封鎖網路隱私與規避工具

• 本篇報告翻譯自 "The Internet Coup: A Technical Analysis on How a Chinese Company is Exporting The Great Firewall to Autocratic Regimes | InterSecLab" 的 "The Internet Coup: A Technical Analysis on How a Chinese Company is Exporting The Great Firewall to Autocratic Regimes" 報告，內容以正體中文、臺灣用語翻譯。
• 本章節內容翻譯範圍為報告 INDEX 7/8 的內容。
• 你可以參與討論或檢視報告翻譯更新。

Geedge 的產品在客戶（國家）被用來封鎖某些隱私與規避工具。洩漏的文件顯示，Geedge 的設備被用來阻止訪問 Tor、VPN 以及 Psiphon 等規避工具。

封鎖 Tor

Tor 網路是一個免費的開源系統，旨在增強上網的隱私和匿名性。Tor 廣泛用於尋求保護隱私的人士，比如壓迫地區的記者和活動者，以及那些旨在規避網路審查的人。它的運作原理是將網路流量通過由全球超過 7000 個志願者運營的中繼節點所構成的去中心化網路，使用的是洋蔥路由技術。這種方法將使用者的流量通過三個中繼節點傳送，在每一個步驟都加密使用者的流量，使得追踪使用者的網路活動變得更加困難。儘管 Tor 採用了多種技術方法，例如未列出的橋接中繼節點，來避免被深度封包檢測及其他審查技術偵測到，一些國家政府仍然設法限制或封鎖對該工具的訪問。

洩漏的數據揭示了 Geedge Networks 在封鎖 Tor 訪問上的重要工作。緬甸和中國的客戶積極努力限制對 Tor 的訪問，主要針對的目標是 Tor 支持的應用包括 Android 版 Tor 瀏覽器和 Orbot 的行動裝置版本。來自開放觀察和網路干擾（OONI）專案的資料數據，以及 Tor 專案發布的中繼節點指標顯示，從 2024 年 5 月起，Tor 已在緬甸被有效封鎖。洩漏的文件確認了之前的揣測，即 Geedge Networks 的設備被用來實施這些限制。

儘管 Tor 橋接的完整列表並未公開可用，但當使用者無法直接連接到 Tor 時，他們可以從橋接分發渠道請求一小部分橋接。即使橋接頻繁增加和刪除，整體集合仍保持相對靜態，這意味著一個有決心的對手可能會通過不斷查詢橋接分發系統來最終編譯一個幾乎完整的列表。我們未能明確確定 Geedge Networks 是否自己收集這些資訊或從第三方獲得。

Snowflake 是一種可插拔傳輸，設計用來通過將 Tor 流量偽裝成 WebRTC（一種常用於影音串流和視訊會議的點對點協議）的方式來規避深度封包檢測。在 Geedge 成功封鎖對 Tor 的直接連接後，Snowflake 成為緬甸 Tor 瀏覽器使用者的默認連接方式。

WebTunnel 是一種新的 Tor 可插拔傳輸，可以將網路流量偽裝成無害的 HTTPS 網路流量。目前研究顯示，Geedge Networks 似乎缺乏對付 WebTunnel 的有效對策。儘管如此，由 Mesalab 的學生進行的研究表明，WebTunnel 是一種高效的規避審查方法，但截至洩漏時，他們尚未開發出有效的封鎖措施。

封鎖 VPN

虛擬私人網路（VPN）是一種服務，能在使用者設備與遠端伺服器之間建立安全且加密的連接，從而掩飾使用者的 IP 地址。它允許使用者將網際網路流量路由到不同的位置，使其看起來像是從其他國家訪問網路。

雖然此技術主要用於保護企業網路間的通訊安全，VPN 也常被用來幫助使用者規避政府或網路施加的限制。透過連接到未受限區域的伺服器，使用 VPN 的使用者可以訪問可能在其本國被封鎖的網站和服務。VPN 的封鎖干擾了人們將其用於規避審查和合法遵從（例如企業環境）上的使用。

