Größtes Leak interner Dokumente in der Geschichte der chinesischen Great Firewall (GFW): Analyse zu Geedge und MESA

 (gfw.report)
24 Punkte von GN⁺ 2025-09-15 | 8 Kommentare | Auf WhatsApp teilen
  • Bei der chinesischen Great Firewall (GFW) sind mehr als 500 GB interne Dokumente, Quellcode und Arbeitsprotokolle geleakt worden
  • Das geleakte Material stammt von Geedge Networks und MESA Lab und umfasst Zensur- und Überwachungstechnologien für China und mehrere andere Staaten
  • Es wurden verschiedene Dateien mit einem Umfang von über 600 GB veröffentlicht; beim Zugriff und bei der Analyse ist Vorsicht in Bezug auf die Sicherheit geboten
  • Geedge und MESA Lab sind zentrale Organisationen für Forschung und Entwicklung der GFW und zudem für den Technologieexport an chinesische Stellen sowie Länder der Belt-and-Road-Initiative zuständig
  • Eine detaillierte Analyse des Quellcodes liegt bislang noch nicht vor; weitere Auswertungen sollen fortlaufend unter anderem im GFW Report veröffentlicht werden

1. Einführung

  • Am 11. September 2025 kam es zum bislang größten Leak interner Dokumente in der Geschichte der chinesischen Great Firewall (GFW)
  • Das Leak umfasst umfangreiche Daten, darunter mehr als 500 GB Quellcode, Arbeitsprotokolle und interne Kommunikationsaufzeichnungen
  • Die Quelle des Materials sind Geedge Networks (mit dem führenden Wissenschaftler Fang Binxing) und MESA Lab (Institut für Informationstechnik der Chinesischen Akademie der Wissenschaften), zentrale technische Gruppen der GFW
  • Den Dokumenten zufolge exportieren diese Organisationen nicht nur in chinesische Regionen wie Xinjiang, Jiangsu und Fujian, sondern im Rahmen der Belt-and-Road-Initiative auch nach Myanmar, Pakistan, Äthiopien, Kasachstan und in weitere Länder Zensur- und Überwachungstechnologien
  • Aufgrund des enormen Umfangs und der Tragweite werden Analysen und Updates fortlaufend unter anderem im GFW Report und bei Net4People veröffentlicht

2. Download-Link

  • Über die Website Enlace Hacktivista ist Zugriff auf rund 600 GB geleakter Dateien möglich (per Torrent und direktem HTTPS-Download)
    • Allein die Archivdatei mirror/repo.tar belegt 500 GB; außerdem werden eine vollständige Dateiliste und Größeninformationen bereitgestellt
  • Detaillierte Hinweise zur Nutzung der Dateien erläutert David Fifield bei Net4People (GitHub)

3. Sicherheitshinweise

  • Es wird betont, dass das geleakte Material hoch sensibel ist und für Download und Analyse eine sichere operative Umgebung erforderlich ist
  • Da die Dateien potenzielle Risiken (Überwachung oder Malware) enthalten könnten, wird eine Analyse in einer isolierten Umgebung wie einer virtuellen Maschine ohne Internetverbindung empfohlen

4. Hintergrund

  • Die Great Firewall (GFW) ist die Sammelbezeichnung für das Internetzensursystem; Behörden und Unternehmen teilen sich je nach Vertrag Aufgaben und arbeiten dabei zusammen
  • Ursprung dieses Leaks sind Geedge Networks und MESA Lab, die zentralen Forschungs- und Entwicklungsorganisationen (R&D) der GFW
  • MESA Lab gehört zum Institut für Informationstechnik der Chinesischen Akademie der Wissenschaften und entwickelte sich aus NELIST (ab 2008), das von Fang Binxing geleitet wurde
  • Laut der Chronik von MESA Lab zählen dazu die offizielle Benennung des Teams als MESA im Jahr 2012, die Durchführung wichtiger Cybersicherheitsprojekte, Auszeichnungen in Talentprogrammen, groß angelegte Engineering-Rollouts und die Rekrutierung von Forschenden sowie diverse nationale Wissenschafts- und Technologiepreise
  • 2018 wurde Geedge Networks gegründet; Talente aus der Chinesischen Akademie der Wissenschaften und führenden Universitäten stießen als Kernmitglieder hinzu

5. Analyse der Dateien außer dem Quellcode

  • Dokumente außerhalb des Quellcodes unter den geleakten Dateien wurden von mehreren Fachteams bereits detailliert analysiert
  • David Fifield fasst dazu Berichte und technische Analysen zusammen
  • Die Analyse der Quellcodedateien ist jedoch noch nicht abgeschlossen

