ekasa

Сьогодні була опублікована інформація про те, як легко eKasa можна "обдурити". Звіт був створений Слідчим центром Яна Куцяка, який задокументував, як декілька етичних хакерів намагалися повалити безпеку eKasa.

Всіх здивувало, що це можливо без великих проблем. Вони створили просту програму, яка обійшла захищене сховище даних (CHDÚ). Це сховище, яке ви повинні засвідчити Фінансовою адміністрацією.

З системою eKasa ми говоримо про проект, який нам, платникам податків, коштував створити сотні тисяч або навіть мільйони євро. Перша спроба спромоглася зробити систему непрацездатною, зробивши "зброю проти ухилення від сплати податків та шахрайства" колись незначною.

Ситуація тим серйозніша, що новий закон показує, що майже всі підприємці можуть підключитися до цієї системи.

eKasa проти ERP

Якщо порівнювати безпеку старих електронних касових апаратів (ERP) та системи eKasa, то слід сказати, що традиційні ERP були набагато краще захищені від таких "атак".

Попередні ERP використовували фіскальну пам’ять для резервного копіювання даних, де всі операції були записані і не могли бути змінені або видалені після запису. Злом ERP був набагато складнішим за eKase в області слів етичних хакерів з Nethemby. "Якщо хтось хотів обдурити, йому потрібен був досвідчений технік. Потрапити в прошивку каси довелося важко, і особливо наочно ".

"Якщо хтось хотів обдурити, йому потрібен був досвідчений технік. Потрапити в прошивку каси довелося важко, і особливо наочно ".

ICJK.sk

Етичні хакери не є злочинцями.

Пояснюючи це, етичні хакери - це експерти з ІТ-безпеки, які намагаються зламати безпеку систем. Їх мета - не заподіяти шкоду чи отримати інформацію, а зовсім навпаки. Етичні хакери хочуть прийти і вказати на загрозу слабкої безпеки системи, щоб власник дивідендів у майбутньому уникав таких загроз.

На думку МСЮК, проблема є відносно чіткою, і важко зрозуміти, що зробив Фінансовий звіт.

«Ekasa насправді є одним підрозділом, що складається з двох частин - програми касового апарату та захищеного сховища даних. І можливо, це могло б спрацювати, якби програмне забезпечення використовувало зашифроване з'єднання для зв'язку із захищеним сховищем. Спочатку це передбачалося, ця вимога була однією з умов сертифікації, яку касири повинні були отримати у фінансовій адміністрації. Однак згодом платники податків відмовились від цієї вимоги. Ми не знаємо чому, у нас є лише підказки, але саме тому можливо обійти нові eCas таким чином, щоб навіть дитина, яка навчиться клацати за допомогою миші, могла з цим впоратися ».

ICJK.sk

Злом eKas був легким

Не було необхідності втручатися в систему, щоб "зламати" систему eKasa. Лорди Нетемби створили програму, яка поєднувалась із захистом даних і видавала себе згаданим CHDÚ перед системою. Як то кажуть, потім можна викинути ІХС.

"Простий емулятор надає користувачеві всі можливості, які може побажати шахрай з оподаткування. Версія, яку вони нам показали, має простий та зручний інтерфейс, де ви просто натискаєте те, що вам потрібно: Ви можете роздрукувати документ для клієнта, який система ніколи не надсилатиме на портал фінансової адміністрації. Емулятор створює для вас правило в брандмауері операційної системи, яке відкидає та не надсилає дані. Водночас він замінює ідентифікаційні дані каси випадковими символами, так що ретроспективно ідентифікувати їх вже неможливо. Якщо ви перевірите такий документ через портал фінансової адміністрації, ви не виявите, що документ недійсний, ви отримаєте лише повідомлення, що він ще не зареєстрований ".

ICJK.sk

Іншим способом зменшення податку на прибуток за допомогою такої програми є передрук того самого документа, оскільки документ не може бути перевірений ретроспективно. Ймовірно, жодна перевірка ніколи не виявить, що дві або більше компаній одночасно коштували однакові товари, що купуються в секунду.

Також є цікава інформація про отримання сертифікації касового апарату. Довготривалі та досвідчені виробники, які подали на сертифікацію касові апарати із зашифрованим зв’язком, сертифікат не отримали. Ті виробники, які вирішили використовувати модуль від компанії CHDÚ, s.r.o, яка є новачком у цій галузі, не мали проблем із сертифікацією.

Ви можете побачити думку окремих сторінок за наступними посиланнями та відео.

Рішення

Єдиний спосіб, яким Фінансовий звіт може виправити цю фатальну помилку, полягає в тому, що система застосовує зашифрований зв’язок.

У наступному відео Павол Луптак з Nethemba пояснює, як вирішити проблему http://icjk.sk/wp-content/uploads/2019/11/E-kasa-rozhovor.mp4

На закінчення можна лише додати, що система eKasa також відображає стан та готовність державних ІТ-проектів, які часто коштують мільйони євро. Оскільки використання системи eKasa передбачено законодавством, ми не можемо цього уникнути.

Найближчими місяцями ми можемо зіткнутися з накопиченням випадків казначейських векселів, які неможливо перевірити ретроспективно. Однак тут держава повинна виконати свою роль, відремонтувати систему та запобігти її зловживанням.

Як підключити принтер до програми Blocker

Підключити принтер VRP до програми Bločkomat дуже просто. За допомогою декількох клацань ви можете зробити це за одну хвилину. Тож давайте дійдемо до цього.

Приймайте карткові платежі також за допомогою VRP

Google Pay та Apple Pay зростають неймовірними темпами завдяки широкій банківській підтримці, саме тому платіжні картки набагато більше потрібні. Якщо ви починаєте бізнес або ще не маєте терміналу для прийому платежів карткою, обов’язково придбайте такий, щоб допомогти своєму бізнесу.