Investigatívne centrum a spoločnosť Nethemba objavili bezpečnostné nedostatky v online systéme eKasa. Problémom je komunikácia medzi pokladničným programom eKasa klient (PPEKK) a chráneným dátovým úložiskom (CHDÚ), ktorý nedokáže overiť jeho autenticitu.
Potencionálny útočník tak môže jednoduchým programom nahradiť pôvodné CHDÚ a vydávať falošné pokladničné bločky či opakovane tlačiť originálne. Spoločnosť Nethemba je pripravená pre demonštráciu závažnosti zverejniť zdrojové kódy emulátora. Systém eKasa zaviedla Finančná správa Slovenskej republiky na boj proti daňovým podvodom. Slúži na okamžité automatické zasielanie pokladničných dokladov vystavených na registračných pokladniach na server Finančnej správy. Do systému musia byť od 1. júla 2019 pripojení všetci podnikatelia s registračnou pokladnicou. Na strane podnikateľa predstavuje pokladnicu väčšinou len počítač prepojený s tlačiarňou. Samotná eKasa pozostáva z PPEKK, teda firmvéru pokladnice či samostatného softvéru, a CHDÚ, teda pamäte, do ktorej sa dáta dajú len zapisovať. Zapisujú sa pritom všetky vystavené doklady a dáta, ktoré sú zaslané na tlačiareň.
Zraniteľnosť systému spočíva práve medzi komunikáciou medzi PPEKK a CHDÚ. Na jednej strane, PPEKK nedokáže overiť pravosť chráneného úložiská. Na strane druhej, komunikácia nie je šifrovaná a dáta zapisované na CHDÚ sú tak voľne prístupné. Etickí hackeri zo spoločnosti Nethemba demonštrovali takzvaný man-in-the-middle útok (MITM útok), ktorý tieto nedostatky zneužíva. Trik spočíval vo vytvorení emulátora, ktorý skopíroval obsah CHDÚ a ďalej sa zaňho vydával v komunikácii s programom eKasa. Tento „klon“ následne bránil komunikácii medzi PPEKK a pôvodným CHDÚ a dáta zapisoval do súboru na disku počítača. Upravením pravidiel firewallu zároveň bránil v odosielaní dát na server Finančnej správy. „To, čo sme urobili, nie je nijaký hack. Nepotrebovali sme zasiahnuť do softvéru pokladnice ani do hardvéru chráneného úložiska,“ uviedol Pavol Lupták, riaditeľ spoločnosti Nethemba.
Nastavenie emulátora CHDÚ
Emulátor umožnil hackerom vydávať falošné pokladničné doklady, opakovane tlačiť originálne doklady či zmeniť identifikačné údaje pokladnice tak, aby ju nebolo možné spätne dohľadať. „Len s malým úsilím je možné doprogramovať tlač akéhokoľvek dokladu. Týmto si môžu podnikatelia napr. po skončení mesiaca navzájom zapožičať CHDÚ a vytlačiť si do nákladov toľko dokladov, koľko len potrebujú. Z takýchto dokladov si môžu uplatniť aj odpočet DPH.“ Zákazník, ktorý obdrží takýto falošný doklad nie je schopný overiť jeho pravosť. Po načítaní QR kódu z dokladu do oficiálnej aplikácie „Over doklad“ sa mu zobrazí len oznámenie, že doklad doposiaľ nebol na serveroch Finančnej správy zaevidovaný. Podnikateľom pritom zo zákona vyplýva, že odoslanie dokladov na server musí prebehnúť najneskôr do 48 hodín od predaja, v prípade problémov s pripojením na internet.
Podľa hackerov by Finančná správa dokázala sama odhaliť podvod len v prípade, že by robila opakované kontrolné nákupy. Zároveň však v stanovisku upozorňujú, že hoci by bola na nedoručený doklad upozornená aplikáciou, kvôli úprave identifikačných údajov pokladnice by mala problém podnikateľovi dokázať, že falošný doklad vydal práve on. Nethemba vo svojej správe uvádza, že čiastočné riešenie problému by mohlo spočívať v zavedení šifrovanej komunikácie či overovacej funkcie „výzva-odpoveď“. Pokiaľ by medzi PPEKK a CHDÚ existovalo zdieľané tajomstvo, program by dokázal overiť či úložisko toto tajomstvo pozná, a teda či nejde o emulátor. Takéto riešenie však má útočníka len odradiť finančnou náročnosťou realizácie.
Ukážka zdrojového kódu
„Principiálne to pôjde ale vždy prelomiť reverzným inžinierstvom a vycrackovať – teda upraviť tak, aby nedokázala rozpoznať či komunikuje s reálnym alebo emulovaným CHDÚ. Takže MITM útok vždy pôjde realizovať. Otázkou bude len cena takéhoto útoku.“ Investigatívne centrum oznámilo, že disponuje zdrojovým kódom emulátora použitého pri demonštrovanom útoku. Je ochotné poskytnúť ho úradom na preskúmanie a overenie. Finančná správa však tieto závery vo svojom stanovisku odmieta a vyzýva „všetkých, aby prestali spochybňovať zavádzanie online-izácie pokladníc, ak majú záujem na eliminácii daňových podvodov.“
„Pevne veríme, že vyjadrenia tejto spoločnosti vyplývajú iba z neznalosti samotného systému a nie sú motivované súkromnými pohnútkami niektorých dodávateľov pokladničných riešení, ktorí nezískali certifikáciu pre eKasu.“ Emulátor ani jeho zdrojový kód nie sú doposiaľ na internete dostupné. Investigatívne centrum však upozorňuje, že „v prostredí predajcov pokladníc sa začína hovoriť o tom, že podobné aplikácie by mohli byť na čiernom trhu už čoskoro k dispozícii.“ V prípade, že Finančná správa nebude zraniteľnosť považovať za dostatočne kritickú, spoločnosť Nethemba je pripravená pre demonštráciu závažnosti zverejniť zdrojové kódy emulátora.
Zdroj: Cybersec