Investigatívne centrum Jána Kuciaka (ICJK) skúsilo s etickými hackermi prelomiť systém eKasy. Sami boli prekvapení, ako ľahko sa to podarilo. Vytvorením jednoduchého programu obišli zariadenie, ktoré s finančnou správou komunikuje.
"Nový systém eKasy má fatálnu chybu vo svojom dizajne a je vlastne úplne zbytočný. Staré pokladnice boli v každom ohľade lepšie zabezpečené proti zneužitiu,“ konštatuje pre ICJK Pavol Lupták z Nethemby, spoločnosti, ktorá "hack" realizovala.
Finančná správa zaviedla systém eKasy ako súčasť opatrení na boj proti daňovým podvodom. "Suma daňovej medzery na DPH v sektoroch HORECA (hotely, reštaurácie, kaviarne), maloobchod a služby je však stále vysoká. Len v roku 2014 dosahovala výšku až 491 miliónov eur," píše sa na stránke finančnej správy.
Podľa hackerov z Nethemby však má nový systém, na ktorý musia byť od júla celoplošne napojení všetci podnikatelia, zásadný problém. Informácie odosielané finančnej správe nie sú šifrované a dajú sa relatívne ľahko oklamať.
Problém s chráneným dátovým úložiskom
"Doteraz boli kasy vybavené špeciálnou fiškálnou pamäťou, do ktorej sa ukladali denné uzávierky. Dáta sa do nej dali iba zapisovať, následne ich mazať alebo meniť nebolo možné. Bola zaplombovaná a hacknúť ju síce nebolo nemožné, ale ani jednoduché," píše ICJK.
Nová eKasa však nemá fiškálnu pamäť, ale chránené dátové úložisko (CHDÚ). Toto úložisko automaticky odosiela informácie finančnej správe. Na bločku z eKasy je QR kód, ktorým si zákazník môže overiť jeho správnosť.
"Ekasa je vlastne jeden celok pozostávajúci z dvoch častí – z pokladničného programu a z chráneného dátového úložiska. A azda by to aj mohlo fungovať, keby softvér používal na komunikáciu s chráneným úložiskom šifrované spojenie. Pôvodne to tak malo byť, táto požiadavka bola medzi podmienkami certifikácie, ktorú museli výrobcovia pokladníc získať od finančnej správy. Neskôr však daniari od tohto nároku ustúpili," píše portál.
Program simuluje funkcie úložiska
Hackeri zo spoločnosti Nethemba napísali program, ktorý simuluje funkciu CHDÚ. Môžete v ňom zákazníkovi vytlačiť doklad na nerozoznanie od toho pravého. Informácie z neho sa však do finančnej správy neodošlú. Ak by ste si takýto doklad overovali prostredníctvom QR kódu, nezistíte, že je neplatný, len že doposiaľ nebol zaregistrovaný.
Program tiež umožňuje opakovanú tlač originálneho dokladu, tým pádom si ten istý nákup môže do nákladov dať ľubovoľný počet podnikateľov. "Kontrola zistí len to, že doklad je v poriadku. Šanca, aby kontrolór zistil, že dvaja podnikatelia kúpili ten istý tovar v tom istom čase v tom istom obchode, je v praxi nulová," píše ICJK.
Chýba šifrovaná komunikácia
Investigatívne centrum dáva do pozornosti aj fakt, že zariadenie CHDÚ, ktoré používa približne polovica pokladníc, pochádza od firmy, ktorá začala pod názvom CHDU, s.r.o. fungovať len vo februári tohto roku a v tejto oblasti dovtedy nepodnikala.
Sídlo firmy bolo pôvodne zaregistrované na adresu v petržalskej bytovke. Výrobcovia, ktorí ponúkali vlastné pokladnice s chránenými úložiskami so šifrovanou komunikáciou, certifikáciu nedostali.
ICJK uverejnilo informáciu z mailovej komunikácie zástupcu firmy CHDU, v ktorej informuje výrobcu pokladničného softvéru, že šifrovanú komunikáciu robiť nebudú, keďže od finančnej správy dostali výnimku.
„Fatálna chyba v bezpečnostnom dizajne eKasy sa dá čiastočne opraviť len tak, že systém bude vynucovať šifrovanú komunikáciu medzi pokladničným softvérom a chráneným dátovým úložiskom,“ povedal pre ICJK Lupták.
"Náš emulátor môžete spustiť aj z virtuálneho disku a po vypnutí počítača po ňom neostane žiadna stopa. Aj keby vám finančná správa alebo polícia zhabala celý systém, nenašli by v ňom nič, čím by vám mohli dokázať podvod," dodal.
Podľa finančnej správy o žiadny hackerský útok nešlo
"Cieľom eKasy je eliminovať podvody na DPH a preto chceme vyzvať všetkých, aby prestali spochybňovať zavádzanie onlineizácie kás. Ostro sa ohradzujeme voči dnes prezentovaným informáciám," povedal na brífingu finančnej správy generálny riaditeľ sekcie boja proti podvodom a analýzy rizika Ladislav Hanniker.
Podľa Hannikera je "absurdná myšlienka", že staré fiškálne moduly boli "veľmi bezpečné a nepozmeniteľné."
"Nepokladáme to za žiadny hackerský útok, keď niekto v systéme odstráni časť certifikovaného riešenia," povedal.
"My certifikujeme riešenie ako pokladničný softvér a CHDÚ spolu, firma, ktorá predstavila svoj hackerský útok, spravila jednu jedinú vec, odpojila CHDÚ, tým porušila zákon a tým pádom toto riešenie nie je možné používať," uviedol generálny riaditeľ sekcie boja proti podvodom.
"Žiadna firma nemá výnimku," povedal Hanniker k zverejnenej informácii o údajnej výnimke pre firmu CHDU, s.r.o. v súvislosti s používaním šifrovanej komunikácie. "Šifrovaná komunikácia nezvyšuje bezpečnosť toho systému tak ako to bolo prezentované," dodal.