FINANCIJSKA agencija (Fina) našla se u međunarodnom sigurnosnom skandalu nakon što je bez dopuštenja tijekom prošle i ove godine izdala dvanaest certifikata za IP adresu 1.1.1.1, koja pak pripada globalnom DNS servisu kojim upravlja tvrtka Cloudflare.

O čemu se točno radi?

Ti lažni certifikati mogli su omogućiti zlonamjernim hakerima da se lažno predstavljaju kao Cloudflareov servis, inače ključan za sigurno funkcioniranje interneta. Stručnjaci s kojima je Index razgovarao ovaj incident nazivaju ozbiljnom zloupotrebom povjerenja u sigurnost interneta.

DNS je, pojednostavljeno, internetski imenik koji prevodi lako pamtljive nazive web stranica poput www.index.hr u numeričke IP adrese, koje računala koriste za pronalazak web stranica. Cloudflare pritom dodatno ubrzava i štiti promet interneta, braneći korisnike od hakerskih napada i preopterećenja

"Ovo je usporedivo s onim što radi Sjeverna Koreja"

Prema dostupnim podacima, Fina je certifikate izdala zbog “internih testiranja” u stvarnom sustavu, što stručnjaci smatraju ozbiljnim sigurnosnim propustom. Iako nema dokaza da je netko zloupotrijebio te Finine lažne certifikate, ovaj incident otkriva krhkost povjerenja na internetu i važnost rigorozne kontrole autoriteta koji izdaju takve digitalne potvrde.

Fina je, naime, u Hrvatskoj ovlaštena za izdavanje digitalnih certifikata odnosno potvrda koje u elektroničkim transakcijama predstavljaju elektronički identitet vlasnika certifikata te omogućavaju sigurnu i povjerljivu komunikaciju internetom.  

Za informatičkog stručnjaka Marka Rakara incident koji je napravila Fina je ništa drugo nego "zloupotreba povjerenja epskih razmjera koje su usporedive s onim što rade Sjeverna Koreja ili Kina". Lucijan Carić pak navodi da je Fina "izazvala međunarodni internetski sigurnosni incident i skandal".

Gotovo svi informatički stručnjaci, među kojima i ugledni portal ArsTechnica, upozoravaju koliko je povjerenje u sigurnost interneta krhko ako institucije koje izdaju certifikate pogriješe. Sama Fina u odgovoru na upit Indexa tvrdi kako nije ugroženo povjerenje u izdavanje certifikata te inzistiraju na tome da su oni "visoko regulirana organizacija" i da su "samo testirali". No krenimo redom.

Fina se Cloudflareu pravdala "internom greškom"

Cloudflare, globalna tehnološka tvrtka koja pruža usluge za ubrzanje i sigurnost web-stranica i internetskih aplikacija, došla je do informacije da je hrvatska Fina izdala certifikate za njihovu adresu.

Kako su napisali na svojim stranicama, Fina im je objasnila da je riječ o "internoj grešci pri testiranju", no certifikati su, kako se pokazalo, izdani u stvarnom sustavu i objavljeni u javnom registru, što je omogućilo njihovo otkrivanje.

Cloudflare u početku nije reagirao jer njihov sustav nadzora nije prepoznavao certifikate izdane samo na IP adrese, bez domena. Informatički stručnjaci naglašavaju kako su ti certifikati mogli poslužiti za napade u kojima bi se netko lažno predstavljao kao Cloudflareov servis, ali za to bi bilo potrebno ispuniti više složenih uvjeta – od pribavljanja privatnog ključa do toga da žrtva koristi sustav koji uopće vjeruje Fini.

To je moguće samo za korisnike Windowsa i Microsoftovog web preglednika Edgea, dok preglednici Chrome, Firefox i Safari ionako ne priznaju Finine certifikate. Na kraju su svi sporni certifikati povučeni, a Microsoft je dodatno blokirao njihov utjecaj u Windows okruženju.

