NASTOPE.SK
Image default

Škandál! eKasu vraj možno hacknuť

Funkčnosť nových pokladníc pre Investigatívne centrum Jána Kuciaka (ICJK) preverili etickí hackeri zo spoločnosti Nethemba. Ich odhalenie je skutočne šokujúce.

“Súčasné riešenie má fatálne bezpečnostné nedostatky a pokladáme ho za menej bezpečné, ako predošlé,” konštatuje po preverení zabezpečenia nových pokladníc Pavol Lupták z Nethemba. eKasa je jeden celok pozostávajúci z dvoch častí, pokladničného programu a chráneného dátového úložiska. Tento systém by mohol fungovať, keby softvér používal na komunikáciu s chráneným úložiskom šifrované spojenie, upozorňuje ICJK. Pôvodne to tak malo byť, požiadavka bola medzi podmienkami certifikácie, ktorú museli získať výrobcovia pokladníc od finančnej správy. Neskôr však daniari od tohto nároku ustúpili. Práve z tohto dôvodu je podľa ICJK možné novú eKasu obísť.

Etickí hackeri z firmy Nethemba v rámci testovania systému napísali emulátor, ktorý sa spojí s chráneným úložiskom, skopíruje ho a ďalej sa pred pokladnicou tvári ako modul CHDÚ. Následne môže používateľ napríklad vytlačiť pre zákazníka doklad, ktorý systém nikdy neodošle na portál finančnej správy. Zároveň nahradí identifikačné údaje pokladne náhodnými znakmi, takže spätne ju už nie je možné identifikovať. “Ak si budete takýto doklad overovať cez portál finančnej správy, nezistíte, že doklad je neplatný, dostanete len hlásenie, že doposiaľ nebol zaregistrovaný,” vysvetľuje centrum.

Podvod by nevedeli dokázať ani policajti

Ďalšia možnosť je opakovaná tlač originálneho dokladu. Emulátor dokáže vytlačiť ten istý legálny doklad, so správnymi údajmi a regulárne zaregistrovaný na portáli finančnej správy, opakovane. Ten istý nákup si tak môžu dať do nákladov aj desiatky podnikateľov. Šanca, aby kontrolór zistil, že dvaja podnikatelia kúpili ten istý tovar v tom istom čase v tom istom obchode, je podľa ICJK v praxi nulová.

“V tomto prípade sme sa samotného systému ani nedotkli a nijaký zásah nie je spätne žiadnym spôsobom preukázateľný. Náš emulátor môžete spustiť aj z virtuálneho disku a po vypnutí počítača po ňom neostane žiadna stopa. Aj keby vám finančná správa alebo polícia zhabala celý systém, nenašli by v ňom nič, čím by vám mohli dokázať podvod,” upozornil na nedostatky systému Lupták.

Emulátor v súčasnosti nie je nikde voľne k dispozícii, ani neexistuje vo forme užívateľsky jednoducho inštalovateľnej a spustiteľnej aplikácie. V prostredí predajcov pokladníc sa však podľa ICJK začína hovoriť o tom, že podobné aplikácie by mohli byť na čiernom trhu už čoskoro k dispozícii.

Súvisiace články

Policajný zásah v Bratislave: Firma neodviedla 400-tisíc eur

Ivan Mego

Tento web používa súbory cookies. Prehliadaním webu vyjadrujete súhlas s ich používaním. Potvrdiť Čítať ďalej