Investigatívne centrum Jána Kuciaka: Ako sme „hackli“ eKasu: podvádzať na daniach nikdy nebolo jednoduchšie

BRATISLAVA / Finančná správa si zrátala, že rôzni predajcovia tovarov a služieb ju okradnú na DPH zhruba o pol miliardy eur ročne. Zavádza teda registračné pokladnice, ktoré každý predaj automaticky zaregistrujú priamo na jej serveroch. Investigatívne centrum Jána Kuciaka však zistilo, že nový online systém umožňuje obchádzať platenie daní omnoho jednoduchšie a v omnoho väčšej miere, ako staré registračné pokladnice. Funkčnosť nových pokladníc pre ICJK preverili etickí hackeri zo spoločnosti Nethemba a ich záver je jednoznačný: "Súčasné riešenie má fatálne bezpečnostné nedostatky a pokladáme ho za menej bezpečné, ako predošlé,“ konštatuje Pavol Lupták z Nethemby.

Tento text je prebratý od Investigatíveho centra Jána Kuciaka (ICJK).

Napojenie na portál Finančnej správy sa týka približne 230 tisíc pokladníc a je jedným z jej najväčších projektov vôbec. "Suma daňovej medzery na DPH v sektoroch HORECA (hotely, reštaurácie, kaviarne), maloobchod a služby len v roku 2014 dosahovala výšku až 491 miliónov eur,“ vysvetľuje finančná správa na svojom portáli. "Od zavedenia eKasy si finančná správa sľubuje zníženie daňovej medzery na DPH v uvedených sektoroch. Finančná správa zavádza projekt online napojenia všetkých pokladníc na portál finančnej správy – eKasa.“

Princíp eKasy je vo svojej podstate jednoduchý a mohol by byť aj funkčný. Väčšina pokladníc je v podstate len počítač prepojený s tlačiarňou. Doteraz boli kasy vybavené špeciálnou fiškálnou pamäťou, do ktorej sa ukladali denné uzávierky. Dáta sa do nej dali iba zapisovať, následne ich mazať alebo meniť nebolo možné. Bola zaplombovaná a hacknúť ju síce nebolo nemožné, ale ani jednoduché. Ak chcel niekto podvádzať, potreboval k tomu skúseného technika. Musel zložito, a hlavne preukázateľne, zasiahnuť do firmvéru pokladne.

Nová eKasa nemá fiškálnu pamäť, ale takzvané chránené dátové úložisko, skrátene CHDÚ, v ktorom sa zapísané údaje taktiež nedajú meniť či mazať. Pokladnica ich automaticky odosiela finančnej správe. Pokiaľ je dočasne mimo siete, údaje o platbách sa automaticky odošlú okamžite po obnovení spojenia. Predajca je povinný zabezpečiť odoslanie bločkov vydaných offline do 48 hodín. Na vytlačenom doklade je QR kód, pomocou ktorého si zákazník môže overiť, či sa tak naozaj stalo. Ten zároveň aj obsahuje údaje o predajcovi.

Ekasa je vlastne jeden celok pozostávajúci z dvoch častí – z pokladničného programu a z chráneného dátového úložiska. A azda by to aj mohlo fungovať, keby softvér používal na komunikáciu s chráneným úložiskom šifrované spojenie. Pôvodne to tak malo byť, táto požiadavka bola medzi podmienkami certifikácie, ktorú museli výrobcovia pokladníc získať od finančnej správy. Neskôr však daniari od tohto nároku ustúpili. Nevedno prečo, máme len indície, ale práve preto je možné novú eKasu obísť spôsobom, ktorý zvládne aj dieťa, ktoré sa dokáže naučiť klikať myšou.

Pavol Lupták z bezpečnostnej firmy Nethemba demonštruje použitie emulátora CHDÚ.

​"To, čo sme urobili, nie je nijaký hack,“ smeje sa Pavol Lupták z bezpečnostnej firmy Nethemba. "Nepotrebovali sme zasiahnuť do softvéru pokladnice ani do hardvéru chráneného úložiska.“

Etickí hackeri z Nethemba napísali jednoduchý emulátor, čiže program, ktorý sa spojí s chráneným úložiskom, skopíruje ho a ďalej sa pred pokladnicou tvári ako modul CHDÚ. "Pôvodné CHDÚ môžete odpojiť a odložiť,“ vysvetľuje Lupták.

