大棒出口 - ForkLog: 加密货币，人工智能，奇点，未来

# 出口俱乐部

北京如何以及为何帮助威权政权控制互联网

泄露的数据证实：北京已从内部审查转向积极出口控制工具。中国承包商为巴基斯坦、埃塞俄比亚和缅甸提供现成的基础设施解决方案，以打击异见。

然而，最近泄露的主要结论并不涉及政策，而是每个网络用户在面对新一代深度数据包检查技术(DPI)时隐私脆弱性的问题。

ForkLog 整理了中国科技公司 Geedge Networks 和 KnownSec 的泄露文件

泄漏的解剖

秋季，有两个大型数据集被公开。第一个是100,000份Geedge Networks公司的文件，该公司专注于网络监控和审查。第二个是12,000份与中国国家安全相关的KnownSec公司的文件。

泄露提供了一个罕见的机会，让人们得以窥探网络监控行业的“内部”。如果之前专家们只是猜测存在中国防火墙的出口版本，现在已知其技术规格、架构和具体客户。

Geedge Networks — 不仅仅是一家IT公司。它与MESA Lab (中国国家实验室)和被称为中国防火墙之父的范彬森有着紧密的联系。泄漏显示，经过多年在中国大陆上测试的开发，现在被打包成商业产品以供出口。

伟大的防火墙盒子

Geedge的主要开发是Tiangou安全网关(TSG)系统。这是一个安装在互联网服务提供商数据中心的硬件和软件综合体。它可以在全国范围内分析、过滤和阻止流量。

它的架构是模块化的，极其高效：

1. 网络叙述者 — 实时监控系统。 它记录用户的每一个操作：访问的网站、DNS请求、IP地址、时间戳和传输的数据量。这是全民活动的日志。
2. TSG Galaxy — 分析中心。 这里汇集了来自 Cyber Narrator 的数据。系统构建用户档案，识别模式和社交图谱。
3. Tiangou — 控制中心。允许操作员 (特工或警察) 添加关键字到黑名单，阻止域名和特定用户。

系统不仅仅通过IP地址工作。使用深度包检测DPI。如果流量被加密(HTTPS)，系统会分析元数据和行为模式，以确定传输信息的类型。

缅甸案例：技术对抗抗议

泄露证明了供应的地理位置。中国正在出口一整套的国家控制模式。文件中列出了不同国家的项目代码：

1. K18/K24 (哈萨克斯坦)：实施的活跃阶段；
2. P19 (巴基斯坦): 用于控制社会动荡；
3. M22 (缅甸): 系统已部署以镇压2021年军事政变后的抗议活动。

最后一个案例最具代表性——中国技术在压制公民不满方面的作用得到了确认。军事政变后，新当局面临着对信息空间的控制需求。

Geedge的文件确认：该公司为缅甸提供商提供了基础设施。该系统同时监控8100万互联网连接。

缅甸的系统具体做什么：

• 去匿名化 — 识别 VPN 用户；
• 工具锁定 — 内部记录显示，Geedge 识别并分类了 281 个流行的 VPN 服务 (，包括 ExpressVPN) 和像 Signal 这样的消息应用；
• 动态过滤 - 报告中记录了几个月内几乎所有绕过手段从“监控”转变为“主动封锁”。

在缅甸，Geedge设备在Frontiir运营商和Investcom公司的数据中心被发现。这证明了双重用途技术正直接融入民用电信基础设施。

诈骗中心与全球威胁

与国家间谍活动同时，来自犯罪结构的威胁也在增加，这些结构利用相同的灰色区域。在该地区，诈骗中心如雨后春笋般涌现——这些是封闭的区域，诈骗者从中攻击全球用户。

美国已经开始打击这一基础设施，发出命令没收在缅甸被诈骗者使用的Starlink终端。谷歌则对从事网络钓鱼的Lighthouse平台运营商提起了诉讼。

然而，薄弱的法律保护与强大的技术基础(的外部供应)相结合，为网络犯罪创造了理想的条件。

KnownSec: 间谍活动与网络武器

如果Geedge正在进行“防御”(审查)，那么KnownSec的泄漏揭示了进攻能力。文件包含有关用于破解和远程访问Windows、Linux、Android和iOS设备的工具的信息。

关键发现：

1. 盗窃规模。 黑客声称盗取了印度移民局的95GB数据和韩国运营商LG U Plus的3TB通话记录。目标名单包括来自80个国家的组织。
2. 工具。 在感染的Android设备上发现了用于提取Telegram和Signal消息的工具。
3. 硬件黑客。 提到所谓的“木马”充电宝，在连接充电时会从智能手机下载数据。
4. 使用人工智能。 恶意攻击者利用语言模型(，特别是Anthropic的Claude)，来编写恶意代码和分析被盗数据，绕过神经网络的防护机制。

反向环路：出口测试

技术不仅仅是出售——它们在国外的使用经验回归中国，以加强内部控制。泄露的信息表明，Geedge正在利用来自巴基斯坦和缅甸的成果，以现代化新疆和中国其他省份的监控系统。

在文件中描述了以下实验功能：

• 社会评分 — 为用户分配可靠性评级。基础水平 — 550 分。如果评级没有提高(例如，没有提供生物识别)，访问互联网将受到限制；
• 地理围栏 — 基于蜂窝塔数据为特定用户创建虚拟边界。

每个的结论

关于中国网络武器出口的信息可能对不生活在缅甸或巴基斯坦的普通用户来说显得遥远。然而，泄露的信息正在破坏几个关于数字安全的流行神话：

1. HTTPS和加密并不是灵丹妙药。 现代的DPI系统，如Tiangou，已经学会有效分析加密流量。即使它们看不到数据包的内容，也会分析元数据：大小、请求频率、时序。这使得即使流量本身不可读，也能高精度地确定使用VPN、Tor或消息应用程序的情况。
2. VPN不隐蔽。 Cyber Narrator这类系统的主要任务不仅是阻止VPN，而是标记用户。使用绕过手段的事实本身就成为系统的触发器，将用户置于“可疑”组。在缅甸，这导致了对使用特定应用程序的人的针对性追捕。
3. 行为分析比关键词更重要。 系统已经从关键词搜索演变为构建关系图。算法分析您与谁交流、您属于哪些群体以及您的活动方式。泄露的信息显示了关于实施“声誉评级”的计划——一个自动化系统，根据一系列行为因素而不是单一违规行为来决定是否阻止访问。
4. 硬件威胁仍然存在。 "间谍充电宝"的故事提醒我们，危险并不总是来自于程序代码。将设备连接到公共场所的未验证电源或USB端口，带来了真实的物理攻击风险。

结论

KnownSec 和 Geedge Networks 的泄露确认了全球 "数字威权主义 "市场的存在。中国不仅向政权提供设备，还提供控制方法。

对于普通用户来说，这是一个信号：简单绕过封锁的时代即将结束。取而代之的是与能够在加密流量中识别异常的算法的对抗，并根据间接迹象构建个人档案。隐私现在不仅仅需要安装应用程序，还需要理解每一个网络行为留下的痕迹。