BIND (Berkeley Internet Name Domain) jedan je od ključnih dijelova internetske infrastrukture. Riječ je o DNS (Domain Name System) poslužitelju na koji se oslanjaju telekomi, internetski operatori i hosting provideri diljem svijeta. Kao i bilo koji drugi složeni softver, BIND nije statičan sustav, već se stalno razvija i dobiva nove funkcionalnosti. Među novijim nadogradnjama su i mehanizmi koji omogućuju identifikaciju uređaja poput dronova.
Upravo iza te, naizgled strogo tehničke priče, krije se povod za razgovor s Vlatkom Košturjakom, direktorom istraživanja i razvoja (VP of Research and Development) tvrtke Marlink Cyber, nekadašnje hrvatske tvrtke Diverto, u kojoj radi već 14 godina.
Kako se ruši DNS bez upada na server
Pitali smo Vlatka Košturjaka kako bi prosječnom čitatelju Buga objasnio što je napadač morao poslati da bi iskoristio ranjivost u BIND-u i srušio DNS poslužitelj. Riječ je o propustu označenom kao CVE-2025-13878, koji je Košturjak uočio i prijavio ISC-u, organizaciji koja razvija BIND. Prema njegovim riječima, ključ je u DNS upitu koji na prvi pogled izgleda potpuno ispravno. No, upit je složen na vrlo specifičan način, koristeći relativno novi dio DNS standarda koji se odnosi na identifikaciju dronova, odnosno uređaja koje možemo promatrati kao IoT sustave u zraku. Riječ je o takozvanim HHIT i BRID DNS zapisima, koje je u tom trenutku implementirao isključivo BIND. Kada takav upit stigne na poslužitelj, on ga prihvaća kao valjan, ali se tijekom interne obrade aktivira programska greška koja zaustavlja cijeli DNS servis.
Posebno je neugodno to što napadač pritom ne mora imati nikakav pristup sustavu, ne mora znati kako je DNS konfiguriran i ne mora probijati zaštitu poslužitelja. Dovoljno je da može slati DNS upite prema ciljanom serveru. Posljedica je klasični “denial-of-service” scenarij, u kojem DNS prestaje odgovarati korisnicima, a s njim padaju i sve usluge koje se na njega oslanjaju.
Koliko je teško pronaći ovakvu ranjivost?
To se vidi i u brojkama. Tijekom 2025. godine za BIND je objavljeno svega sedam sigurnosnih ranjivosti. Među onima koji su ih otkrili nalaze se i istraživači sa sveučilišta poput Hebrew University of Jerusalem ili kineskog Tsinghua Universityja, koji se često naziva kineskim MIT-om. Riječ je o institucijama iz zemalja koje u sigurnost interneta i digitalnog prostora ulažu ozbiljna sredstva. Osim akademske zajednice, BIND je pod stalnim nadzorom i velikih tehnoloških tvrtki. Među njima je i Google, koji kroz projekte poput OSS-Fuzza kontinuirano i automatizirano traži greške u otvorenom kodu koristeći vlastitu infrastrukturnu snagu. Takvi sustavi svakodnevno “bombardiraju” softver milijunima testnih ulaza u potrazi za neočekivanim ponašanjem.
Drugim riječima, kad se ranjivost ipak pojavi u softveru poput BIND-a, to nije zato što ga nitko ne gleda, nego upravo suprotno. Gleda ga gotovo cijeli svijet, stalno i vrlo temeljito, što samo dodatno naglašava koliko je i najkritičnija internetska infrastruktura u praksi krhka. Pritom se nameće i vrlo konkretno pitanje: koga ovakva ranjivost u praksi uopće pogađa?
Tko zapravo koristi BIND i zašto to nije rubna priča
Na prvu se može učiniti da ovakva ranjivost pogađa tek “drugu ligu” internetske infrastrukture, jer veliki globalni igrači poput Googlea, Cloudflarea ili Amazona već godinama koriste vlastita DNS rješenja. No, kako objašnjava Košturjak, ni ti sustavi ne funkcioniraju u vakuumu. Svaki DNS upit, prije nego što završi na infrastrukturi velikih platformi, mora krenuti od početka. A taj početak su korijenski, odnosno root nameserveri, temelj DNS sustava koji odlučuje tko je zadužen za domene poput .com, .org ili .hr. Upravo na toj razini, ističe Košturjak, ISC BIND i dalje ima vrlo snažnu prisutnost, često u različitim kombinacijama i prilagođenim implementacijama.
