U JEDNOM od ključnih internetskih sustava otkrivena je sigurnosna ranjivost, a otkrio ju je hrvatski sigurnosni stručnjak Vlatko Košturjak, voditelj istraživanja i razvoja u Marlink Cyberu, društvu koje se bavi sigurnošću kritične infrastrukture.

Marlink Cyber piše kako je ranjivost otkrivena u ISC BIND-u, široko korištenoj DNS (Domain Name System) usluzi koja omogućuje razrješavanje imena za internet i lokalna mrežna okruženja. DNS je tehnologija koja omogućuje da se internetske adrese poput naziva web stranica "prevode" u IP adrese, zbog čega se često opisuje kao jedan od temeljnih sustava bez kojeg internet ne funkcionira normalno.

"Ovo je ogromno"

Otkriće je izazvalo brojne reakcije na društvenim mrežama, gdje su ljudi iz struke pohvalili Košturjakov rad. Na Facebooku ga je posebno istaknuo stručnjak za računalnu sigurnost Leon Juranić, kojeg se često navodi kao jednog od vodećih "bijelih hakera" u Hrvatskoj i regiji.

Košturjak za Index: DNS je 'imenik interneta'

Index je kontaktirao Košturjaka, koji nam je objasnio detalje otkrića i širi kontekst ove sigurnosne ranjivosti.

"DNS se najjednostavnije može opisati kao 'imenik interneta'. Ljudi pamte nazive poput google.com ili vlada.hr, ali računala međusobno komuniciraju putem IP adresa (npr. 127.0.0.1). DNS je sustav koji prevodi ta imena u IP adrese koje računala razumiju. Bez DNS-a, internet kakav poznajemo praktički ne bi funkcionirao - web stranice se ne bi učitavale, e-mail ne bi radio, a mnoge aplikacije i servisi koji zavise o internetu bi stali.

ISC BIND je jedan od najraširenijih DNS poslužitelja na svijetu. Koriste ga telekomi, kritična infrastruktura, državne institucije i velike korporacije. Ranjivost koju smo otkrili odnosi se na način na koji BIND obrađuje određene DNS upite.

U specifičnim okolnostima napadač može iskoristiti tu grešku kako bi srušio DNS servis i jednostavno više ne bi odgovarao na upite. U praksi to znači da korisnici više ne mogu doći do web stranica ili servisa koji ovise o tom DNS-u.

Važno je reći kako se navedeno postiže slanjem jednog specijalno napravljenog paketa, a ne zatrpavanjem velikom količinom paketa ili prometa. Što ukratko znači da bilo tko s pristupom internetu je u mogućnosti poslati navedeni paket 'imeničkim servisima' da zaustavi korištenje interneta ciljano određenoj organizaciji, regiji ili globalno", objasnio je.

Ozbiljne posljedice za organizacije

Govori da je ranjivost ocijenjena kao ozbiljna jer pogađa temeljnu infrastrukturu interneta.

"Najviše su izloženi veliki DNS operateri i oni koji pružaju temeljnu internetsku infrastrukturu: telekomi, pružatelji internetskih usluga (ISP), hosting provideri, cloud platforme, ali i državne institucije koje same održavaju DNS infrastrukturu. Krajnji korisnici nisu direktna meta, ali oni prvi osjete posljedice", objasnio je.

Kako je došlo do otkrića?

Pitamo ga kako je došao do ovog otkrića. Odgovara kako je ono proizašlo iz profesionalnog istraživačkog rada.

"U sklopu sigurnosnih analiza i testiranja koje redovito radimo za klijente i za vlastito istraživanje, testiramo kako se ključni internetski servisi ponašaju u rubnim i neočekivanim situacijama.

U jednom takvom scenariju primijetio sam neuobičajeno ponašanje, koje sam zatim detaljno analizirao i reproducirao u kontroliranom okruženju. Nakon što sam potvrdio da se radi o stvarnoj ranjivosti, krenuo sam u proces odgovornog prijavljivanja.

Kako se radi o softveru koji omogućuje kritičan servis za funkcioniranje interneta pod povećalom je velikog broja stručnjaka i znanstvenika iz cijelog svijeta.

