U jednom od ključnih internetskih sustava otkrivena je ozbiljna sigurnosna ranjivost, a iza tog otkrića stoji hrvatski stručnjak za kibernetičku sigurnost Vlatko Košturjak, voditelj istraživanja i razvoja u tvrtki Marlink Cyber koja se bavi zaštitom kritične infrastrukture.
Ranjivost je pronađena u ISC BIND-u, jednom od najraširenijih DNS poslužitelja na svijetu, koji se koristi u telekomunikacijama, državnim institucijama, cloud platformama i velikim korporacijama. DNS je sustav koji omogućuje da se nazivi internetskih stranica prevode u IP adrese koje računala razumiju, zbog čega se često opisuje kao temelj bez kojeg internet praktički ne bi funkcionirao.
Prema Košturjakovim riječima, problem se odnosi na način na koji BIND obrađuje određene DNS upite. U specifičnim okolnostima napadač može slanjem samo jednog posebno oblikovanog paketa srušiti DNS servis, koji tada prestaje odgovarati na upite. U praksi to znači da korisnici više ne mogu pristupiti web stranicama, aplikacijama ili internetskim servisima koji ovise o tom DNS-u, bez potrebe za klasičnim DDoS napadom ili velikom količinom prometa.
Ranjivost je ocijenjena kao vrlo ozbiljna jer pogađa samu srž internetske infrastrukture. Najizloženiji su veliki DNS operateri, pružatelji internetskih usluga, hosting i cloud tvrtke te državne institucije koje same održavaju DNS sustave. Krajnji korisnici nisu izravna meta, ali upravo oni prvi osjete posljedice kroz nedostupnost usluga i prekide u svakodnevnom radu.
Košturjak navodi da je do otkrića došlo tijekom redovitog profesionalnog istraživanja i testiranja ponašanja ključnih internetskih servisa u neuobičajenim situacijama. Nakon što je uočio neobično ponašanje sustava, ranjivost je detaljno analizirao i potvrdio u kontroliranom okruženju, a zatim ju je odgovorno prijavio proizvođaču softvera.
Posebno naglašava da je ISC BIND softver koji je pod stalnim nadzorom stručnjaka iz cijelog svijeta, akademskih institucija i velikih tehnoloških kompanija, uključujući i Google. Unatoč tome, u protekloj godini zabilježen je vrlo malen broj ranjivosti, što dodatno govori o težini i značaju ovog otkrića.
U stvarnim uvjetima, posljedice bi za korisnike izgledale prilično jednostavno, ali iznimno frustrirajuće: web stranice se ne učitavaju, aplikacije prestaju raditi, a e-mail kasni ili uopće ne stiže. Za tvrtke to znači prekid poslovanja, gubitak prihoda i povjerenja korisnika, dok bi kod državnih sustava moglo doći do nedostupnosti javnih servisa i administrativnih sustava.
Nakon otkrivanja ranjivosti pokrenut je standardni proces odgovornog prijavljivanja. Problem je prvo povjerljivo prijavljen ISC-u, koji zatim razvija zakrpu i priprema sigurnosnu objavu. Tek nakon što je rješenje dostupno korisnicima, detalji se javno objavljuju, uz uključivanje CERT-ova i velikih operatera kako bi se propust što brže sanirao.
Na društvenim mrežama Košturjakov rad izazvao je brojne pozitivne reakcije, a pojedini stručnjaci istaknuli su kako se ovakva ranjivost mogla prodati za znatan iznos na sivom tržištu. Košturjak ističe da je svjesno odabrao etički pristup jer smatra da sigurnost interneta ne bi smjela biti privatno oružje, već zajedničko dobro.
Za njega se često koristi naziv white hacker, što označava osobu koja koristi hakerske tehnike u zakonskim i etičkim okvirima kako bi sustave učinila sigurnijima. Cilj takvog rada nije iskorištavanje slabosti, nego njihovo otkrivanje i sprječavanje potencijalne štete.
