Prinášame čitateľom DENNÍKa POLITIKA príspevok v rámci rubriky ZAUJÍMAVOSTI – VÝBER Z RÔZNYCH ZDROJOV BEZ CENZÚRY v úplnom a necenzúrovanom znení ako bol uverejnený na web portále TU
Ako sme „hackli“ eKasu: podvádzať na daniach nikdy nebolo jednoduchšie, úvádza investigatívne centrum Jána Kuciaka:
Finančná správa si zrátala, že rôzni predajcovia tovarov a služieb ju okradnú na DPH zhruba o pol miliardy eur ročne. Zavádza teda registračné pokladnice, ktoré každý predaj automaticky zaregistrujú priamo na jej serveroch. Investigatívne centrum Jána Kuciaka však zistilo, že nový online systém umožňuje obchádzať platenie daní omnoho jednoduchšie a v omnoho väčšej miere, ako staré registračné pokladnice. Funkčnosť nových pokladníc pre ICJK preverili etickí hackeri zo spoločnosti Nethemba a ich záver je jednoznačný: „Súčasné riešenie má fatálne bezpečnostné nedostatky a pokladáme ho za menej bezpečné, ako predošlé,“ konštatuje Pavol Lupták z Nethemby.
Napojenie na portál Finančnej správy sa týka približne 230 tisíc pokladníc a je jedným z jej najväčších projektov vôbec. „Suma daňovej medzery na DPH v sektoroch HORECA (hotely, reštaurácie, kaviarne), maloobchod a služby len v roku 2014 dosahovala výšku až 491 miliónov eur,“ vysvetľuje finančná správa na svojom portáli. „Od zavedenia eKasy si finančná správa sľubuje zníženie daňovej medzery na DPH v uvedených sektoroch. Finančná správa zavádza projekt online napojenia všetkých pokladníc na portál finančnej správy – eKasa.“
Princíp eKasy je vo svojej podstate jednoduchý a mohol by byť aj funkčný. Väčšina pokladníc je v podstate len počítač prepojený s tlačiarňou. Doteraz boli kasy vybavené špeciálnou fiškálnou pamäťou, do ktorej sa ukladali denné uzávierky. Dáta sa do nej dali iba zapisovať, následne ich mazať alebo meniť nebolo možné. Bola zaplombovaná a hacknúť ju síce nebolo nemožné, ale ani jednoduché. Ak chcel niekto podvádzať, potreboval k tomu skúseného technika. Musel zložito, a hlavne preukázateľne, zasiahnuť do firmvéru pokladne.
Nová eKasa nemá fiškálnu pamäť, ale takzvané chránené dátové úložisko, skrátene CHDÚ, v ktorom sa zapísané údaje taktiež nedajú meniť či mazať. Pokladnica ich automaticky odosiela finančnej správe. Pokiaľ je dočasne mimo siete, údaje o platbách sa automaticky odošlú okamžite po obnovení spojenia. Predajca je povinný zabezpečiť odoslanie bločkov vydaných offline do 48 hodín. Na vytlačenom doklade je QR kód, pomocou ktorého si zákazník môže overiť, či sa tak naozaj stalo. Ten zároveň aj obsahuje údaje o predajcovi.
Ekasa je vlastne jeden celok pozostávajúci z dvoch častí – z pokladničného programu a z chráneného dátového úložiska. A azda by to aj mohlo fungovať, keby softvér používal na komunikáciu s chráneným úložiskom šifrované spojenie. Pôvodne to tak malo byť, táto požiadavka bola medzi podmienkami certifikácie, ktorú museli výrobcovia pokladníc získať od finančnej správy. Neskôr však daniari od tohto nároku ustúpili. Nevedno prečo, máme len indície, ale práve preto je možné novú eKasu obísť spôsobom, ktorý zvládne aj dieťa, ktoré sa dokáže naučiť klikať myšou.
Pavol Lupták z bezpečnostnej firmy Nethemba demonštruje použitie emulátora CHDÚ.
„To, čo sme urobili, nie je nijaký hack,“ smeje sa Pavol Lupták z bezpečnostnej firmy Nethemba. „Nepotrebovali sme zasiahnuť do softvéru pokladnice ani do hardvéru chráneného úložiska.“
Etickí hackeri z Nethemba napísali jednoduchý emulátor, čiže program, ktorý sa spojí s chráneným úložiskom, skopíruje ho a ďalej sa pred pokladnicou tvári ako modul CHDÚ. „Pôvodné CHDÚ môžete odpojiť a odložiť,“ vysvetľuje Lupták.
