ на пиратских копиях книг 11-10 08:06
Тайвань заявил, что не зависит от китайских редкоземельных металлов 3 ч.
Новая статья: Обзор материнской платы MSI MPG B850I Edge Ti WiFi: не называй меня малышкой 7 ч.
ИИ спас США от рецессии, став единственным драйвером роста в 2025 году 16 ч.
Graphcore, спасённая SoftBank, воспрянула духом — штат в Великобритании удвоится, а в разработку в Индии инвестируют $1 млрд 16 ч.
В наши дни все высокопроизводительные вычисления связаны с ИИ, как считает глава AMD Лиза Су 23 ч.
Производство чипов в наши дни требует атомарной точности, как утверждает Applied Materials 24 ч.
Обострение между США и Китаем грозит серьёзным ударом по мировой индустрии чипов 12-10 06:11
Кембриджский университет запустил проект по спасению данных со старых дискет 12-10 00:31
Китай грозит отправить США в рецессию — новые санкции на редкоземельные металлы ударят по ИИ 11-10 23:34
Акции китайских чипмейкеров взлетели, но инвесторы опасаются перегрева рынка 11-10 23:20