Сегодня 02 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → брандмауэр

Китайский файрвол на час обрушил HTTPS — миллионы жителей Китая остались без защищённого соединения

В ходе инцидента, причины которого пока не ясны, «Великий китайский файрвол» (Great Firewall of China, GFW) заблокировал весь трафик через один из ключевых портов для зашифрованного соединения. Сбой в работе системы интернет-цензуры привёл к массовому разрыву HTTPS-соединений с сайтами.

 Источник изображения: Scott Rodgerson/Unsplash

Источник изображения: Scott Rodgerson/Unsplash

20 августа система интернет-цензуры КНР продемонстрировала аномальное поведение. Как сообщает Tom's Hardware со ссылкой на специализированный ресурс мониторинга GFW Report, в течение приблизительно 74 минут система внедряла поддельные TCP RST+ACK пакеты, нарушая все соединения на TCP-порту 443, после чего вернулась к обычному режиму фильтрации

TCP-порт 443 традиционно используется для HTTPS — безопасной версии протокола HTTP, которая шифрует соединение между устройствами. Важно отметить, что, согласно данным GFW Report, блокировки были ограничены портом 443 и не затронули другие распространённые порты, такие как 22 (SSH), 80 (HTTP) или 8443 (альтернативный для HTTPS). Это отличает инцидент от ранее применявшихся методов фильтрации, которые были направлены на блокировку самих протоколов шифрования, таких как TLS 1.3, на всех портах без исключения.

Как отмечает GFW Report, «Великий китайский файрвол» не является единой монолитной системой, а представляет собой комплекс сетевых устройств, выполняющих цензурирование и используя различные методы сбоя трафика. На данный момент неизвестно, было ли событие 20 августа запланированным или же оно стало результатом технического сбоя.

Хакеры нашли и эксплуатировали брешь в «Великом китайском файрволе» — её не удалось залатать с первой попытки

Группа из восьмерых учёных и специалистов в области кибербезопасности обнаружила уязвимость Wallbleed в системе «Золотой щит», также известной как «Великий китайский файрвол». С 2021 года они постоянно эксплуатировали её в стремлении изучить механизмы работы системы, информация о которой практически отсутствует.

 Источник изображения: Ricardo / unsplash.com

Источник изображения: Ricardo / unsplash.com

Своё название Wallbleed уязвимость получила по образцу Heartbleed в OpenSSL, обнаруженной более десяти лет назад. Ошибка связана с утечкой памяти и чтением данных за пределами разрешённого диапазона, но авторам исследования удалось заставить китайское оборудование раскрывать данные порциями всего по 125 байтов. Система «Золотой щит» предназначена для блокирования запрещённой в Китае информации и замедления иностранного трафика. Она начала работу ещё в девяностые годы и с течением лет становилась всё более сложной. Для мониторинга онлайн-активности пользователей и фильтрации информации используются различные методы.

Wallbleed была обнаружена в подсистеме DNS-инъекций, которая отвечает за генерацию поддельных ответов DNS. Когда китайский пользователь пытается зайти на заблокированный сайт, его компьютер запрашивает через DNS IP-адрес, соответствующий домену сайта, чтобы можно было установить с ним соединение. «Золотой щит» обнаруживает и перехватывает этот запрос и отправляет ответ с поддельным IP-адресом, ведущим в никуда. С точки зрения пользователя доступ, таким образом, блокируется.

 Источник изображения: aay / unsplash.com

Источник изображения: aay / unsplash.com

При определённых условиях система возвращала пользователю не только поддельный IP-адрес, но и 125 байтов дополнительных данных. Утечка происходила с любой машины, которая проверяет запрос и в зависимости от его содержания блокирует его. Тщательно подготовив такой запрос, можно было захватить 125 байтов из памяти машины в системе. Для каждого пользователя в системе «Золотой щит» одновременно работают не менее трёх машин с DNS-инъекциями; но существуют и другие подсистемы, которые срабатывают, если пользователь каким-то образом получает правильный IP-адрес.

Wallbleed — не первая уязвимость, обнаруженная в китайской системе блокировки ресурсов. В 2010 году некий аккаунт в Twitter (сейчас X) опубликовал однострочный скрипт, который из-за уязвимости в DNS позволял получать 122 байта дополнительных данных из памяти машин. Открывшие Wallbleed непрерывно эксплуатировали уязвимость с октября 2021 по март 2024 года. До сентября-октября 2023 года это была уязвимость Wallbleed v1, которую китайские эксперты уcтранили, но вскоре была обнаружена Wallbleed v2 — её в марте 2024 года закрыли уже окончательно.