Jednoduchý emulátor poskytuje používateľovi všetky možnosti, aké si len môže daňový podvodník želať. Verzia, ktorú nám predviedli, má jednoduché a používateľsky komfortné rozhranie, na ktorom si len zakliknete myšou, čo potrebujete: Môžete vytlačiť pre zákazníka doklad, ktorý systém nikdy neodošle na portál finančnej správy. Emulátor za vás vytvorí pravidlo vo firewalle operačného systému, ktorý dáta zahodí a neodošle. Zároveň nahradí identifikačné údaje pokladne náhodnými znakmi, takže spätne ju už nie je možné identifikovať. Ak si budete takýto doklad overovať cez portál finančnej správy, nezistíte, že doklad je neplatný, dostanete len hlásenie, že doposiaľ nebol zaregistrovaný.
Zákazník nezistí, že doklad je falošný, dozvie sa iba, že nebol zaregistrovaný.
Pri teste sme použili modul CHDÚ od firmy CHDU, s.r.o., ktorý používa zhruba polovica všetkých certifikovaných pokladníc. Firma začala pod týmto názvom existovať vo februári tohto roku, v čase, keď sa začala rozbiehať certifikácia nových pokladníc. Nikdy predtým v tejto oblasti nepodnikala. Jej sídlo bolo pôvodne zaregistrované v petržalskej bytovke, neskôr ju presunuli do inej budovy, kde sídli viacero spoločností.
Renomovaní výrobcovia, ktorí predkladali vlastné pokladnice s chránenými úložiskami so šifrovanou komunikáciou certifikát nezískali. Výrobcovia, ktorí sa rozhodli použiť modul CHDÚ od firmy CHDU problémy s certifikáciou nemali.
Spoločnosť CHDU, s.r.o. sa objavila na trhu vo februári tohto roku a už vtedy vedela, že dostane od finančnej správy výnimku.
Redakcia ICJK disponuje kópiou emailu, v ktorej zástupca firmy CHDU už vo februári informuje výrobcu pokladničného softvéru, že „šifrovanú komunikáciu nebudeme robiť, nakoľko nám finančná správa dala na naše zariadenie výnimku“. O niekoľko mesiacov, v júli tohto roku, finančná správa aj oficiálne zaviedla výnimky na šifrovanú komunikáciu s chráneným úložiskom.
„Fatálna chyba v bezpečnostnom dizajne eKasy sa dá čiastočne opraviť len tak, že systém bude vynucovať šifrovanú komunikáciu medzi pokladničným softvérom a chráneným dátovým úložiskom,“ tvrdí Lupták z Nethemby. „Aj tak by sa systém dal hacknúť, ale to by sme už museli zasiahnuť do jeho kódu, čo by sa dalo zistiť,“ vysvetľuje. „V tomto prípade sme sa samotného systému ani nedotkli a nijaký zásah nie je spätne žiadnym spôsobom preukázateľný. Náš emulátor môžete spustiť aj z virtuálneho disku a po vypnutí počítača po ňom neostane žiadna stopa. Aj keby vám finančná správa alebo polícia zhabala celý systém, nenašli by v ňom nič, čím by vám mohli dokázať podvod.“
Redakcia ICJK má k dispozícii zdrojový kód emulátora CHDÚ a je pripravená poskytnúť ho úradom na preskúmanie a overenie. V tomto okamihu nie je nikde voľne k dispozícii, ani neexistuje vo forme užívateľsky jednoducho inštalovateľnej a spustiteľnej aplikácie. V prostredí predajcov pokladníc sa však začína hovoriť o tom, že podobné aplikácie by mohli byť na čiernom trhu už čoskoro k dispozícii.
V čase uverejnenia článku sme požiadali o stanovisko Finančnú správu aj spoločnosť CHDU, s.r.o., ich reakcie doplníme, keď nám ich zašlú.
Podrobnú správu o posúdení bezpečnosti eKasy od spoločnosti Nethemba si môžete prečítať tu a tu.