6. Analyse der Quellcodedateien

  • Der Quellcode-Teil wurde bislang noch nicht systematisch analysiert
  • Da dieses Leak wichtig und folgenschwer ist, sollen die Analyseergebnisse fortlaufend auf der aktuellen Seite sowie bei Net4People und an anderen Stellen aktualisiert werden
  • Analysen, Anfragen, Meinungen und zusätzliches Material werden öffentlich oder nicht öffentlich über den GFW Report entgegengenommen und koordiniert

Referenz

  • Dieser Bericht wurde zuerst im GFW Report veröffentlicht; Analysefortschritte und Materialien werden fortlaufend unter anderem bei Net4People geteilt

Verwandte Beiträge

8 Kommentare

 
ndrgrd 2025-09-15

Gigantische Diktaturapparate kollaborieren, um Hunderte Millionen Menschen zu überwachen … Es klingt wie aus einem düsteren SF-Roman, doch erschreckenderweise geschieht es in der realen Welt.
 
egirlasm 2025-09-16

Der Edward-Snowden-Fall ist noch immer sehr präsent, und dann auch noch dieses Gerede über Diktatoren — muss ich hier wirklich auch noch solche Kommentare lesen? Etwa wieder ein 2jjik? Bitte hockt nicht nur in eurem Zimmer und programmiert, sondern schaut euch die Welt da draußen mal an ~
 
regentag 2025-09-17

Unabhängig von der politischen Debatte: Was genau wollen Sie eigentlich sagen?
Ich kann den Gedankengang und den Kontext des Satzes überhaupt nicht nachvollziehen.
 
crawler 2025-09-16

Ich sehe hier nirgends etwas über Korea, daher weiß ich nicht, warum plötzlich über koreanische Politik gesprochen wird.

Bitte verlassen Sie diese Website.
Leute mit einem politisch vergifteten Gehirn wie Sie braucht diese Community nicht.
 
ndrgrd 2025-09-16

Nach allem, was Sie sagen, wirken Sie wie jemand, der schon sehr lange in der Welt des Internets lebt und in der realen Welt keine vernünftige Kommunikation zustande bringt.
Schreiben Sie nicht nur solche Kommentare aus Ihrem Zimmer heraus, sondern gehen Sie auch mal an verschiedene Orte in der Welt und leben Sie im Austausch mit „echten Menschen“.
 
ndrgrd 2025-09-16
  1. Ich unterstütze die betreffende Partei nicht.
  2. Ich weiß nicht, wo Sie sich diese Haltung des ständigen „2-jjik“-Rufens angeeignet haben, aber sie wirkt unhöflich und unerzogen.
  3. Über das Leben anderer zu urteilen, obwohl man nichts über sie weiß, macht einen lächerlich. Was macht Sie so viel besser als mich?
  4. Nur weil dieser Vorfall geschehen ist, heißt das nicht, dass es normal oder nicht überraschend wäre, wenn heutige Diktatoren so etwas tun.
 
cnaa97 2025-09-15

Big-Brother-Quellcode geleakt!
 
GN⁺ 2025-09-15
Hacker-News-Kommentare

  • Hier gibt es eine interessante Analyse und Diskussion

    • Zu den ersten Kunden von Geedge seit der Gründung 2018 gehörte die kasachische Regierung; verkauft wurde das Hauptprodukt des Unternehmens, das Tiangou Secure Gateway (TSG)

    • Diese Lösung überwacht und filtert den gesamten Web-Traffic ähnlich wie die Great Firewall Chinas und kontrolliert sogar Umgehungsversuche

    • Dasselbe Werkzeug wurde auch in Äthiopien und Myanmar eingeführt und genutzt, um VPN-Verbote wirksam durchzusetzen. Geedge arbeitete mit lokalen Telekommunikationsanbietern (Safaricom, Frontiir, Ooredoo usw.) zusammen, um nationale Zensursysteme aufzubauen

    • Durch das Leak interner Materialien wurde sichtbar, wie Geedge-Mitarbeiter wichtige VPN-Tools rückentwickelten, um Wege zu ihrer Blockierung zu finden. Konkret sollen 9 kommerzielle VPNs „gelöst“ worden sein; dabei kamen verschiedene Techniken zur Erkennung und Blockierung ihres Traffics zum Einsatz

    • Innerhalb Chinas sind die meisten kommerziellen VPNs nicht erreichbar, und auch wichtige Anti-Zensur-Tools sind nur sehr schwer zugänglich

    • Die geleakten Dokumente enthalten sogar abgefangene Informationen aus unverschlüsselten E-Mails