Izvan samog “vrha” interneta, BIND ostaje iznimno raširen i u svakodnevnoj infrastrukturi. Telekomi i pružatelji internetskih usluga, hosting tvrtke, državne institucije, sveučilišta, istraživačke mreže i velike organizacije koje same održavaju vlastite sustave i dalje se u velikoj mjeri oslanjaju upravo na BIND. Razlog je jednostavan: riječ je o provjerenom, fleksibilnom i široko podržanom rješenju koje se godinama uklapalo u postojeće mrežne arhitekture.
Slična je situacija i u Hrvatskoj. Iako Košturjak ne želi imenovati konkretne tvrtke, potvrđuje da je BIND vrlo raširen među domaćim operatorima i u institucionalnom okruženju. Zbog toga ova ranjivost nije tek akademski problem ili teorijski scenarij s konferencijskih slajdova, već nešto što ima vrlo stvaran i lokalni kontekst. Drugim riječima, iako najveći internetski servisi možda neće osjetiti izravne posljedice, infrastruktura na kojoj se oslanja velik dio svakodnevnog internetskog prometa i dalje koristi softver koji se našao u središtu ove priče.
Što se događa nakon otkrića ranjivosti?
Otkrivanje ranjivosti u softveru koji čini temelj internetske infrastrukture nije prostor za improvizaciju. Kako objašnjava Košturjak, ne postoji jedinstveni postupak za sve organizacije, ali je kod ISC-a, organizacije koja razvija BIND, proces strogo definiran. Nakon potvrde ranjivosti slijedi povjerljiva prijava razvojnome timu, bez javnog istupanja. Cilj je jednostavan, spriječiti da informacija o problemu, sama postane okidač za napade. Slijedi tehnička provjera, u kojoj se utvrđuje radi li se o stvarnoj ranjivosti s realnim posljedicama, a ne o pogrešnoj konfiguraciji ili rubnom slučaju. Tek tada kreće izrada zakrpe.
U ovom slučaju, od prve prijave do objave sigurnosnog upozorenja prošlo je više od mjesec dana, što Košturjak smatra razumnim rokom za ovako osjetljiv dio internetske infrastrukture. Kod DNS-a loša zakrpa može napraviti više štete od same ranjivosti, pa odgovorno otkrivanje gotovo uvijek traje dulje nego što bi javnost očekivala.
Jedno od najosjetljivijih pitanja u sigurnosnoj industriji nije samo kako otkriti ranjivost, nego kako o njoj govoriti, a da se pritom ne pomogne napadačima. Taj se pristup u struci naziva odgovorno otkrivanje (responsible disclosure) i svodi se na jednostavno pravilo: detalji se objavljuju tek kada zakrpa postoji i korisnici imaju realnu mogućnost ažuriranja. Ukratko, cilj nije sakriti problem, nego kupiti vrijeme prije nego što postane oružje.
Tko napada, koga pogađa i gdje je Hrvatska u toj priči
Kad se govori o ranjivostima poput ove u BIND-u, važno je razumjeti da ne postoje svi napadi iz istog razloga niti s istim ciljevima. Kako objašnjava Košturjak, današnju sigurnosnu scenu čini nekoliko jasno različitih skupina.
Najvidljivije su kriminalne skupine, kojima je motiv isključivo novac. Njihovi napadi su brzi, glasni i usmjereni na iznudu, krađu podataka ili ucjene. S druge strane stoje državno sponzorirane skupine, čiji su ciljevi politički i geostrateški. One si mogu priuštiti vrijeme, strpljenje i dugotrajno neprimjetno djelovanje, često bez ikakvih vidljivih posljedica mjesecima. Postoje i ideološki motivirani napadači, takozvani hacktivisti, čiji su napadi često oportunistički i vezani uz aktualne političke ili društvene događaje. Konačno, velik dio interneta svakodnevno pogađaju automatizirane kampanje i botneti koji ne biraju žrtvu po državi ili važnosti, nego jednostavno skeniraju mrežu u potrazi za nezaštićenim sustavima.
