Pozornost internetske sigurnosne zajednice privukla je vijest, osobito pisanje portala Ars Tehnica, koja se bavi hrvatskom Financijskom agencijom (Fina) i otvara pitanja o povjerenju koje leži u temeljima sigurne internetske komunikacije. Sigurnosni istraživač Youfu Zhang otkrio je i javno objavio da je Fina RDC 2020, certifikacijsko tijelo pod kapom Fine, još u svibnju izdalo tri neautorizirana TLS certifikata za IP adresu 1.1.1.1. Riječ je o adresi globalno popularnog i kritično važnog javnog DNS servisa kojim upravljaju Cloudflare i APNIC.

TLS certifikati su digitalni dokumenti koji jamče da je web stranica ili servis s kojim komunicirate doista onaj za koji se predstavlja, osiguravajući privatnost i integritet podataka putem enkripcije. Posjedovanje valjanog certifikata za ključnu infrastrukturu poput 1.1.1.1, koji koriste milijuni ljudi za sigurne i privatne DNS upite (putem DNS-over-HTTPS i DNS-over-TLS protokola), omogućuje napadaču izvođenje sofisticiranih "Adversary-in-the-Middle" (AitM) napada. U takvom scenariju, napadač može presretati, dešifrirati i čak mijenjati komunikaciju između korisnika i servisa, a da žrtva toga uopće nije svjesna. Posljedice sežu od krađe povijesti pretraživanja do krađe korisničkih podataka i sesijskih tokena.

Microsoftov propust i asimetrija povjerenja

Prema pisanju Ars Tehnice, ono što ovaj incident čini posebno problematičnim za Microsoft jest činjenica da su pogrešno izdani certifikati predstavljali prijetnju isključivo baš za korisnike Windows operativnog sustava i Microsoft Edge preglednika. Razlog leži u takozvanim "root programima" ili spremištima korijenskih certifikata. Dok vodeći preglednici poput Google Chromea, Mozilla Firefoxa i Appleovog Safarija imaju vlastite, strogo kurirane liste certifikacijskih tijela kojima vjeruju – a na kojima se Fina nije nalazila – Microsoft u svom Trusted Root Certificate Programu ima znatno širi i permisivniji pristup.

Fina Root CA, nadređeno tijelo Fini RDC 2020, dio je Microsoftovog programa, što znači da su svi certifikati koje Fina izda automatski smatrani valjanima i pouzdanima na stotinama milijuna uređaja s Windowsima. Upravo je ta asimetrija u povjerenju stvorila opasnu ranjivost. Dok su korisnici drugih platformi bili sigurni, Windows ekosustav bio je izložen riziku puna četiri mjeseca, koliko je prošlo od izdavanja certifikata do njihovog otkrića.

Postavlja se ključno pitanje: kako je moguće da su Microsoftovi sustavi nadzora i provjere propustili detektirati ovako očitu anomaliju? Izdavanje certifikata za stratešku IP adresu poput 1.1.1.1, bez ikakve autorizacije od strane Cloudflarea, trebalo je aktivirati sve alarme. Iz Microsofta su potvrdili da su "kontaktirali certifikacijsko tijelo i zatražili hitnu akciju" te da rade na dodavanju spornih certifikata na svoju listu blokiranih, no nisu ponudili objašnjenje za višemjesečnu šutnju svojih sustava. Ovaj propust ukazuje na pasivnu ulogu koju Microsoft ima u upravljanju svojim root programom, što ga čini najslabijom karikom u globalnom lancu povjerenja.

Šira slika: Sustavni rizik i neefikasni nadzor

Cloudflare je odmah po saznanju potvrdio da nikada nije zatražio niti odobrio izdavanje spomenutih certifikata te je pokrenuo vlastitu istragu u suradnji s Finom, Microsoftom i nadležnim regulatornim tijelima. Iako nema dokaza da su certifikati aktivno iskorišteni u napadima, incident služi kao upozorenje. 

Dodatnu zabrinutost izaziva i očiti neuspjeh sustava Certificate Transparency (CT). CT logovi su javni zapisi svih izdanih TLS certifikata, stvoreni upravo s ciljem da se pogrešna izdanja poput ovog otkriju brzo, idealno unutar nekoliko sati. Činjenica da su ovi certifikati ostali neprimijećeni mjesecima sugerira da automatizirani alati za nadzor, koje koriste i velike kompanije poput Cloudflarea, nisu adekvatno konfigurirani za praćenje specifičnih anomalija poput neautoriziranog izdavanja certifikata za IP adrese.