(Aktualizované 6. 11. 2019 o 11:30)
Spoločnosť Nethemba je pripravená pre demonštráciu závažnosti zverejniť zdrojové kódy emulátora.
Investigatívne centrum Jána Kuciaka (ICJK) v spolupráci so spoločnosťou Nethemba objavili bezpečnostné nedostatky v online systéme eKasa. Problémom je komunikácia medzi pokladničným programom eKasa klient (PPEKK) a chráneným dátovým úložiskom (CHDÚ), ktorý nedokáže overiť jeho autenticitu. Potenciálny útočník tak môže jednoduchým programom nahradiť pôvodné úložisko a vydávať falošné pokladničné bločky či opakovane tlačiť originálne.
Systém eKasa zaviedla Finančná správa Slovenskej republiky na boj proti daňovým podvodom. Slúži na okamžité automatické zasielanie pokladničných dokladov vystavených na registračných pokladniach na server finančnej správy. Do systému musia byť od 1. júla 2019 pripojení všetci podnikatelia s registračnou pokladnicou.
Na strane podnikateľa predstavuje pokladnicu väčšinou len počítač prepojený s tlačiarňou. Samotná eKasa pozostáva z pokladničného programu, teda firmvéru pokladnice či samostatného softvéru, a chráneného úložiska, teda pamäte, do ktorej sa dáta dajú len zapisovať. Zapisujú sa pritom všetky vystavené doklady a dáta, ktoré sú zaslané na tlačiareň.
Klony útočia
Zraniteľnosť systému spočíva práve medzi komunikáciou medzi pokladničným programom a úložiskom. Na jednej strane program nedokáže overiť pravosť chráneného úložiska. Na druhej strane komunikácia nie je šifrovaná a dáta zapisované na úložisko sú tak voľne prístupné.
Etickí hekeri zo spoločnosti Nethemba demonštrovali takzvaný man-in-the-middle útok (MITM útok), ktorý tieto nedostatky zneužíva. Trik spočíval vo vytvorení emulátora, ktorý skopíroval obsah chráneného úložiska a ďalej sa zaň vydával v komunikácii s programom eKasa.
Nastavenie emulátora CHDÚ. Zdroj: Nethemba
Tento „klon“ následne bránil komunikácii medzi pokladničným programom a pôvodným úložiskom, a dáta zapisoval do súboru na disku počítača. Upravením pravidiel firewallu zároveň bránil v odosielaní dát na server finančnej správy.
„To, čo sme urobili, nie je nijaký hek. Nepotrebovali sme zasiahnuť do softvéru pokladnice ani do hardvéru chráneného úložiska,“ uviedol riaditeľ spoločnosti Nethemba Pavol Lupták.
Emulátor umožnil hekerom vydávať falošné pokladničné doklady, opakovane tlačiť originálne doklady či zmeniť identifikačné údaje pokladnice tak, aby ju nebolo možné spätne dohľadať.
„Len s malým úsilím je možné doprogramovať tlač akéhokoľvek dokladu. Týmto si môžu podnikatelia napríklad po skončení mesiaca navzájom zapožičať chránené dátové úložisko a vytlačiť si do nákladov toľko dokladov, koľko len potrebujú. Z takýchto dokladov si môžu uplatniť aj odpočet DPH.“
Upozornenie po načítaní podvrhnutého QR kódu. Zdroj: Nethemba
Finančná správa ani zákazníci podvodníka neodhalia
Zákazník, ktorý obdrží takýto falošný doklad, nie je schopný overiť jeho pravosť. Po načítaní QR kódu z dokladu do oficiálnej aplikácie „Over doklad“ sa mu zobrazí len oznámenie, že doklad doposiaľ nebol na serveroch finančnej správy zaevidovaný. Podnikateľom pritom zo zákona vyplýva, že odoslanie dokladov na server musí prebehnúť najneskôr do 48 hodín od predaja, v prípade problémov s pripojením na internet.
Podľa hekerov by finančná správa dokázala sama odhaliť podvod len v prípade, že by robila opakované kontrolné nákupy. Zároveň však v stanovisku upozorňujú, že hoci by bola na nedoručený doklad upozornená aplikáciou, kvôli úprave identifikačných údajov pokladnice by mala problém podnikateľovi dokázať, že falošný doklad vydal práve on.
Na ťahu je Finančná správa
Nethemba vo svojej správe uvádza, že čiastočné riešenie problému by mohlo spočívať v zavedení šifrovanej komunikácie či overovacej funkcie „výzva-odpoveď“. Pokiaľ by medzi PPEKK a CHDÚpokladničným programom a chráneným úložiskom existovalo zdieľané tajomstvo, program by dokázal overiť či úložisko toto tajomstvo pozná, a teda či nejde o emulátor. Takéto riešenie však má útočníka len odradiť finančnou náročnosťou realizácie jeho uskutočnenia.
„Principiálne to pôjde ale vždy prelomiť reverzným inžinierstvom a vycrackovať – teda upraviť tak, aby nedokázala rozpoznať či komunikuje s reálnym alebo emulovaným CHDÚ. Takže MITM útok vždy pôjde realizovať. Otázkou bude len cena takéhoto útoku.“
Investigatívne centrum oznámilo, že disponuje zdrojovým kódom emulátora použitého pri demonštrovanom útoku. Je ochotné poskytnúť ho úradom na preskúmanie a overenie.
Finančná správa však tieto závery vo svojom stanovisku odmieta a vyzýva „všetkých, aby prestali spochybňovať zavádzanie online-izácie pokladníc, ak majú záujem na eliminácii daňových podvodov.“.
„Pevne veríme, že vyjadrenia tejto spoločnosti vyplývajú iba z neznalosti samotného systému a nie sú motivované súkromnými pohnútkami niektorých dodávateľov pokladničných riešení, ktorí nezískali certifikáciu pre eKasu.“
Emulátor ani jeho zdrojový kód nie sú doposiaľ na internete dostupné. Investigatívne centrum však upozorňuje, že „v prostredí predajcov pokladníc sa začína hovoriť o tom, že podobné aplikácie by mohli byť na čiernom trhu už čoskoro k dispozícii.“.
V prípade, že Ffinančná správa nebude zraniteľnosť považovať za dostatočne kritickú, spoločnosť Nethemba je pripravená pre demonštráciu závažnosti zverejniť zdrojové kódy emulátora.
Podrobnú správu o zraniteľnosti a útoku si môžete prečítať tu a tu.
Ukážka zdrojového kódu. Zdroj: Nethemba
(VK)