Arstechnica: Ovo je prijetnja internetu

Cloudflare je priznao da nije dovoljno pratio izdavanje certifikata na IP adrese i najavio nadogradnju sustava nadzora. Informatički stručnjaci naglašavaju kako ovaj incident pokazuje koliko je povjerenje u sigurnost interneta krhko ako institucije koje izdaju certifikate pogriješe ili ih izdaju bez provjere vlasništva.

O skandalu se raspisao i ugledni portal ArsTechnica.com, jedan od važnijih i pouzdanih izvora u svijetu tehnoloških vijesti i analiza u članku "Pogrešno izdani certifikati za DNS uslugu 1.1.1.1 predstavljaju prijetnju internetu". 

U njihovom članku naglašava se kako su certifikati ključni dio sigurnosnog protokola Transport Layer Security jer oni povezuju određenu domenu s javnim ključem. Tijelo koje izdaje certifikate posjeduje privatni ključ kojim jamči njihovu valjanost. Onaj tko posjeduje TLS certifikat može se kriptografski predstavljati kao domena za koju je izdan.

"Vlasnik spornih certifikata mogao bi ih koristiti za aktivne „man-in-the-middle“ napade, presretanje komunikacije između korisnika i Cloudflare DNS usluge, pri čemu bi napadači mogli dešifrirati, čitati i mijenjati promet", stoji u članku, u kojem se naglašava da ako zakaže jedno certifikacijsko tijelo, sigurnost cijelog sustava može biti kompromitirana. 

Incident baca loše svjetlo na Microsoft jer nije proaktivno otkrio problem, nego je Windowsima dopuštao da vjeruju lažnim certifikatima mjesecima, zaključuje se u članku. 

Fina: Bilo je interno

U odgovoru na upit Indexa, Fina inzistira na tome da se u ovom slučaju radilo isključivo o internim testnim certifikatima koji su izdani za potrebe testiranja sustava izdavanja certifikata u produkciji.

"Certifikati, kao ni privatni ključevi, nisu izašli iz okruženja Fine niti su certifikati izdavani izvan Fine. Navedeno je i regulirano procedurama izdavanja takvih certifikata za potrebe testiranja", naglašavaju iz Fine u odgovoru za Index. Kako nam kažu, prilikom testiranja dogodila se pogreška u formiranju IP adrese i za navedenu pogrešku odgovorna je Fina.

Fina: Nije ugroženo povjerenje u nas

"Odbijamo tvrdnju da je ugroženo povjerenje u izdavanje certifikata. Fina je 23 godine izdavatelj digitalnih certifikata, odnosno strogo regulirani ovjerovitelj usluga povjerenja. Korisnici i sustavi nisu niti će biti ugroženi zbog jedinstvene pogreške koja se dogodila prilikom testiranja TLS certifikata", stoji u odgovoru Fine na upit Indexa.

Na našu primjedbu kako su vodeće globalne tehnološke tvrtke i stručnjaci javno upozorili na manjkavosti Fininih sigurnosnih procedura, u Fini kažu kako one nisu manjkave i odvojive su od propusta koji se dogodio u ovom izdvojenom slučaju.

"Fina je visoko regulirana organizacija i redovito se provode nadzori i kontrola te se potvrđuje sukladnost u poslovanju. U ovom konkretnom slučaju radi se o propustu/pogrešci za koju je potrebno izvršiti korekcije u politikama koje propisuju izdavanje testnih certifikata te poduzeti mjere kako bi se izbjegla mogućnost ljudske pogreške. Poduzet ćemo sve aktivnosti kako bismo navedeno dokazali", stoji u odgovoru Fine.

Fina: Ovo je izolirani slučaj 

No činjenica jest da je incident pokazao kako je FINA zanemarila osnovne sigurnosne standarde i procese. Stoga smo pitali je li o svemu obaviješteno nacionalno tijelo zaduženo za kibernetičku sigurnost (NCSC-HR).

"Fina ne zanemaruje sigurnosne standarde i radi se o izoliranom slučaju. Utvrđeno je da nema kibernetičke kompromitacije sustava za izdavanje certifikata, servisa Fine i korisnika Fine. Neovisno o tome, Fina je sukladno svim zakonskim propisima izvijestila nadležne institucije. S obzirom na nepostojanje sigurnosne ugroze, provest će se sve potrebne korektivne radnje u eliminiranju istovjetnih pogrešaka", stoji u odgovoru.