    • Es wird vermutet, dass auch Russlands jüngste Entwicklung bei VPN-Blockaden solche Technologien nutzt

      • Wenn man sieht, dass die russische Firewall selbst an verdächtige WebSocket-Endpunkte „anklopft“ oder SSH-Verbindungen mit hohem Traffic kappt, liegt die Vermutung nahe, dass die russische Regierung den kompletten Stack aus China eingekauft hat

    • Beim Hinweis auf das Abfangen unverschlüsselter E-Mails kommt der Gedanke auf, dass westliche Staaten kaum anders handeln dürften

      • Man müsse anerkennen, dass diese Lage alltägliche Realität ist, und entsprechend handeln

  • Es wird betont, dass Regierungen die Fähigkeit ihrer Bürger, den Staat in Schach zu halten, verlieren lassen, wenn sie technische Kontrollmechanismen gegen sie einführen

    • Massenhafte Zensur, Überwachung und Eingriffe in die Privatsphäre sind mit menschlicher Würde unvereinbar

    • Die utilitaristische Logik der Online-Zensur im Namen des „Gemeinwohls“ wie Terrorabwehr oder Kinderschutz betrachtet nur den unmittelbaren Effekt und ignoriert die Folgen darüber hinaus

    • Hat eine Regierung einmal die Süße der Zensur gekostet, verschließt sie die Flasche nie wieder

    • Am Ende bleibt es nicht beim Blockieren gefährlicher oder anstößiger Inhalte; die Zensur wird willkürlich ausgeweitet, um den Interessen derjenigen zu dienen, die ihre Macht sichern wollen

    • Es bleibt zu hoffen, dass dieses Leak zur Great Firewall Forschern und Aktivisten hilft, neue Wege des Widerstands gegen Zensur zu finden

    • Es gibt den kurzen Einwand, dass du das Schlachtfeld grundsätzlich missverstehst

    • Als Beispiel wird angeführt, dass junge Menschen in Nepal Anfang dieses Monats auf die massenhafte Sperrung sozialer Medien durch die Regierung reagierten, indem sie Gebäude in Brand setzten und Abgeordnete vertrieben; also sei diese „Flasche“ durchaus schon wieder verschlossen worden

    • Unter Verweis auf den deutschen Fall wird vor Optimismus gewarnt, das GFW-Leak werde hilfreich sein

  • Man fragt sich, was für ein gescheiterter Mensch jemand sein muss, der beschließt, sein Talent für den Bau solcher Werkzeuge einzusetzen

    • Wenn sich damit Geld verdienen lässt, wird es immer jemand tun. Oder man kann Menschen dazu zwingen
      • Bedauerlicherweise müsse man in den meisten Fragen stets von genau dieser Annahme ausgehen

  • Jemand teilt frühere Erfahrungen aus einem Land, das GFW nutzte

    • Vor dem Auftauchen von v2ray war es oft erfolgreich, ein beliebiges Protokoll zu verwenden, um die Sperren zu umgehen

    • Wenn man eine SSH-Verbindung als socks5 aufsetzte und mit ROT13 oder einer beliebigen ROTn-Verschleierung verpackte, konnte man das Verhalten vermeiden, bei dem die Firewall nach einigen KB die Geschwindigkeit schrittweise drosselte

    • OpenSSH verriet bei der Verbindung seinen Namen und seine Version im Klartext, was es leicht vorhersagbar machte

    • Mit der Zeit wurde die Firewall aktiver und begann, die Geschwindigkeit unbekannter Protokolle sofort zu drosseln

    • Wenn man legitimen HTTP-Traffic imitierte, etwa so tat, als würde man eine favicon.ico herunterladen, konnte man den eigentlichen Nutzdatenverkehr relativ sicher austauschen

    • Das Iodine-Projekt versuchte Ähnliches mit Ping-Paketen, war aber langsamer

    • Heute empfiehlt v2ray sogar, den Traffic so echt wie möglich aussehen zu lassen, inklusive glaubwürdiger Webseiten und Zertifikate

    • Als man später Geld zu verdienen begann, kam die Idee auf, den Traffic per Round-Robin über viele IPs zu schicken, weil eine konstante IP eine Fingerprint-Grundlage liefert

    • Da man inzwischen nicht mehr in diesem Land lebt, wurde diese Hypothese nicht getestet, aber nach dem Leak des Quellmaterials klingt es nach einem interessanten Wochenendprojekt

    • Während Traffic-Decoder für TCP, HTTP, QUIC usw. ausdrücklich genannt wurden, gab es keinen für UDP; das schien die Umgehung jedoch nicht zu beeinflussen. Vermutlich griff dieselbe IP-basierte Ratenbegrenzung auf niedrigerer Ebene auch für UDP