Ako pogledate u prošloj godini (2025), objavljeno je svega 7 ranjivosti za navedeni softver i to većinom su radovi uglednih sveučilišta od zemalja koje ulažu ozbiljna sredstva u sigurnost interneta i virtualnog prostora: sveučilište Hebrew University of Jerusalem iz Izraela ili Tsinghua University iz Kine koje je poznato kao kineski MIT.

Navedeni softver je također pod povećalom velikih tehnoloških divova, između ostalog i Googlea. BIND je pod povećalom i kontinuiranog OSS FUZZ projekta koji kontinuirano automatski traži ranjivosti koristeći ogromnu Googleovu infrastrukturu.

Isto tako, tehnološki divovi imaju pristup ogromnim resursima i specijaliziranim zatvorenim alatima, te iskorištavaju prednosti generativne umjetne inteligencije poput Big Sleepa da bi otkrili ovakve ranjivosti", govori.

Kako bi napad izgledao u stvarnom životu

Odgovorio je na pitanje kako bi se posljedice vidjele u stvarnom životu i što bi ljudi i tvrtke konkretno primijetili.

"U stvarnosti bi to izgledalo vrlo banalno, ali frustrirajuće: web stranice se ne učitavaju, aplikacije 'ne rade', e-mail kasni ili uopće ne dolazi. Primjerice, ne možete rezervirati kartu za put. Za tvrtke to znači prekid poslovanja, nemogućnost rada web trgovina i aplikacija, gubitak prihoda i povjerenja korisnika.

Za državne sustave to može značiti nedostupnost javnih servisa: od fiskalizacije do registriranja gostiju u eVisitor sustav. U svakodnevnom i stvarnom životu, izgledalo bi kao da ste svakome isključili uređaj za pristup internetu. Ne biste mogli pristupiti većini resursa na internetu", izjavio je naš sugovornik.

Što kad se ranjivost pronađe?

Zanimalo nas je što se konkretno događa nakon što se ovakva ranjivost pronađe, odnosno koji su sljedeći koraci.

"Kod odgovornog prijavljivanja, ranjivost se prvo povjerljivo prijavljuje proizvođaču softvera - u ovom slučaju ISC-u. Oni zatim analiziraju problem, razvijaju zakrpu i pripremaju sigurnosnu objavu. Tek kada je rješenje dostupno korisnicima, detalji se javno objavljuju.

U proces su često uključeni i CERT-ovi, veliki operateri i sigurnosne organizacije kako bi se informacija što brže proširila, te popravila na svim mjestima gdje je potrebno", navodi.

Etički pristup umjesto zarade

Iznosimo mu riječi spomenutog Juranića koji je napisao da je ovu ranjivost mogao "prodati za masne pare". Zamolili smo ga da nam pojasni kako tržište tu funkcionira.

"Nažalost, postoji tržište na kojem se ranjivosti kupuju i prodaju. Kupci mogu biti države, obavještajne službe ili kriminalne skupine, a iznosi za ozbiljne ranjivosti u temeljnoj infrastrukturi mogu dosezati desetke ili stotine tisuća eura, ponekad i više. Razlika je u namjeni: hoće li se znanje iskoristiti za napad ili za zaštitu.

Svjesno sam odabrao odgovorno prijavljivanje jer vjerujem da sigurnost interneta nije nešto što bi smjelo biti privatno oružje. Internet je zajedničko dobro, a odgovorno postupanje dugoročno donosi više koristi svima", poručuje.

Za Košturjaka kažu da je bijeli haker. Pitamo ga za kraj što to konkretno znači.

"Bijeli haker je osoba koja koristi hakerske tehnike kako bi sustave učinila sigurnijima, uz dopuštenje i u zakonskim okvirima. Za razliku od stereotipa o hakerima kao kriminalcima, ovdje se radi o istraživanju, analizi i prijavljivanju problema, a ne o iskorištavanju. To je putovanje gdje je dubinsko poznavanje rada sustava i istraživanje na prvom mjestu, a cilj nije šteta, nego prevencija", objasnio je Košturjak za Index.