Pozornost sigurnosne zajednice privukla je vijest o ozbiljnom propustu hrvatske Financijske agencije (Fina), na koji je upozorio sigurnosni istraživač Youfu Zhang, a prenio portal Ars Technica. Naime, Fina RDC 2020, certifikacijsko tijelo pod okriljem Fine, u svibnju je izdalo tri neautorizirana TLS certifikata za IP adresu 1.1.1.1 – globalno važan i kritično osjetljiv javni DNS servis kojim upravljaju Cloudflare i APNIC. – Prenosi Bug.hr
Što znače TLS certifikati i zašto je problem ozbiljan
TLS certifikati jamče identitet web stranice ili servisa te omogućuju sigurnu komunikaciju putem enkripcije. Neovlašteno izdani certifikat za ključnu infrastrukturu poput 1.1.1.1 mogao je otvoriti prostor za sofisticirane “Adversary-in-the-Middle” (AitM) napade. U takvom scenariju napadač bi mogao presretati i mijenjati komunikaciju korisnika, potencijalno kradući povijest pretraživanja, korisničke podatke i sesijske tokene – a žrtva toga ne bi bila svjesna.
Microsoft posebno pogođen
Prema pisanju Ars Technice, pogrešno izdani certifikati bili su prijetnja isključivo korisnicima Windows operativnog sustava i Edge preglednika. Razlog je u različitim politikama povjerenja: dok Chrome, Firefox i Safari koriste vlastite stroge liste pouzdanih certifikacijskih tijela, Microsoftov Trusted Root Certificate Program dopušta širi spektar izdavatelja – među njima i Fina Root CA.
Time su milijuni Windows korisnika bili izloženi riziku puna četiri mjeseca, sve do otkrića pogreške. Microsoft je potvrdio da je kontaktirao Finu i blokirao sporne certifikate, no kritike se odnose na činjenicu da njihovi sigurnosni mehanizmi nisu ranije prepoznali ovako očitu anomaliju.
Cloudflare i sustavni propusti
Iz Cloudflarea su potvrdili da nikada nisu zatražili izdavanje certifikata te su pokrenuli istragu u suradnji s Finom i Microsoftom. Iako nema dokaza da su certifikati iskorišteni za napade, incident otvara šira pitanja o učinkovitosti nadzora.
Na udaru kritika našao se i sustav Certificate Transparency (CT), javni registar certifikata koji bi trebao brzo otkrivati anomalije. Međutim, u ovom slučaju certifikati su ostali neprimijećeni mjesecima.
Objašnjenje Fine
Fina je na svojim stranicama objavila javno priopćenje u kojem priznaje pogrešku:
„U Fini je, prilikom postupka internog testiranja izdavanja certifikata u produkcijskom okruženju, došlo do pogreške pri upisivanju IP adresa u SSL/TLS certifikate. Riječ je o certifikatima izdanim za potrebe internog testiranja. Spornih certifikata korisnici nikada nisu koristili, a po otkrivanju neispravnosti oni su opozvani, dok su privatni ključevi odmah uništeni. Pogreška ničim nije ugrozila korisnike niti druge sustave.“
Fina naglašava da korisnici ne trebaju poduzimati nikakve radnje te najavljuje dodatne mjere kako bi se spriječilo ponavljanje sličnih incidenata.