Hrvatska je češće kolateralna žrtva nego primarna meta. Napadače rijetko zanima gdje se sustav nalazi, zanima ih je li ranjiv. Nezakrpani server u Zagrebu jednako je zanimljiv kao i onaj u Berlinu ili New Yorku. Istodobno, državne institucije i kritična infrastruktura uvijek ostaju potencijalna meta u širem geopolitičkom kontekstu, a kompromitirana domaća infrastruktura može poslužiti i kao odskočna daska za napade drugdje. No, iako se ovakve ranjivosti često doživljavaju kao nešto što se otkriva “negdje vani”, pitanje je gdje se u toj slici nalazi Hrvatska?
Košturjakov odgovor na to pitanje kratak je i jasan: znanja ima, ali krug je malen. Hrvatski sigurnosni ekosustav, kaže, čini relativno mali broj vrhunskih stručnjaka, često pojedinaca koji rade tiho i bez velike vidljivosti. Problem pritom nije nedostatak ekspertize, nego manjak dugoročnih istraživačkih projekata, slaba međunarodna prisutnost i kontinuirani odljev ljudi prema inozemstvu. U usporedbi sa zemljama poput Slovenije ili Rumunjske, Hrvatska ima manju institucionalnu vidljivost, ali individualna razina znanja nimalo ne zaostaje.
Kao primjer navodi Ivana Krstića, koji danas vodi sigurnost Appleovih proizvoda, te Ivana Fratrića, člana Googleova Project Zero tima, čiji je posao pronalaziti upravo ovakve sigurnosne propuste. Riječ je o ljudima hrvatskih korijena koji su karijere izgradili na samom vrhu globalne sigurnosne scene, što istovremeno potvrđuje kvalitetu znanja i slabost domaćeg sustava koji ih nije zadržao.
Sigurnost ne počinje u data centru
Iako se ovakve ranjivosti otkrivaju i rješavaju na razini velikih sustava i internetske infrastrukture, velik dio svakodnevnih sigurnosnih problema ne nastaje zbog sofisticiranih napada, nego zbog banalnih propusta na korisničkoj strani.
Kako ističe Košturjak, iznenađujuće velik broj napada i dalje se oslanja na slabe ili ponovljene zaporke, izostanak višefaktorske autentikacije i neažurirane sustave. Upravo su takve “sitnice” u praksi često razlika između kompromitiranog sustava i onoga koji napadač jednostavno preskoči. Različite zaporke, uključena dvofaktorska autentikacija, redoviti sigurnosni updateovi i osnovna zaštita kućnih mreža, poput WPA2 ili WPA3 enkripcije, i dalje su najjeftinija i najučinkovitija obrana.
Za Košturjaka interes za sigurnost nikad nije bio apstraktan. Još u srednjoškolskim danima, dok je Internet tek hvatao zamah, vodio je vlastiti BBS u Našicama i vrlo rano naučio kako sustavi “pucaju” kad ih se gleda ispod haube. Prvi prijavljeni sigurnosni propust, ali i reakcija tadašnjeg sysopa Željka Kristeka, koji je grešku popravio i nagradio povjerenjem, odredili su smjer karijere koja je kasnije vodila kroz programiranje, sistemsku administraciju i sigurnosne timove u industriji.
Danas, kad se napadi ubrzavaju, automatiziraju i sve češće koriste alate umjetne inteligencije, Košturjak upozorava da tehnologija sama po sebi ne donosi ni sigurnost ni nesigurnost. Generativna AI samo pojačava ono što već postoji, u rukama onih koji razumiju sustave može biti snažan alat obrane, ali bez znanja lako postaje izvor novih problema.
Zato njegov savjet mladima koji razmišljaju o karijeri u sigurnosti ostaje prizemljen: naučiti osnove, graditi vlastite sustave, razumjeti kako stvari rade i tek onda birati smjer specijalizacije. Sigurnost nije jedno znanje ni jedan alat, nego način razmišljanja koji se gradi godinama. U svijetu u kojem internetska infrastruktura postaje sve složenija, a prijetnje sve brže, to možda zvuči banalno. U praksi, upravo se na toj kombinaciji znanja, odgovornosti i strpljenja odlučuje hoće li internet raditi, ili će stati zbog jednog “ispravnog” DNS upita.
