Сегодня 18 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → firewall

Китайский файрвол на час обрушил HTTPS — миллионы жителей Китая остались без защищённого соединения

В ходе инцидента, причины которого пока не ясны, «Великий китайский файрвол» (Great Firewall of China, GFW) заблокировал весь трафик через один из ключевых портов для зашифрованного соединения. Сбой в работе системы интернет-цензуры привёл к массовому разрыву HTTPS-соединений с сайтами.

 Источник изображения: Scott Rodgerson/Unsplash

Источник изображения: Scott Rodgerson/Unsplash

20 августа система интернет-цензуры КНР продемонстрировала аномальное поведение. Как сообщает Tom's Hardware со ссылкой на специализированный ресурс мониторинга GFW Report, в течение приблизительно 74 минут система внедряла поддельные TCP RST+ACK пакеты, нарушая все соединения на TCP-порту 443, после чего вернулась к обычному режиму фильтрации

TCP-порт 443 традиционно используется для HTTPS — безопасной версии протокола HTTP, которая шифрует соединение между устройствами. Важно отметить, что, согласно данным GFW Report, блокировки были ограничены портом 443 и не затронули другие распространённые порты, такие как 22 (SSH), 80 (HTTP) или 8443 (альтернативный для HTTPS). Это отличает инцидент от ранее применявшихся методов фильтрации, которые были направлены на блокировку самих протоколов шифрования, таких как TLS 1.3, на всех портах без исключения.

Как отмечает GFW Report, «Великий китайский файрвол» не является единой монолитной системой, а представляет собой комплекс сетевых устройств, выполняющих цензурирование и используя различные методы сбоя трафика. На данный момент неизвестно, было ли событие 20 августа запланированным или же оно стало результатом технического сбоя.

Хакеры нашли и эксплуатировали брешь в «Великом китайском файрволе» — её не удалось залатать с первой попытки

Группа из восьмерых учёных и специалистов в области кибербезопасности обнаружила уязвимость Wallbleed в системе «Золотой щит», также известной как «Великий китайский файрвол». С 2021 года они постоянно эксплуатировали её в стремлении изучить механизмы работы системы, информация о которой практически отсутствует.

 Источник изображения: Ricardo / unsplash.com

Источник изображения: Ricardo / unsplash.com

Своё название Wallbleed уязвимость получила по образцу Heartbleed в OpenSSL, обнаруженной более десяти лет назад. Ошибка связана с утечкой памяти и чтением данных за пределами разрешённого диапазона, но авторам исследования удалось заставить китайское оборудование раскрывать данные порциями всего по 125 байтов. Система «Золотой щит» предназначена для блокирования запрещённой в Китае информации и замедления иностранного трафика. Она начала работу ещё в девяностые годы и с течением лет становилась всё более сложной. Для мониторинга онлайн-активности пользователей и фильтрации информации используются различные методы.

Wallbleed была обнаружена в подсистеме DNS-инъекций, которая отвечает за генерацию поддельных ответов DNS. Когда китайский пользователь пытается зайти на заблокированный сайт, его компьютер запрашивает через DNS IP-адрес, соответствующий домену сайта, чтобы можно было установить с ним соединение. «Золотой щит» обнаруживает и перехватывает этот запрос и отправляет ответ с поддельным IP-адресом, ведущим в никуда. С точки зрения пользователя доступ, таким образом, блокируется.

 Источник изображения: aay / unsplash.com

Источник изображения: aay / unsplash.com

При определённых условиях система возвращала пользователю не только поддельный IP-адрес, но и 125 байтов дополнительных данных. Утечка происходила с любой машины, которая проверяет запрос и в зависимости от его содержания блокирует его. Тщательно подготовив такой запрос, можно было захватить 125 байтов из памяти машины в системе. Для каждого пользователя в системе «Золотой щит» одновременно работают не менее трёх машин с DNS-инъекциями; но существуют и другие подсистемы, которые срабатывают, если пользователь каким-то образом получает правильный IP-адрес.

Wallbleed — не первая уязвимость, обнаруженная в китайской системе блокировки ресурсов. В 2010 году некий аккаунт в Twitter (сейчас X) опубликовал однострочный скрипт, который из-за уязвимости в DNS позволял получать 122 байта дополнительных данных из памяти машин. Открывшие Wallbleed непрерывно эксплуатировали уязвимость с октября 2021 по март 2024 года. До сентября-октября 2023 года это была уязвимость Wallbleed v1, которую китайские эксперты уcтранили, но вскоре была обнаружена Wallbleed v2 — её в марте 2024 года закрыли уже окончательно.

Исследователи эксплуатировали уязвимость, чтобы получить некоторую информацию об оборудовании в системе «Золотой щит», о котором неизвестно практически ничего. В частности, они выяснили, что данные оставались в памяти оборудования от нуля до пяти секунд, а его центральные процессоры имели архитектуру x86_64. Они также установили, что уязвимые промежуточные узлы обрабатывали трафик с сотен миллионов китайских IP-адресов, то есть практически со всей страны.


window-new
Soft
Hard
Тренды 🔥
Слухи: авиасимулятор Microsoft Flight Simulator 2024 взял курс на PS5 53 мин.
В «Рувики» ИИ займётся обновлением статей и борьбой с вандалами 2 ч.
Полноэкранный интерфейс Xbox оказался доступен для всех — Asus ROG Xbox Ally теряет эксклюзивность 2 ч.
AMD выпустила драйвер с поддержкой Radeon RX 7700 и Dying Light: The Beast 2 ч.
Разработчики Hollow Knight: Silksong объяснили, почему сделали игру такой сложной 3 ч.
OpenAI остаётся только завидовать — обучение китайской модели ИИ DeepSeek R1 обошлось всего в $294 тыс. 3 ч.
С каждым годом переносить эксклюзивы PlayStation на ПК для Sony становится всё выгоднее 4 ч.
Градостроительная стратегия Frostpunk 2 вышла на консолях, а версия для ПК получила полную поддержку геймпадов 4 ч.
Split Fiction стала первой в истории игрой, удостоившейся престижной премии «Выдающийся шведский дизайн» — награду вручил принц Швеции 4 ч.
Китай прекратил антимонопольное расследование по Google, чтобы бросить все силы против Nvidia 7 ч.
Northrop Grumman справилась с отказавшими двигателями — космогрузовик Cygnus XL долетел до МКС 25 мин.
Huawei пообещала создать «самый мощный в мире» ИИ-кластер, который в разы превзойдёт решения Nvidia 37 мин.
Учёные создали наношестерёнки размером с человеческую клетку, которые вращаются от лазера 2 ч.
AMD тайком выпустила Radeon RX 7700 с 16 Гбайт видеопамяти на 256-битной шине 3 ч.
TWS-наушники Nothing Ear (3) получили обновлённый дизайн и футляр с системой микрофонов Super Mic 3 ч.
Corsair представила ультралёгкую игровую мышь весом 36 граммов с автономностью до 70 часов 3 ч.
Акции Intel взлетели на новости об инвестициях Nvidia 3 ч.
Intel и Nvidia объявили о подготовке нескольких поколений x86-процессоров с графикой Nvidia для ПК и ЦОД 3 ч.
Oracle добавит ИИ-сервисы в облако UK Sovereign Cloud в рамках инвестиционного плана на $5 млрд 3 ч.
Стартап Carbon3.ai намерен развернуть в Великобритании экологичную суверенную ИИ-инфраструктуру 4 ч.