Rakar: Ni za testne modele Fina nije smjela izdavati certifikate koji nisu njihovi

Za Rakara dvojbe nema – Fina je zloupotrijebila svoju poziciju administrativno dodijeljene uloge DNS "Certificate Authorityja" i kroz duži period izdala desetak certifikata koji bi joj omogućili da se predstavlja kao Cloudflare DNS server.

"Cloudflare je među najvećima, ako ne i najveći 'Content Delivery Network' na svijetu te je prisutan na svim tržištima, uključujući i domaće. Izdavanje ovakvog certifikata je na svjetskoj razini jedinstveni proboj povjerenja (breach of trust) na kojem počiva sigurnost interneta. Ni u kojem scenariju, pa ni u testnom, Fina  nije smjela izdavati certifikate za domene i IP adrese koje nisu njihove", objašnjava Rakar u razgovoru za Index.

Kako je pojasnio, iako globalno gledano FINA nije priznata kao autoritet u bilo čemu, činjenica jest da je veliki broj računala koja se nalaze na teritoriju Republike Hrvatske prisiljen vjerovati Fininom "certificate authority" budući da se ti certifikati koriste mimo minimalnih tehničkih standarda na mnogobrojnim državnim serverima i servisima.

"Lažni certifikati oružje su za napad"

"Izdavanjem takvog lažnog certifikata u kombinaciji s mogućnostima koje državi stoje na raspolaganju kroz druge organizacije, moguće je organizirati 'man in the middle' napad i efektivno presresti i snimati internetski promet između zainteresirane strane i krajnje destinacije", objašnjava Rakar u razgovoru za Index.

Kako je naglasio, na kraju ostaje nejasno je li Fina izdala samo certifikate koji se odnose na Cloudflare ili ima još takvih, a do sada neidentificiranih certifikata za druge servise, poput recimo Gmaila, WhatsAppa ili nekog drugog važnog servisa.

Informatički stručnjak Lucijan Carić kaže kako "Hrvatska ima posebnu čast što je njezina paradržavna tvrtka Fina izazvala međunarodni internetski sigurnosni incident i skandal neovlaštenim izdavanjem certifikata".

Carić: Nedostatak kompetencije kod važnog pružatelja državnih usluga

"Ostaje vjerovati Fini kako je do ovog sigurnosnog skandala došlo zbog pogreške prilikom testiranja, a to u najmanju ruku upućuje na nedostatak kompetencije kod važnog pružatelja državnih usluga – na što mnogi od nas uključenih u informacijsku sigurnost već godinama upozoravaju", ističe Carić dodajući da ako se ovo čini loše, svaki drugi scenarij je još gori.

"To bi značilo da se Fina – samostalno ili u sprezi s drugim akterima – upustila u sabotiranje sigurnosti na internetu iz tko zna kakvih razloga i s tko zna kojim motivima", ističe Carić u razgovoru za Index.

"Naravno da nitko u RH neće snositi posljedice"

Kako je naglasio, cijela priča ponovno pokazuje koliko je sigurnost na internetu krhka i koliko je zasnovana na povjerenju, a ne nužno na dobro implementiranim sigurnosnim mjerama. Uz Cloudflare, za koji je teško naći opravdanje, Carić problem vidi i u Microsoftu koji olako dopušta izdavanje certifikata, pa tako i onima koji za to očito nemaju potrebna znanja i iskustvo.

"Nastavi li Fina s ovakvom 'praksom', lako joj se može dogoditi da joj certifikati budu blokirani, odnosno opozvani, što će njezinim korisnicima prouzročiti dodatne probleme", ističe Carić koji iskreno sumnja kako će Fina u Hrvatskoj zbog ovoga snositi bilo kakve posljedice, iako je "u svjetlu nove EU – dakle i hrvatske – sigurnosne legislative ovo mega incident i mega skandal bez presedana".