Do otkrića ranjivosti nije došlo slučajno. Košturjak i njegov tim redovito provode sigurnosne analize za klijente, ali i vlastita istraživanja, pri čemu testiraju kako se ključni internetski servisi ponašaju u rubnim i neočekivanim situacijama.

'Testiramo kako se temeljne internetske usluge ponašaju kada stvari ne idu po planu. Ponekad volimo pogledati ispod haube samih aplikacija i servisa jer sigurnost svega ostalog ovisi upravo o tim osnovnim komponentama', objašnjava Košturjak.

Na poticaj Ivana Račića, voditelja ofenzivnog sigurnosnog tima, fokus je pao upravo na ISC BIND. Tijekom jednog testnog scenarija Košturjak je primijetio neuobičajeno ponašanje DNS poslužitelja, koje je potom detaljno analizirao i reproducirao u kontroliranom okruženju.

Što je točno ranjivost i zašto je opasna

Riječ je o grešci u načinu na koji ISC BIND obrađuje vrlo specifičnu vrstu DNS upita. Iako zahtjev izgleda potpuno legitimno, njegova struktura uzrokuje grešku tijekom interne obrade, nakon čega se cijeli DNS servis jednostavno zaustavi.

'Taj upit izgleda potpuno legitimno, ali je sastavljen tako da u određenoj fazi interne obrade aktivira grešku koja dovodi do zaustavljanja cijelog DNS servisa', objašnjava Košturjak.

Ključni problem je u tome što za iskorištavanje ranjivosti nije potrebna nikakva autentikacija. 'Značajna je zato što omogućuje rušenje DNS poslužitelja bez ikakve autentikacije ili posebnog pristupa – dovoljan je jedan pravilno oblikovan upit poslan s interneta.'

Propust skriven u novom standardu za dronove

Tehnički gledano, ranjivost se odnosi na DNS zapise iz novog standarda u nastajanju, namijenjenog identifikaciji dronova tijekom leta. Riječ je o tzv. HHIT i BRID zapisima, koje je u tom trenutku implementirao isključivo ISC BIND.

No, paradoks je u tome što sustavi ne moraju uopće koristiti tu funkcionalnost da bi bili ranjivi. 'Interesantno je kako, koristili tu funkcionalnost ili ne – ranjivost se svejedno može iskoristiti. Naravno, ako imate ranjivu verziju ISC BIND-a', upozorava Košturjak.

Zašto DNS nije 'samo još jedna usluga'

DNS je sustav koji ljudima razumljiva imena internetskih stranica prevodi u IP adrese koje računala koriste za komunikaciju. Bez DNS-a internet tehnički postoji, ali je za korisnike praktički neupotrebljiv. 'DNS se često uspoređuje s telefonskim imenikom ili prometnom signalizacijom – bez njega promet postoji, ali se ne zna kamo treba ići', kaže Košturjak.

Upravo zato problemi u DNS-u imaju daleko veće posljedice nego ranjivosti u pojedinačnim aplikacijama ili servisima.

ISC BIND je i dalje najraširenija DNS serverska implementacija na svijetu. Iako veliki globalni servisi često imaju vlastita rješenja, BIND se masovno koristi kod internetskih operatora, hosting tvrtki, državnih institucija, sveučilišta i akademskih mreža.

Posebno je važan jer se koristi i u dijelovima DNS hijerarhije koji čine samu osnovu interneta, uključujući i korjenske DNS poslužitelje. Osim toga, često je ugrađen u komercijalne proizvode, a da krajnji korisnici toga nisu ni svjesni.

Kako izgleda napad i što se događa nakon toga

Napadač šalje jedan specifičan DNS upit koji poslužitelj prihvati kao valjan. Tijekom obrade dolazi do greške i DNS proces se zaustavlja.

'U tom trenutku DNS prestaje odgovarati na sve druge upite', objašnjava Košturjak. Posljedica je da korisnici više ne mogu dohvatiti web-stranice, koristiti e-mail ili pristupiti internetskim uslugama koje ovise o tom DNS poslužitelju. Riječ je o klasičnom denial-of-service napadu, ali bez masovnog prometa.

Zašto je ovaj napad posebno opasan

Za razliku od klasičnih DDoS napada koji se oslanjaju na botnete i ogromne količine prometa, ovdje to nije potrebno. 'Dovoljan je jedan pravilno oblikovan zahtjev', ističe Košturjak. To napad čini tišim, teže uočljivim i dostupnijim napadačima s ograničenim resursima.

Nakon potvrde ranjivosti, Košturjak je krenuo u proces odgovornog prijavljivanja proizvođaču softvera. Informacije su se dijelile vrlo ograničeno kako bi se spriječila zloupotreba prije nego što zakrpa bude dostupna. 'ISC je u početku imao dodatnih pitanja i nije odmah shvatio ozbiljnost problema, sve dok im nisam poslao primjer koji izravno demonstrira posljedicu', navodi.

Izrada zakrpe za ovako kritične sustave obično traje mjesecima, jer mora biti temeljito testirana kako ne bi uzrokovala nove probleme. Tek nakon toga slijedi javno sigurnosno upozorenje, uz uključivanje CERT-ova i velikih operatera.

Što to znači za građane i institucije

Za krajnje korisnike posljedice su jednostavne i vrlo konkretne - internet ne radi.

'Web stranice se ne otvaraju, e-mail kasni ili uopće ne dolazi, aplikacije koje ovise o mreži prestaju funkcionirati', kaže Košturjak. To u praksi može značiti nemogućnost pristupa bankarskim, državnim i poslovnim uslugama.

Najizloženije su organizacije koje same održavaju DNS infrastrukturu – internetski operatori, hosting tvrtke i državne institucije – no posljedice se brzo prelijevaju i na građane.

Internet je otporan, ali ne i neuništiv

Internet je u cjelini iznimno robustan sustav, ali i dalje ima kritične točke. 'DNS je jedan od rijetkih sustava gdje relativno mali problem može imati vrlo širok učinak', upozorava Košturjak. Otpornost se temelji na redovitom održavanju, ažuriranju i redundanciji, ali i na odgovornom ponašanju sigurnosne zajednice, kaže.

Generativna umjetna inteligencija već danas značajno ubrzava i obranu i napade, tumači naš sugovornik. 'Iskreno – već smo vrlo blizu, a u nekim segmentima smo taj prag već prešli', kaže Košturjak, upozoravajući na rizik masovnih i automatiziranih napada, posebno u kombinaciji s deepfake tehnologijama.

No, naglašava i ključnu stvar: 'AI samo pojačava ono što već imate. Ako razumijete što radite, možete napraviti kvalitetniji posao. Ako ne – možete završiti kao 'majmun s čitankom'.'