Ako sme „hackli“ eKasu: podvádzať na daniach nikdy nebolo jednoduchšie -

http://icjk.sk/2019/11/04/ako-sme-hackli-ekasu-podvadzat-na-daniach-nikdy-nebolo-jednoduchsie/

4 Likes

„Nový systém eKasy má fatálnu chybu vo svojom dizajne a je vlastne úplne zbytočný. Staré pokladnice boli v každom ohľade lepšie zabezpečené proti zneužitiu,“ konštatuje Lupták. - take nieco by malo stacit na okamzite zastavenie implementácie. Firma od Februara 2018 … co sa tu vlastne zmenilo ? Policia a Sudy uz riesia “svojich ludi” … Nacim zacat riesit aj v IT …

Just wow.

V prvom rade nebudem obhajovať eKasu a už vobec to, že jej súčasťou je CHDÚ. Ale prezentovanie, že bola hacknutá eKasa je hlúposť. Pravda by to bola, keby dokázali pozmeniť údaje, ktoré sa registrujú na server FS napr, predal som za 100€, vytlačím účtenku za 100€ ale na server sa zaregistruje 20€. Na vydávanie “fiktívnych” účteniek eKasa s QR kódom nepotrebujem hacknúť CHDÚ, jednoducho si pripojím druhú tlačiareň tlačím fiktívne účtenky.
Ak bude záujmem môžem ozrejmiť celú genézu toho, ako sa CHDÚ stalo súčasťou eKasa. Ale podstatné je to, že eKasa je online riešenie. FS vie o každom koncovom bode (pokladni) a vo svojej centrálnej evidencii vie presne vysledovať ako sa tá ktorá pokladnica správa. To znamená, že bude možné analyzovať správanie každej jednej pokladne (výpadky v registrácii, podozrivé ceny učteniek ale aj tovarov a pod.). Okrem tohto kontrolného mechanizmu sa ale bude naďalej používať aj ten istý ako doteraz.- kontrolné nákupy a následne overovanie účtenky na serveri FS. Nie zákazníkom ale kontrolórom. To sa robilo aj doteaz, avšak následne sa kontrovala iba hotovosť v pokladnici. Teraz sa bude registrácia na FS. CHDÚ vstúpi do hry až vtedy, keď kontrolný orgán bude mať podozrenie, že pokladnica je zmanipulovaná a CHDÚ môže poslúžiť ako dôkaz napr. na súde. Do CHDÚ sa totiž musia ukladať aj iné tlačové výstupy, nie len predajové doklady.
Registráciu na FS zabezpečuje certifikovaný SW modul - PPEKK. On zabepečuje odoslanie údajov na FS, zápis komunikácie s FS do CHDÚ a zápis tlačových výstupov do CHDÚ. Až CHDÚ zabezpečuje tlač dokladov na tlačiarni. Pravdupovediac nie je mi jasné, ako môže náhrada reálneho CHDÚ jeho hacknutou verziu zabrániť registrácii účtenky na server FS. Ako som už napísal, CHDÚ nie je medzi PPEKK a severom FS, ale medzi PPEKK a tlačiarňou.
Ono by totiž bolo ešte zaujímavé vedieť aké certifikované PPEKK použili hackeri, keď tvrdia že zabránili registrácii účteniek na server FS.

2 Likes

Pre korektnost: Toto v jednom z tych pdf priamo pisu.

Toto by ma urcite zaujimalo. Rozpravaj, prehanaj.

K hacku:

  • Ak to cele chapem spravne, tak ide len o offline rezim. Cize do FS sa nic neposiela. Aky je rozdiel v tom, ze si nejaky fake blocek vytlacim uplne pomimo tomu nerozumiem. Toto tu mi pride celkom komplikovany sposob, ako to robit.
  • Emulator vie vytlacit jeden doklad viac krat. Nakolko zaujimave je toto, netusim. (cc @Sveto)
  • Viem si predsavit, ze emulator bude ako proxy nastriedacku vyrabat fake/prave doklady, ale nakolko je toto zaujimave netusim.

Nejako mi chyba usecase, ze co sa predtym nedalo a teraz sa da.

