Fina u međunarodnom skandalu. Rakar: "Ovo je usporedivo s onim što radi Sjeverna Koreja"

Ti lažni certifikati mogli su omogućiti zlonamjernim hakerima da se lažno predstavljaju kao Cloudflareov servis, inače ključan za sigurno funkcioniranje interneta. Stručnjaci s kojima je Index razgovarao ovaj incident nazivaju ozbiljnom zloupotrebom povjerenja u sigurnost interneta.

DNS je, pojednostavljeno, internetski imenik koji prevodi lako pamtljive nazive web stranica poput www.index.hr u numeričke IP adrese, koje računala koriste za pronalazak web stranica. Cloudflare pritom dodatno ubrzava i štiti promet interneta, braneći korisnike od hakerskih napada i preopterećenja

"Ovo je usporedivo s onim što radi Sjeverna Koreja"

Prema dostupnim podacima, Fina je certifikate izdala zbog “internih testiranja” u stvarnom sustavu, što stručnjaci smatraju ozbiljnim sigurnosnim propustom. Iako nema dokaza da je netko zloupotrijebio te Finine lažne certifikate, ovaj incident otkriva krhkost povjerenja na internetu i važnost rigorozne kontrole autoriteta koji izdaju takve digitalne potvrde.

Fina je, naime, u Hrvatskoj ovlaštena za izdavanje digitalnih certifikata odnosno potvrda koje u elektroničkim transakcijama predstavljaju elektronički identitet vlasnika certifikata te omogućavaju sigurnu i povjerljivu komunikaciju internetom.  

Za informatičkog stručnjaka Marka Rakara incident koji je napravila Fina je ništa drugo nego "zloupotreba povjerenja epskih razmjera koje su usporedive s onim što rade Sjeverna Koreja ili Kina".

Lucijan Carić pak navodi da je Fina "izazvala međunarodni internetski sigurnosni incident i skandal".

Gotovo svi informatički stručnjaci, među kojima i ugledni portal ArsTechnica, upozoravaju koliko je povjerenje u sigurnost interneta krhko ako institucije koje izdaju certifikate pogriješe.

Fina: Nije ugroženo povjerenje u nas

Sama Fina u odgovoru na upit Indexa tvrdi kako nije ugroženo povjerenje u izdavanje certifikata te inzistiraju na tome da su oni "visoko regulirana organizacija" i da su "samo testirali".

"Certifikati, kao ni privatni ključevi, nisu izašli iz okruženja Fine niti su certifikati izdavani izvan Fine. Navedeno je i regulirano procedurama izdavanja takvih certifikata za potrebe testiranja", naglašavaju iz Fine. Kažu i da se, prilikom testiranja, dogodila pogreška u formiranju IP adrese i za navedenu pogrešku odgovorna je Fina.

Na primjedbu Indexa kako su vodeće globalne tehnološke tvrtke i stručnjaci javno upozorili na manjkavosti Fininih sigurnosnih procedura, u Fini kažu kako one nisu manjkave i odvojive su od propusta koji se dogodio u ovom izdvojenom slučaju.

"Fina je visoko regulirana organizacija i redovito se provode nadzori i kontrola te se potvrđuje sukladnost u poslovanju. U ovom konkretnom slučaju radi se o propustu/pogrešci za koju je potrebno izvršiti korekcije u politikama koje propisuju izdavanje testnih certifikata te poduzeti mjere kako bi se izbjegla mogućnost ljudske pogreške.

Poduzet ćemo sve aktivnosti kako bismo navedeno dokazali. Odbijamo tvrdnju da je ugroženo povjerenje u izdavanje certifikata. Fina je 23 godine izdavatelj digitalnih certifikata, odnosno strogo regulirani ovjerovitelj usluga povjerenja. Korisnici i sustavi nisu niti će biti ugroženi zbog jedinstvene pogreške koja se dogodila prilikom testiranja TLS certifikata", stoji u odgovoru Fine na upit Indexa.