VRP tlačiarňe a platobné terminály pre Android zariadenia.

Ako hacknúť systém eKasa

Dnes boli zverejnené informácie o tom, ako ľahko sa dá eKasa „oklamať“. Správu o tom prinieslo Investigatívne centrum Jána Kuciaka, ktoré zdokumentovalo ako niekoľko etických hackerov skúsilo preloviť zabezpečenie eKasy.

Všetkých prekvapilo, že sa to podarilo bez veľkých problémov. Vytvorili jednoduchý program, ktorý obišiel Chránené dátové úložisko (CHDÚ). To úložisko, ktoré musíte mať certifikované od Finančnej správy.

Pri systéme eKasa  hovoríme o projekte, ktorý nás, daňových poplatníkov, stál stovky tisíc, ba dokonca miliony eur na vytvorenie. Pri prvej snahe sa podarilo systém znefunkčniť a tak „zbraň proti daňovým únikom a podvodom“ sa stala razom bezvýznamná. 

Situácia je o to vážnejšia, nakoľko nový zákon prikazuje sa napojiť na tento systém takmer všetkým podnikateľom.


eKasa vs ERP

Ak porovnáme zabezpečenie starších elektronických registračných pokladníc (ERP) a systému eKasa, treba povedať, že klasické ERP boli voči takýmto „útokom“ zabezpečené oveľa lepšie. 

Doterajšie ERP používali na zálohovanie údajov fiškálnu pamäť, kde sa všetky operácie zapisovali a po zápise ich nebolo možné zmeniť alebo zmazať. Hacknúť ERP bolo oproti eKase poľa slov etických hackerov z firmy Nethemby oveľa zložitejšie. „Ak chcel niekto podvádzať, potreboval k tomu skúseného technika. Musel zložito, a hlavne preukázateľne, zasiahnuť do firmvéru pokladne.“

„Ak chcel niekto podvádzať, potreboval k tomu skúseného technika. Musel zložito, a hlavne preukázateľne, zasiahnuť do firmvéru pokladne.“

ICJK.sk

Etickí hackeri nie sú zločinci.

Pre vysvetlenie, etickí hackeri sú experti IT bezpečnosti, ktorí sa snažia prelomiť bezpečnosť systémov. Ich cieľom nie je napáchať škody alebo získania informácii, ale práve naopak. Etickí hackeri chcú prísť a poukázať na hrozbu slabého zabezpečenia systému, aby sa majiteľ vydeľ v budúcnosti takýmto hrozbám vyvarovať.

Ako uvádza ICJK, problém je pomerne jasný a je ťažko pochopitelné, čoho sa Finančná správa dopustila.

Ekasa je vlastne jeden celok pozostávajúci z dvoch častí – z pokladničného programu a z chráneného dátového úložiska. A azda by to aj mohlo fungovať, keby softvér používal na komunikáciu s chráneným úložiskom šifrované spojenie. Pôvodne to tak malo byť, táto požiadavka bola medzi podmienkami certifikácie, ktorú museli výrobcovia pokladníc získať od finančnej správy. Neskôr však daniari od tohto nároku ustúpili. Nevedno prečo, máme len indície, ale práve preto je možné novú eKasu obísť spôsobom, ktorý zvládne aj dieťa, ktoré sa dokáže naučiť klikať myšou.”

ICJK.sk

Hacknúť eKasu bolo jednoduché

Na „hacknutie“ systému eKasa nebolo treba nijak zásadne zasiahnuť do systému. Páni z Nethemba vytvorili program, ktorý sa spojil s chránením dátovým úložiskom a pred systémom sa tváril ako zmienené CHDÚ. Ako sami uvádzajú, svoje CHDÚ môžete následne vyhodiť.

„Jednoduchý emulátor poskytuje používateľovi všetky možnosti, aké si len môže daňový podvodník želať. Verzia, ktorú nám predviedli, má jednoduché a používateľsky komfortné rozhranie, na ktorom si len zakliknete myšou, čo potrebujete: Môžete vytlačiť pre zákazníka doklad, ktorý systém nikdy neodošle na portál finančnej správy. Emulátor za vás vytvorí pravidlo vo firewalle operačného systému, ktorý dáta zahodí a neodošle. Zároveň nahradí identifikačné údaje pokladne náhodnými znakmi, takže spätne ju už nie je možné identifikovať. Ak si budete takýto doklad overovať cez portál finančnej správy, nezistíte, že doklad je neplatný, dostanete len hlásenie, že doposiaľ nebol zaregistrovaný.“

ICJK.sk

Iný spôsob, ako krátiť daň z príjmu je pomocou takéhoto programu, je opakovane tlačiť ten istý doklad nakoľko sa doklad spätne nedá overiť. Asi žiadna kontrola nikdy nezistí, že si do dve alebo viac firiem dalo do nákladov rovnaký tovar kúpený na sekundu v rovnaký čas. 

Zaujímavá je aj informácia ohľadom získavania certifikácii pokladní. Dlhoroční a skúsení výrobcovia, ktorí predkladali pokladne so šifrovanou komunikáciou na certifikáciu, certifikát nezískali. Tí výrobcovia, ktorí sa rozhodli použiť modul od firmy CHDÚ, s.r.o, ktorá je v danej oblasti nováčikom, s certifikáciou nemali problém.


Názor jednotlivých strán si môýete pozrieť na nasledovných odkazoch a videách.

Prehovoril hacker, ktorý nabúral eKasu: Aké sú diery v systéme za 18 miliónov eur?


Riešenie

Jediným spôsobom, ako môže Finančná správa opraviť túto fatálnu chybu je, že systém si bude vynucovať šifrovanú komunikáciu.

V nasledovnom videu vysvetľuje Pavol Lupták z Nethemba ako problém vyriešiť http://icjk.sk/wp-content/uploads/2019/11/E-kasa-rozhovor.mp4

Na záver možno len dodať, že aj systém eKasa odzrkadľuje stav a pripravenosť štátnych IT projektov často v hodnote miliónov EUR. Nakoľko používanie systému eKasa je prikázané zákonom, vyhnúť sa mu nemôžme. 

Možno sa v nasledovných mesiacoch stretneme s hromadiacimi sa prípadmi pokladničných dokladov, ktoré sa nedajú spätne overiť. Tu si však musí splniť svoju úlohu štát, systém opraviť a zabrániť jeho zneužívaniu.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Bločkomat