1 Like

Link z diskusie pod odpovedou Nethemba na vyjadrenie FS:

Keď ministerstvo financií vlani pripravovalo zákon o eKase, v jeho prvotnom návrhu chránené dátové úložisko nebolo. Nemajú ho napríklad ani v Českej republike, kde už online evidencia tržieb funguje.
Nápad vzišiel z pripomienkového konania, kde ho spomínali viacerí podnikatelia, ale tiež výrobcovia pokladníc. Vysvetľovali to tak, že ide o ochranu samotných podnikateľov.

Takze by malo ministerstvo zdovodnit, preco podnikatelia platia licencie za CHDU, ktore nefunguje tak, ako to prezentovali.

CHDU ma sluzit ako dokazny material na to, ze podnikatel neregistroval vsetky blocky na FS. Takze ked sa neda dokazat, ze s CHDU bolo manipulovane (co sa podla Nethemba neda), tak sa nebude dat udelit trest.
To je ako s radarmi, ak nema radar certifikaciu, tak moze namerat aj 200kmh na 40, bude problem pre sud akceptovat to ako dokaz.

1 Like

Skor by som povedal ze ak ho pouzivaju tak ako stanovene v dokumentacii, tak funguje ako ma a preto platia je to v poriadku. Tu skor ide o to ze to ma nejaku dieru. A ako spravne pises aby sa radar mohol pouzit musi byt certifikovany. Tak aj v tomto pripade treba dieru zalepit a pokracovat dalej.
Ak danova sprava ma spravne udaje priamo z pokladnice, tak toto su iba duplicitne udaje, ktore si moze skontrolovat ci v ulozisku nie je nieco co pokladnica nespracovavala. Mozno zakaznik si nebude vediet overit, ale daniari ak maju z pokladnice spravne data, ulozisko je len akysi doplnok a ak zistia ze v tom co poslala pokladnica a co sa skutocne nachadza v ulozisku je rozdiel tak to im prave bude indikovat ze niekto robi nieco nekale. Ci nie?

CHDU https://finstat.sk/35882638
predala ako Villl sro v 2018 velky majetok a potom vo februari ju kupili novi ludia a premenovala sa na CHDU. Uvidime, ako sa im zahadne darilo v 2019.

Ked pokladnica nic nevysle na FS (offline) a ani nic nebude v datovom ulozisku, ako zistia, ci neboli vydane blocky, ktore neboli registrovane alebo nevydali blocky, co registroval niekto iny alebo vydali blocky, co boli falosne?

Na odhalenie podvodov s pokladnicami budu potrebovat sucinnost s obcanmi, ktori budu take falosne blocky odkladat, kontrolovat si ich do detailu a zaroven aj upozornovat FS, ze nieco nie je v poriakdu. Ako pise Nethemba, to sa prilis diat nebude, lebo sa to nedialo ani pri fiskalnych moduloch, kde mohol obcan nahnat kontrolu na predajcu. Pri fiskalnom module aspon kontrola zistila, ci bolo s pokladnou manipulovane, tuto to nezistia a bude to tvrdenie proti tvrdeniu.

S tymto suhlasim, netreba to zahodit ale FS nech sa k tomu postavi celom a ziada v ramci zaruky opravit chybu. To datove ulozisko ma fungovat ako audit log bez moznosti zmeny dat.

https://www.financnasprava.sk/_img/pfsedit/dokumenty_PFS/Podnikatelia/eKasa/2019/2019.01.11_e_kasa_certif.pdf

CHDÚ musí byť zariadenie typu WORM (Write Once Read Many) tzn. žiadny už raz zapísaný bit
nesmie byť možné prepísať, funkcionalita čítania je však zachovaná bez obmedzenia.
V prípade softvérového riešenia jednorazového a trvalého zápisu do pamäte CHDÚ môže byť tento bod zabezpečený použitím na to vhodnej technológie
Ukladajú sa tu všetky doklady, ktoré boli vytlačené bez ohľadu na to, či boli odoslané do e-kasa systému
Komunikácia medzi PPEKK a CHDÚ (FW CHDÚ) musí byť zabezpečená použitím asymetrického
šifrovania, pričom verejný kľuč musí byť uložený v PPEKK a súkromný kľúč musí byť uložený v CHDÚ

