Sluiten

Steun Global Voices en doneer vandaag nog!

Onze vrijwilligers over de hele wereld zetten zich elke dag in om verhalen te schrijven of te vertalen die je nergens anders leest. Maar hiervoor hebben we jouw hulp nodig. Steun onze editors, onze technologie en onze projecten met een donatie aan Global Voices!

Doneer nu

Zie je al die talen? Wij vertalen de artikelen van Global Voices en maken zo burgermedia uit de hele wereld beschikbaar voor iedereen.

De evolutie van de Grote Firewall van China: 21 jaar censuur

Afbeeldingen bewerkt door Oiwan Lam.

In september 1987 verstuurde een laboratorium in Beijing de eerste e-mail van China. Het bericht was gericht aan een Duitse universiteit en luidde [en – alle links]: “Over de Grote Muur heen kunnen we alle hoeken van de wereld bereiken.”

Dankzij de ontwikkeling van de internetinfrastructuur in de afgelopen decennia kon het Chinese volk sindsdien over de Grote Muur heen communiceren met de rest van de wereld. Maar de Chinese autoriteiten bouwden al snel een nieuwe muur om mensen weg te houden bij informatie die als een bedreiging voor de Communistische Partij van China werd gezien.

In 1996 vaardigde Beijing een reeks tussentijdse bepalingen uit voor het beheer van computerinformatie en in 1998 lanceerde het Ministerie van Openbare Veiligheid het project Golden Shield, een nationaal filter dat politiek gevoelige informatie buiten het binnenlandse netwerk houdt.

Deze censuurtactiek heeft al jaren de bijnaam Grote Firewall. Het systeem heeft sinds zijn introductie regelmatig upgrades ondergaan vanwege onophoudelijke inspanningen hem te omzeilen. Sommigen omschrijven de wisselwerking tussen de Grote Firewall en de Chinese netizens als een eindeloze “prison break”.

Onlangs onderzocht het onderzoeksjournalistiekplatform the Initium in Hong Kong de paralelle evolutie van de Grote Firewall en de tools die gebruikt worden om hem te omzeilen. Hieronder staat een samenvatting en een gedeeltelijke vertaling van de kernpunten in het Chinese rapport.

Eerste fase: Golden Shield blokkeert domeinnamen en IP-adressen

De eerste versie van Golden Shield was een binnenlands filter om specifieke domeinnamen en IP-adressen van servers te blokkeren:

「牆」就像一個邪惡的郵差,只要看到你的信封上寫上 Google 或 Facebook 等網站的地址,就會直接將信件丟棄。

De Grote Firewall is als een kwaadaardige postbode: als er een brief gericht is aan Google of Facebook, gooit hij hem weg.

Men kon de Firewall omzeilen en toegang krijgen tot alle sites door een proxy te gebruiken:

就好像你將一封希望寄給 Google 的信,先寄給一位認識好郵差的朋友,再由他幫你轉寄給 Google。

Als je een brief naar Google wil sturen, stuur je de brief eerst naar een vriend die een aardige postbode kent. Die postbode stuurt de brief naar Google.

Tweede fase: Golden Shield censureert sleutelwoorden

Het sleutelwoordenfilter van Golden Shield werd geüpgraded om de inhoud van bezochte websites te controleren, zelfs als de internetverbinding via een proxy tot stand was gekomen. Als er “gevoelige inhoud” werd gecommuniceerd via de netwerkverbinding, werd het Transmission Control Protocol (TCP) gereset:

這時候,「牆」就如一名資訊審查員,拆開你的信件,只要發現你提到敏感資訊,便將你的信丟棄。

In dit geval werkt de Grote Firewall als een informatie-inspecteur. Hij scheurt je brief open en gooit hem weg als hij gevoelige informatie ziet.

 

Flowchart voor het censureren van een post op Weibo. Afbeelding door Citizen Lab (CC BY 2.5)

 

Om een inspectie van de Grote Firewall te vermijden gingen Chinese netizens virtuele privénetwerken (VPN's) gebruiken. Oorspronkelijk werden VPN's door internationale ondernemingen gebruikt om hun bedrijfsgeheimen af te schermen: hun interne communicatie liep versleuteld via een privénetwerk om te voorkomen dat een derde de berichten kon onderscheppen.

Een VPN-server buiten China kon de internetactiviteiten van Chinese netizens dus veilig verzenden.

