Ako sme „hackli“ eKasu: podvádzať na daniach nikdy nebolo jednoduchšie -

Alebo este konkretnejsie:

image

Bod 2. mi nedava vobec zmysel.

Ahoj,

ako faktor fyzickej bezpecnosti (ze musis rozbit material v ktorom je to
zaliate fyzicky, teplom, alebo chemicky) robi utok na CHDU neprakticky,
lebo je to vela roboty a hrozi riziko poskodenia CHDU.

Ostava potom len utok na klienta (PPEKK) so vsetkymi vektormi. Napr. sa
ti podari ako vyrobcovi zacertifikovat “binarny obraz” PPEKK ktory
loaduje libku ktoru nepotrebuje a potom mu ju z OS podhodis.

Obidve skupiny vektorov su ale u uroven zlozitosti vyssie, ako to co
popisala Nethemba (odpojit a pripojit bez nasledkov lebo vynimka z
pravidiel).

Pri cenach ekasy je lahsie kupit ekasu s udelenou vynimkou na externe
ulozisko od CHDU.

Keby v specke nebola podmienka nesifrovat data na CHDU a zaroven by bola
bez vynimky vyzadovana podmienka sifrovat komunikaciu na fyzicky
oddelene CHDU, tak by to cele vyzeralo daleko menej zle.

r.

1 Like

Ano, to vyzera akoby sa niekto snazil v specke pokryt scenar kde mas k
pocitacu pripojene nieco ako fiskalny modul ktory sa neda bez porusenia
plomby odstranit.

Pravdepodobne (cista spekulacia) to bude zapracovana pripomienka
vyrobcov legacy registracnych pokladnic.

1 Like

Napr. tato argumentacia FS je podla mna trochu poslabsia, nepredpokladam, ze pokladnice maju neustale monitorovane bezpecne pripojenie na FS, ale proste posielaju requesty. Cize

  1. Poslem legit blocek, FS zaeviduje, vytlacim. vsetko legalne.
  2. Stlacim gombik, request na FS nejaky firewall/proxy proste zahodi, CHDU ide cez emulator, vytlacim fiktivny blocek. Stlacim gombik. Na doklady sa zabudlo.
  3. FS nevidi absolutne nic o ziadnom offline rezime. Pokracujem dalej.

Ak je tam nejake novum, preco nie. Ale ak ide iba o zmontovanie vseobecne znamych komponentov a funkcionalit aby to nieco konkretneho robilo, potom je tvoja otazka na mieste.

ano, to by slo.

Zavisi, aky protokol zaviedol FS. Ci musi PPEKK hlasit do FS, ze naposledy neuspesne odoslalo nejaky blocek a ze bola nejaku dobu v offline rezime.
Ak sa ale PPEKK spolieha na udaje v CHDU, tak potom nemusi nikto nikdy zistit, ze bola v offline.

Ten bod 2 nie je v pripade tychto pokladnic splneny. Sice CHDU od CHDU je odchytavac tlace, ale zjavne nevie CHDU ako samostatny funkcny celok nebol schopny zabezpecit ulozenie vsetkych tlacovych vystupov, lebo nema kontrolu nad komunikaciu z PPEKK.
A nesplna ani bod 4.

Malo by to patrit do bodu 3, lebo komunikacia prebieha cez komunikacne linky v pocitaci, kde moze byt MITM.
Mne to pride, ze budu musiet nakoniec zrusit tu certifikaciu a opravit vsetky pokladnice a nanovo spravit certifikaciu.

1 Like

Bolo by fajn zistit, ze ktore z tychto este idu cez ktory bod. https://www.podnikajte.sk/dane/pokladnice-ekasa

Konkretne rozhodnutia o certifikacii som nenasiel.

Pravdepodobne najaktualnejsi zoznam rozhodnuti je:

https://www.financnasprava.sk/_img/pfsedit/Dokumenty_PFS/Podnikatelia/eKasa/2019/2019.10.15_dat_uloz.pdf

Zaujimavy zvysok je na:

https://www.google.com/search?q=filetype:pdf+site:https://www.financnasprava.sk/_img/pfsedit/Dokumenty_PFS/Podnikatelia/eKasa/2019/

r.