客戶（政府）會提供他們想要封鎖的 VPN 應用程式清單給 Geedge，然後 Geedge 為客戶制定封鎖規則。洩漏的文件顯示，這些努力主要針對的是行動裝置的 VPN 應用程式。

為了建立封鎖規則，Geedge Networks 使用逆向工程技術，並運用靜態和動態分析技術。靜態分析包括反編譯應用程式的原始碼以尋找返回 API 的調用，而動態分析則包括運行該應用程式並分析其網路流量，以識別阻擋模式。

洩漏的證據顯示，Geedge Networks 維持著一些流行 VPN 供應商的付費帳戶，以便分析和封鎖它們的應用程式。TSG 硬體還能識別如 IPSec、OpenVPN 和 WireGuard 等流行的 VPN 協議。

繞過 Psiphon 的保護措施

由位於加拿大的 Psiphon Inc. 開發的 Psiphon 是一款免費且開源的網路規避工具，旨在幫助使用者繞過網路審查並訪問受限內容。Psiphon 主要在有嚴重網路審查的國家使用，包括中國、伊朗、埃及和土耳其。它在政治動盪時期（如 2021 年緬甸反軍政府抗議和 2021 年古巴抗議）中發揮了重要作用，使訊息能夠被訪問。

Psiphon3 使用一種稱為混淆服務器列表（OSL）的系統來促進向客戶端分發服務器節點訊息。與其他 VPN 應用相比，這個服務器列表使用服務器列表加密密鑰（SLOKs）的方法進行加密。這種加密的目的是確保只有受信任的客戶端才能訪問完整的服務器節點列表，從而防止自動化的爬蟲和偶然的對手從中抓取訊息。

根據洩漏的數據，Geedge Networks 似乎嘗試通過開發一個名為 Psiphon3-SLOK 的內部工具來繞過這一保護措施。這個工具的目的是不斷抓取混淆的服務器列表並生成要封鎖的 IP 地址清單，然後透過 TSG Galaxy 分發到客戶位置的 TSG 節點。

在與 Psiphon 團隊的對話中，我們了解到在 2024 年 5 月下旬，來自緬甸的使用者數迅速增加，客戶選擇服務器的方式也發生了變化，這與服務器枚舉和目標封鎖一致。這段時間與 Geedge 系統在緬甸的部署同時發生。Psiphon 內部數據顯示，從 2024 年 5 月 30 日開始，Psiphon 記錄了大約 50 萬名新使用者。緬甸的流量從一種發現方法（REMOTE 和 EMBEDDED）混合逐漸轉向主要基於 merit 的 OBFUSCATED 服務器上，這表示許多服務器被某些 ISP 同時封鎖。儘管某些服務器被封鎖，整體會話質量（衡量方法為隧道持續時間和傳輸數據）保持正常。封鎖的持續時間和嚴重程度在不同的 ISP 間有所不同。

Psiphon 採用多層服務器發現過程，允許客戶端找尋可用的服務器。最初，EMBEDDED 服務器在安裝時包含，提供直接可用節點列表。隨後，DISCOVERY 服務器在初次連接後被提取，擴展使用者的訪問選擇。REMOTE 服務器可以從遠程位置訪問，而 OBFUSCATED 服務器根據 merit 解鎖，因其安全性而特別不易於枚舉和封鎖。

自 2024 年 5 月以來，隨著 Geedge 套件在緬甸的部署，Psiphon 觀察到用戶行為的顯著轉變。REMOTE 使用者的比例下降，而 OBFUSCATED 的使用則相應增加，這與試圖通過服務器枚舉進行封鎖的預期影響一致。這一發展表明，Geedge 對 Psiphon 的封鎖努力只能部分成功，因為使用者繼續調整並找到替代路徑。