Derde fase: De Grote Firewall detecteert VPN's en andere omzeilingstools

Met hulp van de overheid wisten de ontwikkelaars van de Grote Firewall uiteindelijk zwakke punten in VPN's te identificeren. Ze ontdekten een aantal opvallende kenmerken van de meest gebruikte VPN-protocols, zoals IPSec, L2TP/TPSec an PPTP, die vaak specifieke poorten gebruikten. Tijdens het verwerken van een versleutelde verbinding wordt een kenmerkend spoor achtergelaten.

Opnieuw werd de Grote Firewall bijgewerkt om zulke “onregelmatige” sporen te detecteren:

這就好比「牆」雖然看不懂你的信件,但能從你信件內容中經常使用的筆跡和標點符號出現頻率,分析出你的真實意圖。

Het is alsof de Grote Firewall je brief niet kan lezen, maar wel de bedoeling ervan kan analyseren op basis van het handschrift en hoe vaak de punctuatie voorkomt.

In 2011 blokkeerde de Grote Firewall tijdelijk twee belangrijke VPN-protocollen, PPTP en L2TP. Maar het blokkeren van de protocollen bracht enorme schade toe aan de economie. De Grote Firewall is daarna bijgewerkt om individuele VPN-verbindingen langzamer te maken of te resetten.

 

Diagram van een VPN, veelvuldig online gedeeld.

 

Om dit probleem op te lossen hebben pensource-developers op Github gezamenlijk een nieuwe tool ontwikkeld, Shadowsocks.

Net als een VPN is Shadowsocks omzeilingstechnologie. Het programma versleutelt de communicatie tussen een gebruiker en de website die hij wil bezoeken. Een derde partij kan de verbinding nauwelijks detecteren, omdat Shadowsocks gebruikers laat kiezen uit verschillende versleutelingsmethodes en hen een willekeurige poort laat toewijzen.

Daarnaast is Shadowsocks een opensource-project. Zelfs als de oorspronkelijke developer onder druk van de autoriteiten de code op Github verwijdert, kunnen andere developers de ontwikkeling overnemen en varianten zoals ShadowsocksR en V2Ray in stand houden.

De Chinese overheid blokkeert steeds meer websites, waaronder niet-politieke sites voor online games, sites om foto's te delen en sociale media, en dus groeit de vraag naar omzeilingstools. Enkele developers hebben een succesvol bedrijf opgebouwd rond het maken van omzeilingsapps voor netizens die Shadowsocks gebruiken.

Toen Apple zijn besturingssysteem in 2014 bijwerkte naar iOS 8, konden de apparaten van het bedrijf VPN-gerelateerde poorten openen, waarmee andere developers versleutelde, particuliere VPN-apps konden maken. Hierdoor floreerden proxy-apps die protocollen van Shadowsocks ondersteunden. Het enige wat gebruikers hoefden te doen om verbinding te maken met websites die door de Chinese overheid waren geblokkeerd, was de app installeren en openen . Zo was het voor de doorsnee internetgebruiker makkelijk om websites achter de Grote Firewall te bezoeken.

Maar de Chinese autoriteiten hielden een oogje in het zeil.

Vierde fase: Wetten voor de internetveiligheid richten zich op anonimiteit en VPN's

Naast het voortdurend verbeteren van de Grote Firewall introduceerde Beijing nieuwe wetten om aanbieders van VPN-diensten strafbaar te stellen.

Op 22 januari 2017 heeft het Chinese Ministerie voor Industrie en Informatietechnologie (MIIT) een “bekendmaking betreffende de opschoning en regulering van de internettoegangsmarkt” aangekondigd, waarin staat:

zonder goedkeuring van de afdelingen voor telecommunicatiebeheer mag men geen zelfstandig toegewijde verbindingen (waaronder virtuele particuliere netwerken, VPN's) of andere informatiekanalen creëren of inhuren om zaken over de grens te doen. Basistelecommunicatiebedrijven die toegewijde internationale verbindingen aan gebruikers leasen moeten een gecentraliseerd gebruikersarchief bijhouden en aan de gebruikers duidelijk maken dat de voorwaarden voor het gebruik van die verbindingen beperkt zijn tot intern gebruik op kantoor, en dat de verbindingen niet gebruikt mogen worden om verbinding te maken met binnen- of buitenlandse datacentra of werkplatformen om telecommunicatieactiviteiten uit te voeren.