Od roku 2008 u nás fungovali fiškálne tlačiarne. To sú klasické účtenkové tlačiarne ku ktorým bol pevne (neoddeliteľne) pripojená fiškálny modul. Ten obsahoval pamäť, do ktorej sa ukladali údaje z dennej uzávierky. Fiškálne tlačiarne s fiškálnymi modulmi dodávalo pár výrobcov (Elcom,Bowa, Varos, Diebol-Nixdorf, Upos, Bbox a pár menších). Kontrolný orgán si pri kontrole priamo v predajni vyžiadal vytlačiť, alebo uložiť do súboru obsah fiškálnej pamäte. Okrem toho fiškálny modul si na SD kartu ukladal jednotlivé vytlačené účtenky a uzávierky. Tie musela byť pokladňa taktiež schopná vytlačiť alebo exportovať. Toto sa používalo na kontrolu, či bola účtenka zaevidovaná do fiškálneho modulu. Takto sa napríklad kontrolovali výherné účtenky z Národnej bločkovej lotérie.
Medzitým v ČR zaviedli EET, kde sa všetky nákupy online evidujú do na server finančnej správy. Evidujú sa však iba celkové obraty a DPH v jednotlivých sadzbách DPH. Všetky pokladničné programy sa museli upraviť, aby boli schopné odosielať údaje na FS.
Medzitým v SR zaviedli virtuálnu reg. pokladňu, čo je niečo veľmi podobné ako EET, avšak aplikáciu vytvoril štát a dáva ju daňovým subjektom bezplatne. Postupne sa odstraňovali obmedzenia, kto ju môže použiť.
A tak sa dostávame cca. do roku 2018, kedy v SR vzniká návrh novely zákona 289/2008, ktorý zavádza eKasu. Ide o podobné riešenie ako v ČR, ale od začiatku obsahuje povinnosť odosielať celý obsah účtenky t.j. vrátane tovarov a ich cien. Tento návrh zákona je zverejnený a začína jeho pripomienkovanie. Vtedy doterajší výrobcovia fiškálnych tlačiarní pochopili, že ich biznis končí. V návrhu nebola žiadny HW, povinný servis ani nič podobné. A tak prichádzajú s katastrofickými scénarmi ako navrhované riešenie umožní podvody (vytváranie kópii účteniek na tlačiarni, vypínanie internetu a zmemožnenie online registrácie. A tak vzniká slávne CHDÚ. Aj pri online registrácii nákupov na FS bude existovať pri pokladni pamäť typu WORM. V dôvodovej správe k zákonu sa dá podrobne prečítať aké dôvody k tomu viedli, aké problémy malo CHDÚ riešiť a dokonca aj náklady na jeho nasadenie.
Colná správa sa priklonila k tomuto nápadu, aj keď na to mala iné dôvody ako HW firmy, ktoré s nápadom prišli. A tak Colná správa zadefinovala požiadavky na CHDÚ, ktoré sa stalo súčasťou nového typu pokladnice eKasa klient. V tomto momente sa začína najdôležitejší zlom celého projektu eKasa. Výrobcovia fiškálnych tlačiarní začali upravovať (prerábať) fiškálne moduly na CHDÚ, pričom CHDÚ malo naďalej zostať súčasťou fiškálnej tlačiarne, dokonca sa malo pečatiť s tlačiarňou. Tým by sa vlastník pokladne znovu dostal do závislosti na výrobcovi a servisnej organizácii, ktorá by musela servisovať napr. aj pokazenú tlačiareň. Toto všetko bolo ďaleko na rámec požiadaviek colného úradu. CHDÚ malo byť samostatné zariadenie, nezávislé od tlačiarne.
Jeden výrobca na Slovensku bol v krátkom čase schopný takéto zariadenie vyrobiť. Je to etablovaný výrobca s dlhoročnými skúsenosťami. V podstate sa dá povedať že vyrobil CHDÚ presne podľa predstáv colného úradu. Colný úrad preveril, že toto CHDÚ spĺňa ním stanovené požiadavky (pamäť WORM, zaezpečenie tlače údajov, ktoré sa zapisujú do CHDÚ atď). Toto CHDÚ je malá samostná krabička, ktorá sa zapojí medzi počítač a tlačiareň. V ďalšom čase vzdniká spoločnosť CHDÚ s.r.o. (o ktorej sa toľko hovorí) a táto sa s výrobcom dohodla, že bude pre neho zabezpečovať obchodnú činnosť.
Primárnou čašťou pokladnice eKasa však nie je CHDÚ ale PPEKK (pokladničný program ekasa klient). Nie je to celá pokladničná aplikácia ale iba jej časť, ktorá zabezpečuje online komunikáciu s FS a CHDÚ. PPEKK musí byť certifikovaný. Overuje sa správnosť registrácií na FS ako aj zápisov do CHDÚ.
Podľa môjho názoru výrobcovia HW mali koncepčný problém, ako prispôsobiť ich prerobené fiškálne moduly tak, spĺňali požiadavky certifikácie. Či bol v tomto procese nejaký zlý úmysel samozrejme posúdiť nedokážem. Ale nakoľko za blížil termín účinnosti zákona, veľká väčšina SW firiem, ktoré vyrábajú pokladničný SW siahla po riešení, o ktorom vedeli, že ho colná správa akceptuje (CHDÚ od spoločnosti CHDÚ s.r.o.). HW firmy začali výrazne strácať podiel na trhu a tak sa teraz rozbieha takýto zákulisný boj, ktorý vyhovuje aj niektorým opozičným politikom.