Исследователи эксплуатировали уязвимость, чтобы получить некоторую информацию об оборудовании в системе «Золотой щит», о котором неизвестно практически ничего. В частности, они выяснили, что данные оставались в памяти оборудования от нуля до пяти секунд, а его центральные процессоры имели архитектуру x86_64. Они также установили, что уязвимые промежуточные узлы обрабатывали трафик с сотен миллионов китайских IP-адресов, то есть практически со всей страны.

Новая статья: NGFW по-русски: знакомство с межсетевым экраном UserGate C150

Данные берутся из публикации NGFW по-русски: знакомство с межсетевым экраном UserGate C150

Cloudflare защитит искусственный интеллект при помощи искусственного интеллекта

Cloudflare разрабатывает собственный межсетевой экран для генеративных ИИ-моделей с целью защитить их от потенциальных кибератак или других вредоносных угроз. Кроме поддержки современных стандартов сетевой безопасности, брандмауэр с помощью нейросети будет анализировать запросы, отправленные пользователями генеративного ИИ, чтобы попытаться заранее обнаружить потенциальные эксплойты.

 Источник изображения: blog.cloudflare.com

Источник изображения: blog.cloudflare.com

«Некоторые уязвимости, затрагивающие традиционные веб-приложения и API-приложения, применимы и к миру LLM (больших языковых моделей), включая инъекции или кражу данных, — сообщил менеджер по продукту Cloudflare Group Даниэле Молтени (Daniele Molteni). — Однако существует новый набор угроз, которые теперь актуальны из-за того, как работают программы LLM».

Вводимые пользователем данные на сайтах и в инструментах ИИ сначала подвергнутся фильтрации через Cloudflare и лишь затем достигнут самого генеративного ИИ. Брандмауэр также сможет прерывать генеративные запросы ИИ и сканировать их на наличие потенциальных угроз. Данные, отправленные в общедоступные модели ИИ, такие как ChatGPT или Claude, могут быть доступны практически любому, поэтому брандмауэр Cloudflare будет очищать запросы пользователей от потенциально конфиденциальной информации.

Брандмауэр Cloudflare с ИИ может также подвергать цензуре вводимые пользователем данные другими способами. Брандмауэр разрабатывается для предотвращения «манипулирования» моделями ИИ с помощью входных данных, которые могут привести к галлюцинациям модели и другим ложным или опасным реакциям.

Согласно сообщению Cloudflare, клиенты также смогут «блокировать запросы, которые попадают в неуместные категории», если у них есть опасения, что такие запросы могут привести к тому, что ИИ будет использовать «токсичную, оскорбительную или проблемную лексику». Хотя компания называет такие случаи примерами «атак быстрого внедрения», неясно, в какой степени будут подвергаться цензуре подлинные запросы пользователей.

На этой неделе Cloudflare также представила сервис «Защитный искусственный интеллект» для бизнеса, который использует нейросеть для анализа веб-сайтов на предмет потенциальных угроз, основанных на искусственном интеллекте.


window-new
Soft
Hard
Тренды 🔥
MWS Cloud в 1,5 раза увеличила мощности GPU-облака для искусственного интеллекта 9 ч.
Кодзима приоткроет завесу тайны над будущими играми в честь 10-летия Kojima Productions 11 ч.
Календарь релизов — 1 – 7 сентября: Hollow Knight: Silksong, Cronos: The New Dawn и Metal Eden 13 ч.
Выбор часов и минут в будильнике iPhone оказался не циклом, а длинным списком с неожиданным концом 13 ч.
Чем ближе Silksong, тем выше пиковый онлайн Hollow Knight — метроидвания достигла 71 тысячи одновременных игроков в Steam 14 ч.
Королевская битва Battlefield 6 засветилась в новой геймплейной утечке с закрытого тестирования 15 ч.
Джеймс Бонд выходит из тени: Sony скоро покажет 30 минут геймплея шпионского боевика 007 First Light от создателей Hitman 16 ч.
Windows 11 растеряла популярность в августе, но не уступила лидерство Windows 10 17 ч.
Россиянам больше нельзя искать экстремизм в интернете, рекламировать VPN и размещать рекламу в Instagram 18 ч.
Спустя восемь лет ожиданий Escape from Tarkov наконец взяла курс на Steam 19 ч.