Mňa by skôr zaujímalo, že prečo je v aplikácií “Over doklad”, vytvorenej za účelom overovania dokladov evidovaných v systéme e-kasa pomocou naskenovania QR kódu vytlačeného na doklade, uvedený rok 2015. :smiley:

Ten výrobca je Ing. Štefan Genšor z Námestova, stojaci za (už teraz bývalým) fiškálnym modulom FisBox. Je uvedený ako autor prihláseného úžitkového vzoru na CHDU:

Inak ešte tu je jedna zaujímavá (pod)kauza - firma VAROS TRADE z BB doteraz nezískala certifikáciu na ich CHDÚ riešenie, vraj na nich niekto podal anonym, že tam majú skrytý backdoor. Riešia to cez súdnych znalcov, lebo vraj FS nevie toto tvrdenie potvrdiť ani vyvrátiť (ako teda vedia vôbec certifikovať ostatné CHDÚ?). Iní zas tvrdia, že niekomu vyhovovalo, ak VAROS ako 3. najväčší výrobca na Slovensku nezíska certifikáciu. Problémy s certifikáciou mal aj 2. najväčší výrobca (firma BOWA z BA), dostali ju až tesne pred 1.7., teda pôvodným termínom zavedenia eKasy.

Navyše certifikáty pre všetky eKasa pokladne sú vydávané certifikačou autoritou z Česka (První certifikační autorita, a.s., https://www.ica.cz/)…

2 Likes

http://www.varos.sk/FT5000/info-stretnutie.pdf

image

1 Like

z toho dokumentu:

Celý návrh nášho riešenia bol smerovaný najmä na bezpečnosť:
• nepovolaného prístupu do CHDÚ
• zápisu kompromitujúcich dokladov do CHDÚ bez možnosti obrany majiteľa
• nemožnosti vytvorenia tzv. zrkadla CHDÚ, kde nadradený PPEKK si nevie
zdetekovať správne CHDÚ a údaje posiela na iné zariadenie.

Zopar dalsich veci co tam su:

  • sifrovanie medzi PPEKK a CHDU - ako Nethemba hovori, toto je len otazka casu kym to niekto hackne. Navyse vyrobcovia vravia, ze to dost predrazuje cely komponent (lepsie MCU)
  • zaliatie PPEKK a CHDU do jedneho kusu - na prvy pohlad dava vacsi zmysel, avsak ak niekto podvadzat chce, tak toto proste riesit nebude a bude tlacit blocky aj bez toho fejkove.
  • v dokumente sa pise o certifikacii sw - no chcel by som vidiet ako FS zistuje ci tam naozaj na tie stovky tisic pokladni naozaj napalili ten FW co pri certifikacii im ukazali a nie s nejakym backdoorom (co robi trebars taky hack ako ukazal Palo).

Neviem co chceli tou certifikaciou dosiahnut, ale podla mna nedosiahli vobec nic, lebo slabe miesto je inde a to tam ostane.

FS by mala ukazat, co ta certifikacia vlastne priniesla a jedinym vysledkom tohto celeho by malo byt to, ze sa otvori normalne API na ekasa/virtualnu pokladnicu. Zhodou okolnosti sme to navrhli FS tyzden dozadu na PS strategicka architektura, je to v sulade s open api iniciativou (NKVIS, multikanal), to co ma FS v zakone je s nou v rozpore (na viacerych miestach). Cize budeme iniciovat zmenu.

Ja ešte doplním vcelku zaujímavé postrehy od firmy VAROS ohľadom bezpečnosti CHDÚ:

http://www.varos.sk/FT5000/chdu_info.pdf
http://www.varos.sk/FT5000/info-dusevne-vlastnictvo.pdf

Už v lete tvrdili, že CHDÚ (od CHDÚ s.r.o.) nie je bezpečné a má slabiny. Navrhli bezpečnejšie riešenie CHDU5000, ktoré doteraz nedostalo certifikáciu.

Celkom vtipne je to citanie dovodovej spravy k eKasa zakonu (diky za tip @MaLoMe).

https://www.nrsr.sk/web/Dynamic/Download.aspx?DocID=457771

tlac_1129-dovodova.docx (113.5 KB)

Napriklad tato cast ma uplne dojala.

Velmi rad sa pozriem ako mi pomocou CHDU, v ktorom fiktivne blocky samozrejme nie su, lebo som ich vytlacil inak dokazuju, ze som ich vydal ja. Taktiez neviem ake dalsie informacie tam chcu zbierat, kedze vsetko potrebne je davno poslane na FS online.

A co taky pripad, ked bude majitel eKasa pokladne namietat, ze to neposielala jeho pokladna? Neviem, kto vsetko ma kluce od miesacky (pokladne), ani aka je bezpecnost toho komunikacneho kanala, nie ci sa da hacnut, ale ci sa da zduplikovat.

Priklad, ked najdu blocky, co nie su vo FS a nebudu ani v pokladni, ale budu tam vsetky zvysne, tak je to lahsie dokazovat ako pripad, ked budu jestvovat blocky co nie su vo FS a potom aj blocky, co su vo FS ale nie su v pokladni. Majitel moze namietat, ze to niekto iny robi podvod a nie on.

Podobne problemy sa uz riesia s radarmi: https://auto.pravda.sk/magazin/clanok/433808-v-australii-napadol-radary-virus-vodici-nemusia-platit-pokuty/