Voči projektu eKasa je možné mať množstvo výhrad a pochybností, ale CHDÚ je naozaj jeden z najmenších problémov. Záhadné veci čo sa diali priamo s centrálnym riešením na FS sú oveľa zaujímavejšie. Myslím si, že teraz ide len o snahu nasilu preukázať, že riešenie postavené na CHDÚ od spoločnosti CHDÚ s.r.o. je nebezpečné a môže spôsobovať daňové úniky. Pričom jediná zásadná výhrada je, že nemá šifrovanú komunikáciu medzi PPEKK a CHDÚ.
A ešte pár poznámok k argumentom hackerov:

  • nevystopovateľné falošné účtenky - ak si dám do nákladov nákup tlačiarne vo firme XYZ a priložím k tomu doklad o zaplatení v hotovosti, daňová kontrola zosníma QR kód, zistí že nie je v systéme. Podnikateľovi ho vyradí z nákladov a do firmy XYZ zajtra nabehne kontrola
  • ľubovoľný počet kópii - táto možnosť natívne existuje vo Virtuálnej pokladni a štát to netrápi - je to dokonca jeho aplikácia
  • prochod na falošné CHDÚ a neregistrovanie účteniek na FS - najviac daňových únikov je nevydávanim bločku (kto ešte nikdy nedostal otázku a chcete aj bloček? - každý kto povedal nie, sa stal súčasťou daňového podvodu). FS pozdá celú históriu každej jednej pokladne, deň po dni, hodinu po hodine. To znemená, že ľahko môže analyzovať v ktorých časoch pokladňa registruje a kedy nie. Nevtrdím, že sa nedá vymyslieť nejaká finta (napríklad každý deň začne reálne evidovať až o 8:00 ale predávam od 6:00 cez fiktívne CHDÚ). Špekulanti sa nájdu, ale raz sa na to príde.

Sorry za dlhší text. Podotýkam, že nemám nič spoločné s CHDÚ s.r.o., nikoho neobhajujem, ale SW pre pokladne robíme viac ako 25 rokov. A tie bombastické titulky o hacknutí eKasa, o tom aká je dieravá a aké daňové úniku vznikajú ma naozaj vytočili. Viem predsa, že akýkoľvek systém sa dá obisť. Na druhej strane dnes denne používame množstvo online služieb. Zaujímavé, že ešte ani jednu banku nenapadlo, aby nám vnútila k internetbankingu nejaké CHDÚ z ktorého by sa dokazovalo, či sú v banke všetky transakcie zaevidované správne. Asi nie úplne vhodný príklad, ale dali by sa nájsť aj ďalšie.
Howgh.

5 Likes

Ale nic moc nove tam nie je.

Keby stat umoznil FO (nepodnikatelom) znizovat si danovy zaklad blockami z hotovostneho a predaja (aj za cigarety a alkohol) a to tak, ze danovy zaklad by sa znizil napr. o 10% z hodnoty blocku, tak verim tomu, ze skoro kazdy obcan by kontroloval, ci je blocek ok.
Obcan by blocky registroval cez nejaku aplikaciu podobnu overdoklad (1 blok moze byt zaregistrovany len 1x) a v koncorocnom zuctovani dani by dohodnuta castc z hodnoty blockov znizila danej FO danovy zaklad.