Ďakujeme Pavlovi za TIP.
Vaše TIPY do DENNÍKa POLITIKA zasielajte na email: TIPYdoDENNIKA@dennikpolitika.sk
NECENZUROVANÉ SPRÁVY ALEBO BULVÁR – prečítajte si, čo je DENNÍK POLITIKA – TU
DENNÍK POLITIKA vznikol ako projekt skupiny nezávislých novinárov a podnikateľov s cieľom zaplniť medzeru na mediálnom trhu a poskytovať správy v takej podobe, ako boli prijaté. V praxi to znamená, že prijatá správa sa nekomentuje (ak sa nejedná o komentár), ale sa podáva v tej podobe, ako bola získaná. Nechávame na čitateľovi, aby si vytvoril svoj vlastný názor. Správy necenzurujeme a necenzurujeme a ani nelimitujeme diskusiu. V tomto sme na európskom mediálnom trhu ako jediní, čo je tvrdenie, ktoré môžeme spoľahlivo dokázať. Veríme totiž, že sloboda slova je absolútna a nie relatívna, ako to je zakotvené v trestnom zákone takmer všetkých európskych krajín, vrátane Slovenska. Ak niekto zaručuje slobodu slova, ale obmedzuje ju tým, že tresce prejavy neznášanlivosti, útoky na inú rasu, náboženstvo, či etnickú skupinu – vlastne tú deklarovanú slobodu slova ruší. Kto totiž určuje ČO JE NEZNÁŠANLIVOSŤ a ČO JE ÚTOK NA INÚ ETNICKÚ SKUPINU? Zase len niekto konkrétny a robí to po línii svojich záujmov.
Poskytujeme priestor KAŽDÉMU, každej politickej strane – a čitatelia si určite všimli, že v tomto nerobíme rozdiel. Môže niekoho nahnevať, že dávame priestor niekomu, kto kritizuje jeho postoje, ale na druhej strane dáme priestor aj na reakciu, či na vlastný príspevok. Doteraz sme ešte NIKOHO neodmietli.
Vieme o tom, že náš denník nie je pre každého. Z tohto predpokladu sme aj vychádzali. Nie každý si chce myšlienky a správy utrieďovať sám. Sú ľudia, čo potrebujú spriaznenosť a pocit spolupatričnosti. DENNÍK POLITIKA je však pre týchto ľudí sklamaním. Poskytuje priestor pre každého a je jednak VÝBEROM informácií z celého sveta a na druhej strane FÓROM na vyjadrovanie pre čitateľov.
Ak sa niekomu zdá, že informácie, ktoré uverejňujeme sú nepravdivé, zavádzajúce a zbytočne škandalózne – mimo realitu, na to máme jednu odpoveď: Môže sa stať aj to. Tak ako všade inde, aj my máme rôzne zdroje informácií, externých spolupracovníkov a chyba sa môže stať. Na druhej strane uverejňujeme informácie, ktoré neuverejní NIKTO a to preto, že má strach alebo sa snaží ich zamlčať.
Čitatelia určite vedia o existencii WIKILEAKS. Jedná sa o sumár neuveriteľne znejúcich faktov a mnoho ľudí tieto informácie nikdy nevidelo. Môžu im veriť a nemusia, nič menej tieto informácie existujú a veľmi pravdepodobne sú aj pravdivé.
Pravda zvykne bolieť najviac. To je fakt, s ktorým sme počítali pri tvorbe nášho denníka, ale práve v tomto sme sa rozhodli nespraviť ústupok a presadzovať nezávislé informovanie a slobodu slova.
Na záver:
Chcete nám pomôcť skvalitniť a zlepšiť DENNÍK POLITIKA? Chcete nám pomôcť informovať verejnosť NESTRANNE, SLOBODNE A NEZÁVISLE ešte lepšie?
Uvítame pomoc stálych prekladateľov (angličtina, francúzština, španielčina, ruština, nemčina, prípadne aj iné jazyky), tvorcov videí, grafikov, informačných analytikov, autorov článkov, programátorov, študentov žurnalistiky, novinárov, jazykových korektorov/korektorky, proste každého, kto chce nejakým rozumným spôsobom zlepšiť obsah DENNÍKA POLITIKA.
Ozvite sa nám na:
alebo na FB
Zdroj: TU