    • Ergänzend aus eigener Erfahrung: Auf derselben IP wurde drei Jahre lang ein Outline-Server betrieben, und die GFW blockierte diese IP stets nach etwa drei Tagen

      • Outline verschleiert Traffic mit shadowsocks, wird aber offenbar nach drei Tagen Beobachtung blockiert
      • Beim nächsten Besuch wolle man versuchen, das weiter mit mehreren Servern zu testen
      • Auch ein Backup-VPN mit openvpn/wireguard wurde auf ähnliche Weise nach rund drei Tagen blockiert
      • Interessanterweise kam es zuletzt nicht zu einer Sperre, als eine Woche lang nur zwei Server abwechselnd genutzt wurden
      • Daraus wird geschlossen, dass Traffic-Muster wichtiger für die Blockierung sein könnten als das Protokoll selbst

    • Es wird um mehr Erklärung zu der Idee gebeten, SSH-Verbindungen mit ROT13 oder ROTn zu verschleiern, um Firewall-Blockaden zu vermeiden

      • Man würde das gern selbst implementieren und möchte ein Skript oder Tool sehen, falls so etwas noch existiert
      • In den letzten Jahren habe man fortlaufend einen Soft-Router-Prototyp namens warps mit Exfil-Techniken entwickelt und interessiere sich dafür, ähnliche Methoden jenseits von DNS/HTTP-Smuggling auch auf andere Netzwerkprotokolle anzuwenden
      • Referenz zum eigenen Projekt: https://github.com/tholian-network/warps

  • Man fragt sich, wer hinter diesem Leak steckt, der „chinesische Snowden“

    • Hoffentlich wird diese Person niemals gefunden

  • Es stellt sich die Frage, wie die GFW mit QUIC-Traffic umgeht, da man annimmt, dass dieser sich nicht per MITM angreifen lässt. Wird er komplett blockiert oder nur gefiltert?

    • Nicht nur QUIC, sondern auch TLS und andere verschlüsselte Kanäle können auf ähnliche Weise geschützt werden

      • Diese Kanäle zu identifizieren und zu blockieren, ist nicht schwierig
      • Das Zugriffsmuster auf normale Websites unterscheidet sich stark davon, wenn ein Nutzer seinen gesamten Traffic über eine einzige Verbindung sendet
      • Große Videoseiten wie YouTube sind in China ohnehin blockiert, daher wird VPN-Traffic besonders leicht zum Ziel
      • Für wichtige Protokolle wie QUIC gibt es jeweils maßgeschneiderte Gegenmaßnahmen
      • Das Protokoll allein ist nicht die Lösung; wer praktisch gegen die GFW kämpfen will, braucht speziell entwickelte Anti-Zensur-Protokolle
      • Mit universellen und weit verbreiteten Protokollen lässt sich die Musteranalyse der Firewall nicht vermeiden

    • Laut dem Bericht https://gfw.report/publications/usenixsecurity25/en/#3 schnüffelt die chinesische Firewall bei QUIC wie bei TLS die SNI-Informationen im Handshake mit und blockiert daraufhin

    • Es wird bezweifelt, warum QUIC sich aus MITM-Sicht von HTTP/1.1 oder 2 unterscheiden sollte

      • Gegen MITM schützt letztlich das Zertifikat
      • Wenn Behörden die zwangsweise Vertrauensstellung für ein Root-Zertifikat durchsetzen, macht QUIC kaum einen Unterschied

    • Dass QUIC-verschlüsselter Traffic MITM verhindert, stimmt nicht

    • Üblicherweise verlässt man sich auf Metadaten wie die Ziel-IP oder auf Downgrade-Angriffe

      • Solange nicht alle Server QUIC unterstützen, kann die Firewall so tun, als unterstütze ein Server QUIC nicht
      • Man könnte meinen, eine Umgehung über Cloudflare sei sicher, aber tatsächlich hat Spanien während Fußballspielen zeitweise ganz Cloudflare blockiert, also ist Vorsicht angebracht

  • Dass solche Zensursysteme überall installiert werden, wird als Ergebnis koordinierter Anstrengungen gesehen

    • Es wirkt, als würden plötzlich alle Anführer in Richtung Autoritarismus driften
      • Selbst Politiker westlicher Demokratien täten nur so, als sei ihnen Demokratie wichtig; im Kern seien sie nicht anders

  • Es brauche nur eine einfache Firewall, die Werbung blockiert

  • Anfangs bestand die Sorge, westliche Staaten wie Großbritannien könnten solche Systeme nachahmen