Op 1 juni trad de controversiële “Wet voor de internetveiligheid” officieel in werking. Deze wet gaf vergaande rechten aan de toezichtsafdeling, breidde de taken en verantwoordelijkheden van internetbedrijven uit en stelde de registratie van de echte namen van individuele internetgebruikers verplicht. Het monitorsysteem doet denken aan “pre-crime” in de Amerikaanse sciencefictionfilm “Minority Report”.

De wet verplichtte Apple direct om in juli VPN-apps uit hun Chinese appstore te halen. Amazon's partner in China waarschuwde hun klanten ook tegen het gebruik van hun cloudserver om een VPN-server op te zetten. Ze zeiden dat klanten die betrapt werden op het gebruik van niet-goedgekeurde VPN's van hun diensten afgesloten zouden worden.

Er rust een grote druk op individuele developers en VPN-gebruikers. Sinds juli verschijnen er regelmatig nieuwsberichten over developers en gebruikers van proxysoftware die door de politie worden lastiggevallen.

Eén developer deelde op Twitter hoe de politie hem geïdentificeerd had. Volgens hem had de politie zijn IP-adres achterhaald via zijn QQ-nummer, dat in de Appstore te zien was. De politie kwam bij hem thuis langs om nadrukkelijk te eisen dat hij de app zou verwijderen. Hij beloofde later om zijn proxy-app niet opnieuw te uploaden.

In Shenzhen zijn een aantal internetgebruikers door de politie opgespoord omdat zij regelmatig gebruik maakten van proxy-software. Hun internetverbinding werd afgesloten. Om weer online te kunnen, moesten ze een brief schrijven waarin ze beloofden de software nooit meer te gebruiken.

Individuele developers en gebruikers van omzeilingstools zijn bang geworden van deze hardhandige optredens. Volgens één developer hebben developers nog maar twee opties:

要絕對安全,只有兩條路:一個是不做中文版,包裝成類似 ExpressVPN 這樣的海外公司;另一個……我前天見了一個朋友,他說他認識工信部的人,可以幫我申請 VPN 銷售許可證。這樣就可以徹底洗白了。

Er zijn twee manieren om absolute veiligheid te garanderen. De eerste is om geen Chinese versie van de app te maken en je app te promoten alsof hij van een buitenlands bedrijf afkomstig is zoals Express VPN. De andere manier… Ik kwam een paar dagen geleden een vriend tegen en die zei dat hij iemand bij MIT kent die me aan een VPN-verkoopvergunning kan helpen. Zo is je bedrijf volkomen legaal.

Maar het krijgen van een vergunning betekent samenwerken met de overheid om de online activiteiten van VPN-gebruikers te bespioneren. De developer licht toe:

肯定要按官方要求,記錄用戶身份,保留用戶日誌,到時候上面如果查下來,要什麼數據就給他們。…其實沒幾個用戶在意隱私的,他們只要能翻牆就行了。而只要有人用,我們就有錢賺……

Natuurlijk moet je je aan de regels van de overheid houden. We moeten de identiteit van gebruikers te registreren en inloggegevens bijhouden. Daarnaast moeten we alle gegevens die de overheid in de toekomst nodig heeft overhandigen. Eigenlijk geven maar weinig gebruikers om privacy. Ze willen gewoon over de muur heen. Zolang we gebruikers hebben, verdienen we geld…

Technisch gesproken zijn de omzeilingstechnieken de Grote Firewall te slim af. Maar het nieuwe rechtsstelsel heeft de spelregels veranderd. Tegenwoordig hebben Chinese netizens die verbinding willen maken met de buitenwereld twee keuzes. Ze moeten ofwel hun privacy opgeven en zich abonneren op erkende VPN-diensten, ofwel buitenlandse omzeilingstools gebruiken en het riskeren lastiggevallen te worden door de politie.

Na drie decennia heeft de droom om de Grote Muur over te steken en elke hoek van de wereld te bereiken plaatsgemaakt voor een nachtmerrie waarin de vrijheid van de mensen wordt bedreigd.

Start een discussie

Auteurs graag inloggen »

Regels

  • Alle reacties worden beoordeeld door een moderator. Verzend je reactie maar één keer, anders kan deze als spam worden gemarkeerd.
  • Wees respectvol tegen elkaar. Reacties met hatelijke opmerkingen, obsceniteiten en persoonlijke aanvallen worden niet goedgekeurd.