Mňa zaujal ten záver. Potvrdili, že neexistuje lacné a bezpečné riešenie. Na jednej strane je kritika štátu, že núti podnikateľov vynakladať prostriedky na pokladnice, na druhej strane je jasné, že maximálna bezpečnosť resp. zabezpečenie poctivej registrácie každého predajového dokladu stojí veľa prostriedkov. Takže akékoľvek riešenie je kompromisom. Inak výrobcovia odhadovali náklady na CHDÚ vo výške cca. 20€ a celkové náklady na úpravu pokladnice vo výške 80€. Je naozaj reálne za takúto cenu urobiť z vyše 200 tisíc pokladníc totálne zabezpečenú pokladnicu? Stojí to za to vôbec sa o to usilovať, keď najviac daňových únikov spôsobuje predaj mimo pokladnice? A na tomto daňovom úniku sa podieľa každý jeden človek, ktorý si nezoberie pokladničný doklad ale teraz sa pohoršuje aká je eKasa zlé riešenie.
Ok Nethemba, na niečo upozornila. Ale aké riešenie očakáva? Zrušenie celej eKasa? Nutnosť upraviť existujpce riešenia? To znamená výmenu CHDÚ (reálna cena 40-80€), úpravu PPEKK, opakované certifikácie. A zaplatí to kto? Štát, teda my všetci. Majitelia obchodov a teda my všetci vo zvýšenej cene tovarov?
Kde je to svetielko na konci tunela?

Ano tuto cost-benefit analyzu by asi FS mala niekde mat, kedze sa do projektu eKasa pustila. Myslim, ze som videl nejake analyzy EET v CR a boli to take skor rozpacite vysledky.

https://www.podnikatel.cz/clanky/cisla-o-prinosu-eet-jsou-zalozena-na-nesmyslne-metodice-ukazala-analyza/

Tuto otazku bolo treba pokladat, ked sa niekomu dohadzovalo 18mega na nieco, co neriesi ten primarny problem - predaj mimo pokladne.

Mna na eKasa vyrusuju nasledovne veci:

  • omnoho pomalsia tlac dokladu, neviem, kde vznikol ten bottleneck. (Ako riesenie by som cakal, ze sa bude generovat blocek v pokladni a posle sa az na pozadi na FS, na toto by bolo treba spolahlive CHDU).
  • System nie je celkom vhodny pre male pokladne, pre pripojenie k internetu treba k pokladniam externy komunikacny modul a stazuje to predaj v miestach so zlym pokrytim. Tu by pomohlo riesenie ako v predch. bode, spolahlive CHDU, ktoremu bude doverovat aj FS a nebude obvinovat podnikatelov, ze offline mod maju na robenie danovych unikov.
  • Posielanie poloziek z predaja na financnu spravu, FS zbiera uz tolko udajov, ze ak sa k nim niekto dostane, ma skoro komplet uctovnictvo akejkolvek firmy. (Pri systeme sudnictva a policie sa realne bojim uniku takychto udajov)

Pomalšiu tlač dokladu dokladu podľa mňa spôsobuje zlý dizajne riešenia zo strany dodávateľa pokladnice. Najviac sa to prejavuje v reťazcoch Kaufland, Tesco možno aj Billa. Čas od ukončenia nákupu po vytlačenie účtenky sa tam pohybuje od 6 do 9 sekúnd. Cez našu pokladničnú aplikáciu sa robí denne 400-500 tisíc registrácií. Robíme podrobnú štatistiku, takže môžem presne povedať že cca. 73% registrácii trvá pod 3 sekundy a cca. ďalších 20% registrácií pod 4 sekundy. Tie zvyšné sú predajne s pomalým internetom alebo počítačom. V tom čase je započítaná komunikácia s FS (cca. 400 ms, 3 zápisu do CHDÚ a odoslanie tlačového výstupu na tlačiareň. Takže spomalenie nákupov nie je naozaj spôsobené primárne eKasou.
Pre malé pokladne (kaderníctva, kvetinárstva) štát ponuka bezplatnú virtuálnu pokladňu a aj sa v maximálnej miere používa. Náklady na offline registrácie by boli pre malé predajne neprimerané.
Áno, posielanie položiek nákupu je totálny fail. Inak nepovinný údaj je aj číslo vernostnej karty zákazníka. Očakával som, že k tomuto bude najväčšia vlna odporu. Na samotne trvanie registrácie na FS to má ale minimálny vplyv, ako píšem vyššie, komunikácia trvá pár stoviek ms.

1 Like