Pomimo moich licznych publikacji miażdżących architekturę KSeF potwierdzonych specjalistycznymi audytami kilkunastu krajów z całego świata oraz ostrych tekstów oskarżających rząd o szpiegostwo i aferę groźniejszą niż zabory, oddźwięk w głównym nurcie merytorycznej infostrefy jest nikły. Nikt nie zaprzecza, a potwierdza niewielu i tylko wyrywkowo. W zasadzie na fachowych forach niezbicie potwierdzone jest tylko to, że w systemie KSeF to Imperva robi WAF i terminuje TLS, a zatem widzi metadane.
Jednak kluczowa moja teza brzmi: "metadane JSON zwracane przez API 2.0 KSeF, w tym: NIP sprzedawcy i nabywcy, nazwy podmiotów, kwoty netto/VAT/brutto, waluta transakcji, numer faktury, daty operacyjne i typ faktury, nie są zaszyfrowane aplikacyjnie tak jak cała faktura XML i są jawnie widoczne dla Impervy". To jest najważniejsze, bo właśnie to widzą obce wywiady w całej polskiej gospodarce. Zrobiłem solidny audyt to potwierdzający pod tytułem: "Audyt techniczny: jawność metadanych JSON w KSeF przy terminacji TLS przez Imperva" — wszystko inne jest drugorzędne. Do tego nikt się nie odnosi. Dlaczego eksperci milczą?
Można tylko spekulować, więc to zrobię. Większość renomowanych firm audytorskich, niezależnych rzekomo portali specjalistycznych i badaczy z tytułami akademickimi operuje w ścisłej symbiozie finansowej i projektowej z administracją rządową. Krytyka tak priorytetowego projektu rządu, jak KSeF, z tak głęboko udokumentowanym defektem w architekturze strategicznej, wiąże się z ryzykiem wizerunkowym i biznesowym — odcięciem od grantów, kontraktów dla spółek Skarbu Państwa czy marginalizacją środowiskową.
Dodatkowo istnieje zjawisko tak zwanej "ślepoty korporacyjnej" (vendor blindness). Ponieważ instalowanie chmurowego WAF-a (od Cloudflare, Imperva czy Akamai) z terminacją protokołu TLS jest popularną, wygodną, powszechną i tanią praktyką w sektorze czysto komercyjnym (np. w e-commerce), wielu specjalistów podchodzi do zjawiska KSeF z fałszywą apatią. Zapominają oni o fundamentalnej różnicy: widoczność logów ze sklepu obuwniczego to incydent biznesowy, a gromadzenie danych przez obcy wywiad o fakturach od producenta amunicji dla Wojska Polskiego to zdrada stanu i wyrwa w bezpieczeństwie narodowym.
Jest jeszcze bardzo ciekawy aspekt prawny! W Polsce, gdy badacz infrastruktury informatycznej zgłosi lukę w systemie rządowym, a administracja uzna, że działał bez upoważnienia, operator może jednocześnie złożyć zawiadomienie o popełnieniu przestępstwa. Im poważniejsza luka w systemie strategicznym, tym większe ryzyko dla tego, kto ją znajdzie. Robi się to przy użyciu art. 267 kodeksu karnego: "kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej [...] podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.". Dlatego moje wszystkie audyty są robione bez konta w KSeF, bo lepiej nie ryzykować podpadnięcie pod ten paragraf.
W 2022 roku Departament Sprawiedliwości USA ogłosił formalną politykę nieścigania badaczy działających w dobrej wierze (good faith security research). Definicja jest precyzyjna: badanie prowadzone jest wyłącznie w celu poprawy bezpieczeństwa, researcher ujawnia wyniki odpowiedzialnie i nie ma zamiaru wyrządzenia szkody ani uzyskania korzyści majątkowej. Więc tam informatycy nie boją się robić audytów nawet dużo głębszych niż moje, z użyciem kont w systemie e-faktur.
Informatycy boją się polityki i się od niej odcinają, więc nie analizują infrastruktury sieciowej pod względem politycznych zagrożeń, a politycy nie znają się na szczegółach technicznych Internetu, więc nie rozumieją istoty rzeczy. Dlatego tylko ja to odkryłem tak dogłębnie i szeroko — i opublikowałem solidne audyty techniczne i wnioski polityczne — bo jestem programistą i interesuję się polityką. A na dodatek nie boję się utraty żadnych grantów czy kontraktów, bo jestem niezależnym freelancerem, jestem tylko zwykłym koderem wibracyjnym, nie jestem ekspertem od cyberbezpieczeństwa wplątanym w układy z państwem i jego administracją.
Lecz takich jak ja jest więcej i mocno wierzę w to, że ten świat, nie zginie nigdy dzięki nim. Ten świat, czyli Polska, nasz kraj, który sprzedajni politycy niszczą. Więc apeluję do niezależnych programistów, informatyków i sieciowców: nie bójcie się sprawdzać moje audyty! Nie bójcie się publikować wnioski! Testujcie to i róbcie swoje badania! I potwierdźcie lub zaprzeczcie moim odkryciom — ale merytorycznie, skrupulatnie, mądrze, a nie na chybcika, na intuicję i na odwal się. Pomożecie? Bo certyfikowani eksperci pewnie nie, bo trzęsą portkami. Gdy wieje wiatr historii, ludziom jak pięknym ptakom rosną skrzydła, natomiast trzęsą się portki pętakom.
Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65
PS. A tu macie wszystkie odcinki mojej serii, w których to wszystko dokładnie opisuję:
- Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość. Porównanie KSeF z JPK.
- Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie. Praktyczny przykład.
- Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza. O pokosie dla administratora systemu.
- Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel! O suwerenności cyfrowej.
- Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty! O tym, że zaczął to PiS.
- Część VI. KSeF — wyjaśnienie techniczne i praktyczne przykłady z branży militarnej i spożywczej.
- Część VII. Jakie metadane o ruchu widzi Imperva?
- Część VIII. Co jeszcze widzi Imperva? Więcej metadanych
- Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach! O tym że szybkie pingi o niczym nie świadczą, bo to chmura.
- Cześć X. Polska jako jedyna na świecie oddała na tacy swoją suwerenność cyfrową obcym wywiadom
- A tu o tym, że firmę Imperva założył Shlomo Kramer
Tagi: KSeF gps65, gospodarka, biznes, wolny rynek, Imperva, cyberbezpieczeństwo, Polska, wywiad, szpiegostwo