Finančná správa stiahla zo svojho webu zoznam vydaných certifikátov

+20 fotiek

Finančná správa stiahla zo svojho webu zoznam vydaných certifikátov

​

Jednoduchý emulátor poskytuje používateľovi všetky možnosti, aké si len môže daňový podvodník želať. Verzia, ktorú nám predviedli, má jednoduché a používateľsky komfortné rozhranie, na ktorom si len zakliknete myšou, čo potrebujete: Môžete vytlačiť pre zákazníka doklad, ktorý systém nikdy neodošle na portál finančnej správy. Emulátor za vás vytvorí pravidlo vo firewalle operačného systému, ktorý dáta zahodí a neodošle. Zároveň nahradí identifikačné údaje pokladne náhodnými znakmi, takže spätne ju už nie je možné identifikovať. Ak si budete takýto doklad overovať cez portál finančnej správy, nezistíte, že doklad je neplatný, dostanete len hlásenie, že doposiaľ nebol zaregistrovaný.,

Zákazník nezistí, že doklad je falošný, dozvie sa iba, že nebol zaregistrovaný.

icjk.sk

​

Ďalšia možnosť, ako sa nemusieť deliť o svoj zisk so štátom, je opakovaná tlač originálneho dokladu. Emulátor dokáže vytlačiť ten istý legálny doklad, so správnymi údajmi a regulárne zaregistrovaný na portáli finančnej správy, koľkokrát chcete. Ten istý nákup si teda môžu dať do nákladov pokojne aj desiatky podnikateľov. Kontrola zistí len to, že doklad je v poriadku. Šanca, aby kontrolór zistil, že dvaja podnikatelia kúpili ten istý tovar v tom istom čase v tom istom obchode, je v praxi nulová.

"Nový systém eKasy má fatálnu chybu vo svojom dizajne a je vlastne úplne zbytočný. Staré pokladnice boli v každom ohľade lepšie zabezpečené proti zneužitiu,“ konštatuje Lupták.

Pri teste sme použili modul CHDÚ od firmy CHDU, s.r.o., ktorý používa zhruba polovica všetkých certifikovaných pokladníc. Firma začala pod týmto názvom existovať vo februári tohto roku, v čase, keď sa začala rozbiehať certifikácia nových pokladníc. Nikdy predtým v tejto oblasti nepodnikala. Jej sídlo bolo pôvodne zaregistrované v petržalskej bytovke, neskôr ju presunuli do inej budovy, kde sídli viacero spoločností.

Renomovaní výrobcovia, ktorí predkladali vlastné pokladnice s chránenými úložiskami so šifrovanou komunikáciou certifikát nezískali. Výrobcovia, ktorí sa rozhodli použiť modul CHDÚ od firmy CHDU problémy s certifikáciou nemali.

Spoločnosť CVHDU, s.r.o. sa objavila na trhu vo februári tohto roku a už vtedy vedela, že dostane od finančnej správy výnimku.

icjk.sk

​Redakcia ICJK disponuje kópiou emailu, v ktorej zástupca firmy CHDU už vo februári informuje výrobcu pokladničného softvéru, že "šifrovanú komunikáciu nebudeme robiť, nakoľko nám finančná správa dala na naše zariadenie výnimku“. O niekoľko mesiacov, v júli tohto roku, finančná správa aj oficiálne zaviedla výnimky na šifrovanú komunikáciu s chráneným úložiskom.

"Fatálna chyba v bezpečnostnom dizajne eKasy sa dá čiastočne opraviť len tak, že systém bude vynucovať šifrovanú komunikáciu medzi pokladničným softvérom a chráneným dátovým úložiskom,“ tvrdí Lupták z Nethemby. "Aj tak by sa systém dal hacknúť, ale to by sme už museli zasiahnuť do jeho kódu, čo by sa dalo zistiť,“ vysvetľuje. "V tomto prípade sme sa samotného systému ani nedotkli a nijaký zásah nie je spätne žiadnym spôsobom preukázateľný. Náš emulátor môžete spustiť aj z virtuálneho disku a po vypnutí počítača po ňom neostane žiadna stopa. Aj keby vám finančná správa alebo polícia zhabala celý systém, nenašli by v ňom nič, čím by vám mohli dokázať podvod.“

​Redakcia ICJK má k dispozícii zdrojový kód emulátora CHDÚ a je pripravená poskytnúť ho úradom na preskúmanie a overenie. V tomto okamihu nie je nikde voľne k dispozícii, ani neexistuje vo forme užívateľsky jednoducho inštalovateľnej a spustiteľnej aplikácie. V prostredí predajcov pokladníc sa však začína hovoriť o tom, že podobné aplikácie by mohli byť na čiernom trhu už čoskoro k dispozícii.

V čase uverejnenia článku sme požiadali o stanovisko Finančnú správu aj spoločnosť CHDU, s.r.o., ich reakcie doplníme, keď nám ich zašlú.

Podrobnú správu o posúdení bezpečnosti eKasy od spoločnosti Nethemba si môžete prečítať tu a tu.