O ślepocie korporacyjnej, prawie karnym i bezpieczeństwie państwa.
Mimo moich licznych publikacji wyników audytów technicznych, które wskazują na fundamentalne, zaplanowane i wdrożone problemy suwerennościowe w architekturze Krajowego Systemu e-Faktur, oddźwięk w głównym nurcie eksperckim pozostaje niepokojąco cichy. Na fachowych forach osiągnięto konsensus co do jednego: w systemie KSeF to firma Imperva dostarcza warstwę WAF i terminuje ruch TLS. Jednak kluczowa teza, która z tego wynika, wciąż jest omijana szerokim łukiem.
Istota problemu: jawność metadanych
Moja główna teza analityczna, oparta na badaniach ruchu sieciowego, brzmi: metadane JSON zwracane przez API 2.0 KSeF nie są zaszyfrowane na poziomie aplikacji (w przeciwieństwie do samej faktury XML).
Oznacza to, że po terminacji TLS na węźle zewnętrznego dostawcy, w infrastrukturze chmurowej jawnie widoczne są: NIP sprzedawcy i nabywcy, nazwy podmiotów, kwoty netto/VAT/brutto, waluta, numer faktury, daty operacyjne i jej typ. Z punktu widzenia analizy wywiadowczej (Threat Modeling), daje to zagranicznym podmiotom dostęp do pełnego krwiobiegu polskiej gospodarki w czasie rzeczywistym. Dlaczego zatem instytucjonalni eksperci milczą? Wymaga to zrozumienia trzech zjawisk.
Symbioza finansowa i konflikt interesów
Większość renomowanych firm audytorskich, instytutów badawczych i portali branżowych funkcjonuje w symbiozie projektowej z administracją państwową. Krytyka priorytetowego projektu rządowego — z tak głęboko udokumentowanym defektem w architekturze strategicznej — wiąże się z ogromnym ryzykiem biznesowym. Wytykanie błędów Ministerstwu Finansów to prosta droga do marginalizacji przy kolejnych grantach i przetargach dla spółek Skarbu Państwa.
Ślepota korporacyjna (Vendor Blindness)
Wielu ekspertów ocenia KSeF przez pryzmat komercyjnego rynku IT. Instalowanie chmurowego WAF-a (np. Cloudflare, Imperva) z terminacją protokołu TLS to powszechna, tania i wygodna praktyka w e-commerce. Zapomina się jednak o fundamentalnej różnicy skali ryzyka. Potencjalny wgląd w logi sklepu obuwniczego to najwyżej incydent biznesowy. Jednak strukturalny wgląd zewnętrznych podmiotów w logi transakcji między dostawcami technologii a polskim sektorem zbrojeniowym to wyrwa w bezpieczeństwie narodowym. Nie można przykładać miary sklepu internetowego do systemu krytycznego państwa.
Paraliż prawny i efekt mrożący (Art. 267 KK)
To bodaj najciekawszy aspekt sprawy. W Polsce prawo jest opresyjne wobec niezależnych badaczy (tzw. White Hats). Zgłoszenie luki w systemie państwowym często kończy się zawiadomieniem o przestępstwie z art. 267 Kodeksu Karnego ("kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej..."). Grożą za to 2 lata więzienia.
Dla porównania: w 2022 roku Departament Sprawiedliwości USA zrewolucjonizował prawo, przyjmując politykę ochrony badaczy działających w dobrej wierze (Good Faith Security Research). Amerykańscy analitycy nie boją się audytować systemów, jeśli robią to w celu poprawy bezpieczeństwa. W Polsce informatyk trzęsie się przed prokuratorem. Dlatego moje własne testy bezpieczeństwa musiały zostać przeprowadzone wyłącznie z zewnątrz, bez zakładania konta w systemie, by nie narażać się na ten absurdalny paragraf.
Apel do niezależnego środowiska IT
Zbieg tych czynników sprawia, że technologia rozjeżdża się z polityką. Certyfikowani eksperci uwikłani w kontrakty milczą, a politycy nie rozumieją detali protokołów sieciowych, by dostrzec zagrożenie dla suwerenności danych.
Jako niezależny inżynier-programista nie jestem związany rządowymi kontraktami, dlatego opublikowałem te wnioski otwartym tekstem. Jednak bezpieczeństwo państwa wymaga weryfikacji (Peer Review).
Zwracam się z apelem do środowiska Open Source, niezależnych sieciowców i architektów IT: testujcie moje ustalenia! Weryfikujcie architekturę API 2.0 KSeF. Potwierdźcie (lub merytorycznie obalcie) tezy z moich audytów. Zróbmy to rzetelnie, opierając się na twardych danych z warstwy sieciowej. Musimy zapełnić tę lukę analityczną, zanim architektura tego systemu bezpowrotnie skompromituje polską tajemnicę handlową.
Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65
PS. W istocie dla całej tej szpiegowskiej afery KSeF istotne są tylko i wyłącznie dwa fakty, które w sposób niezbity, na 100% ustaliłem w szczegółowych, profesjonalnych audytach technicznych:
- Bramkę bezpieczeństwa WAF systemu KSeF obsługuje zagraniczna firma Imperva.
- Przez tę bramkę w sposób widoczny dla firmy Imperva przepływają metadane o każdej polskiej fakturze w formacie JSON, które obejmują: numery NIP i pełne nazwy kontrahentów, dokładne kwoty netto, VAT i brutto, waluta transakcji, numer i typ faktury oraz daty operacyjne.
Tu najnowsze audyty to potwierdzające:
- audyt-infrastruktury-sieciowej-bramka-waf-systemu-ksef-20
- audyt-techniczny-jawnosc-metadanych-faktur-ksef-w-json-na-bramce-waf-obslugiwanej-przez-imperve
- audyt-techniczny-ksef-szyfrowanie-e2e-faktury-xml
Z tych dwóch prostych, łatwo weryfikowanych i potwierdzonych faktów wynikają wszystkie wnioski polityczne i biznesowe, które opisałem w tych artykułach:
Seria thrillerowa o KSeF:
- Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość. Porównanie KSeF z JPK: czesc-i-ksef-nie-poszerza-inwigilacji-ksef-zwieksza-rozdzielczosc
- Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie. Praktyczny przykład: czesc-ii-praktyka-ksef-hurtpol-kontra-kowalski-i-synowie
- Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza. O pokosie dla administratora systemu: czesc-iii-administrator-ksef-czyli-gdzie-naprawde-lezy-wladza
- Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel! O suwerenności cyfrowej: czesc-iv-technologia-ksef-suwerennosc-konczy-sie-tam-gdzie-konczy-sie-kabel
- Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty! O tym, że zaczął to PiS: czesc-v-ksef-i-ciaglosc-decyzji-imperva-czyli-suwerennosc-sprzedana-na-raty
- Część VI. KSeF - wyjaśnienie techniczne i praktyczne przykłady. Przykłady firm z branży militarnej i spożywczej: czesc-vi-ksef-wyjasnienie-techniczne-i-praktyczne-przyklady
- Część VII. Jakie metadane widzi Imperva? O metadanych: czesc-vii-jakie-metadane-widzi-imperva
- Część VIII. Co jeszcze widzi Imperva? Więcej metadanych: czesc-viii-co-jeszcze-widzi-imperva
- Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach! O tym, że szybkie pingi o niczym nie świadczą, bo to chmura: czesc-ix-ludzkosc-odrywa-sie-od-terytorium-i-zaczyna-bujac-w-oblokach
- Cześć X. Polska jako jedyna na świecie oddała na tacy swoją suwerenność cyfrową obcym wywiadom: czesc-x-polska-jako-jedyna-na-swiecie-oddala-na-tacy-swoja-suwerennosc-cyfrowa-obcym
Seria "Niewidzialna pętla #KSeF"
- Część I — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Braci Kowalskich: czesc-i-niewidzialna-petla-ksef-o-tym-jak-metadane-zniszczyly-braci-kowalskich
- Część II — niewidzialna pętla KSeF: jak Kowalscy mogą obronić się przed inwigilacją: hczesc-ii-niewidzialna-petla-ksef-jak-kowalscy-moga-obronic-sie-przed-inwigilacja
- Część III — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Stomil: czesc-iii-niewidzialna-petla-ksef-o-tym-jak-metadane-zniszczyly-stomil
- Część IV — niewidzialna pętla KSeF: dlaczego utajniona umowa z Impervą jest nic niewarta: czesc-iv-niewidzialna-petla-ksef-dlaczego-utajniona-umowa-z-imperva-jest-nic-niewarta
- Część V — niewidzialna pętla KSeF: Wojna wywiadów, niemiecki szantaż i globalny odwet na polskim biznesie: czesc-v-niewidzialna-petla-ksef-wojna-wywiadow-niemiecki-szantaz-i-globalny-odwet
- Część VI — Niewidzialna pętla KSeF: manipulacyjna dezinformacja mediów: czesc-vi-niewidzialna-petla-ksef-manipulacyjna-dezinformacja-mediow
Tagi: GPS65, Gospodarka, Biznes, Wolny Rynek, Prywatność, Cyberbezpieczeństwo
Nie ma reakcji - teżmnie to dziwi.
Podał pan argumenty na tacy.
Jakoś to będzie. Chyba tak podchodzą do tego decydenci. I po co narażać się na pracę jeżeli nikt nie pogania.
Nie wychylać się, bo wszystko może być później na ciebie.