vašej firme Nethemba sa v týchto dňoch v spolupráci s Investigatívnym centrom Jána Kuciaka podarilo „hacknúť“ eKasy.
S Investigatívnym centrom Jána Kuciaka spolupracujeme dlhšiu dobu. Dostali nápad overiť bezpečnosť eKasy a najali si nás ako externých bezpečnostných konzultantov. Projekt sa mi páčil aj preto, že už v minulosti som eKasu ostro kritizoval.
čo je to eKasa?
Je to nový druh registračných pokladníc, ktoré okamžite posielajú údaje z vykonaných transakcií na finančnú správu a súčasne na chránené bezpečnostné úložisko (CHDU). My sme demonštrovali, že v bezpečnostnom dizajne eKasy je vážny problém. Celé bezpečnostné chránené úložisko je možné odemulovať (vo výpočtovej technike je to schopnosť napodobniť jeden systém iným, pozn. red.), teda urobiť také kroky, aby si eKasa reálne myslela, že dáta ukladá na úložisko a posiela ich na finančnú správu.
V skutočnosti však tieto dáta nikam neposiela, no informácie ukladá do emulátora chráneného úložiska. To znamená, že tieto eKasy dokážu fungovať úplne offline. Vydávajú teda pokladničné bločky s akýmkoľvek obsahom, ktorý neposielajú na Finančnú správu alebo do bezpečnostného chráneného úložiska.
Oslávte s nami 30 rokov slobody. Bez nezávislých médií nie je slobodná žiadna krajina. Podporte nás kúpou digitálneho predplatného za výnimočnú cenu.
ako vyzeral váš „útok“ na systém eKasy?
To, čo sme my spravili, sa v odbornej terminológií nazýva Man in the middle attack. Postavili sme sa medzi program PPEKK (pokladničný program eKás) a CHDÚ a tvárili sme sa, že my sme to skutočné chránené uložisko. Pokladnica nedokázala overiť, že my nie sme reálny CHDÚ a komunikovala s nami. My sme reálne odemulovali CHDÚ.
Celý článok si môžete prečítať, ak si kúpite Digital predplatné .týždňa. Ponúkame už aj možnosť kúpiť si spoločný prístup na .týždeň a Denník N.