    • Man glaubt nicht, dass derzeit alle aktiv genau dieses Ziel verfolgen, aber völlig unbegründet ist die Sorge nicht

    • Tatsächlich bewegen wir uns solchen Systemen näher

    • Dass die Kommunistische Partei Chinas ein derart riesiges System einsetzen muss, um den Informationszugang ihrer Bürger und die Äußerung abweichender Meinungen zu unterbinden, zeigt, wie grundlegend fehlerhaft das System ist

    • Wir können froh sein, in vergleichsweise freien Gesellschaften zu leben

    • Das Internet gerät zunehmend unter staatlichen Eingriff und Zensur; das wirkt nicht wünschenswert

    • Der Zweck solcher Systeme besteht nicht darin, jeden Ungehorsam oder jedes Bewusstsein im Keim zu ersticken, sondern die Geschwindigkeit zu verlangsamen, mit der Gerüchte oder agitierende Informationen viral gehen

      • So gewinnt die Regierung Zeit, die nötigen Reaktionen vorzubereiten
      • Unbegrenzte Informationsverbreitung kann in gesellschaftlich unvorbereiteten Regionen Nebenwirkungen haben, wie etwa die WhatsApp-Lynchmorde in Indien
      • Da die USA das weltweite Internet faktisch dominieren, sind Staaten ohne Kontrollmechanismen anfällig für Einflussoperationen und Farbrevolutionen. (China ist eine Ausnahme)
      • Letztlich werde jedes Land seine eigene Version der GFW bauen; zur Sicherung der Internet-Souveränität gebe es keine Alternative
      • Die USA würden sie nur als Letzte einführen, weil sie bereits über starke Einflussmittel und rechtliche Hebel gegenüber ihren heimischen Internetunternehmen verfügen

    • Es wird auf den britischen Politik-Podcast Not Another One verwiesen, in dem erwähnt wurde, dass die britische Pornoblockade wegen ihrer weitreichenden Zugriffskontrolle auch von ausländischen Politikern beachtet werde

      • Noch vor 20 Jahren wäre es kaum vorstellbar gewesen, dass Kinder Zugang zu solch extremen Inhalten haben
      • In Großbritannien wird die Veröffentlichung anzüglicher Bücher durch die Obscene Publications Acts reguliert, online war sie jedoch bislang erlaubt

    • Tatsächlich wurde die GFW ursprünglich von Cisco gebaut, und der Westen verfügt bereits über die nötige Technik

      • Mit dem passenden Vorwand könnte sie jederzeit ausgerollt werden
      • China kann nicht alles blockieren, weil es vom Export abhängt
      • Auch viele Proxy-Dienste existieren, doch die meisten haben Verbindungen zur Regierung

    • Tatsächlich nutzen fast alle Unternehmen intern Teile solcher Systeme bereits selbst, also Proxys, Firewalls und Content-Filter

      • Besonders häufig ist das in stark regulierten Branchen wie Finanzen und Banken
      • Auch ich betreibe in meinem Netzwerk einen Proxy, der unerwünschte Inhalte wie Werbung nach Belieben herausfiltert

    • Als Antwort auf die Interpretation, die Kommunistische Partei Chinas sei so schwach, dass sie Bürgermeinungen unterdrücken müsse, wird ein Vergleich mit OpenAI gezogen

      • Wie bei KI-Modellen die Datenqualität wichtiger sei als die Architektur, sei auch beim Menschen die Qualität der eingespeisten Informationen entscheidend
      • Das Hauptziel der Great Firewall sei zwar die Zensur politischer Opposition, zugleich spiele aber auch der Versuch eine Rolle, chinesische Bürger von „Junkfood“-Medien fernzuhalten
      • Douyin (das chinesische TikTok) unterliegt starker politischer Zensur, die Qualität der Videos sei aber „gesünder“
      • Zwischen Douyin und TikTok bestehe ein großer Unterschied in den algorithmischen Wertvorstellungen: soziale Harmonie versus Maximierung von Werbeeinnahmen
      • Das Verhalten der chinesischen Regierung lasse sich nicht allein mit der Unterdrückung politischer Opposition erklären, sondern auch als Teil einer größeren konfuzianischen Mission zur Herstellung „sozialer Harmonie“
      • Das erkläre staatliches Handeln, einschließlich übermäßiger Regulierung, besser als ein reiner Fokus auf Oppositionsunterdrückung; Letzteres sei nicht der einzige Maßstab

  • Die gesamte Diskussion wirkt wie eine Ansammlung von Advokaten des Teufels

    • Es wird ausgedrückt, dass die Gesellschaft kaputt ist