O ślepocie korporacyjnej, prawie karnym i bezpieczeństwie państwa.
Mimo moich licznych publikacji wyników audytów technicznych, które wskazują na fundamentalne, zaplanowane i wdrożone problemy suwerennościowe w architekturze Krajowego Systemu e-Faktur, oddźwięk w głównym nurcie eksperckim pozostaje niepokojąco cichy. Na fachowych forach osiągnięto konsensus co do jednego: w systemie KSeF to firma Imperva dostarcza warstwę WAF i terminuje ruch TLS. Jednak kluczowa teza, która z tego wynika, wciąż jest omijana szerokim łukiem.
Istota problemu: jawność metadanych
Moja główna teza analityczna, oparta na badaniach ruchu sieciowego, brzmi: metadane JSON zwracane przez API 2.0 KSeF nie są zaszyfrowane na poziomie aplikacji (w przeciwieństwie do samej faktury XML).
Oznacza to, że po terminacji TLS na węźle zewnętrznego dostawcy, w infrastrukturze chmurowej jawnie widoczne są: NIP sprzedawcy i nabywcy, nazwy podmiotów, kwoty netto/VAT/brutto, waluta, numer faktury, daty operacyjne i jej typ. Z punktu widzenia analizy wywiadowczej (Threat Modeling), daje to zagranicznym podmiotom dostęp do pełnego krwiobiegu polskiej gospodarki w czasie rzeczywistym. Dlaczego zatem instytucjonalni eksperci milczą? Wymaga to zrozumienia trzech zjawisk.
Symbioza finansowa i konflikt interesów
Większość renomowanych firm audytorskich, instytutów badawczych i portali branżowych funkcjonuje w symbiozie projektowej z administracją państwową. Krytyka priorytetowego projektu rządowego — z tak głęboko udokumentowanym defektem w architekturze strategicznej — wiąże się z ogromnym ryzykiem biznesowym. Wytykanie błędów Ministerstwu Finansów to prosta droga do marginalizacji przy kolejnych grantach i przetargach dla spółek Skarbu Państwa.
Ślepota korporacyjna (Vendor Blindness)
Wielu ekspertów ocenia KSeF przez pryzmat komercyjnego rynku IT. Instalowanie chmurowego WAF-a (np. Cloudflare, Imperva) z terminacją protokołu TLS to powszechna, tania i wygodna praktyka w e-commerce. Zapomina się jednak o fundamentalnej różnicy skali ryzyka. Potencjalny wgląd w logi sklepu obuwniczego to najwyżej incydent biznesowy. Jednak strukturalny wgląd zewnętrznych podmiotów w logi transakcji między dostawcami technologii a polskim sektorem zbrojeniowym to wyrwa w bezpieczeństwie narodowym. Nie można przykładać miary sklepu internetowego do systemu krytycznego państwa.
Paraliż prawny i efekt mrożący (Art. 267 KK)
To bodaj najciekawszy aspekt sprawy. W Polsce prawo jest opresyjne wobec niezależnych badaczy (tzw. White Hats). Zgłoszenie luki w systemie państwowym często kończy się zawiadomieniem o przestępstwie z art. 267 Kodeksu Karnego ("kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej..."). Grożą za to 2 lata więzienia.
Dla porównania: w 2022 roku Departament Sprawiedliwości USA zrewolucjonizował prawo, przyjmując politykę ochrony badaczy działających w dobrej wierze (Good Faith Security Research). Amerykańscy analitycy nie boją się audytować systemów, jeśli robią to w celu poprawy bezpieczeństwa. W Polsce informatyk trzęsie się przed prokuratorem. Dlatego moje własne testy bezpieczeństwa musiały zostać przeprowadzone wyłącznie z zewnątrz, bez zakładania konta w systemie, by nie narażać się na ten absurdalny paragraf.
Apel do niezależnego środowiska IT
Zbieg tych czynników sprawia, że technologia rozjeżdża się z polityką. Certyfikowani eksperci uwikłani w kontrakty milczą, a politycy nie rozumieją detali protokołów sieciowych, by dostrzec zagrożenie dla suwerenności danych.
Jako niezależny inżynier-programista nie jestem związany rządowymi kontraktami, dlatego opublikowałem te wnioski otwartym tekstem. Jednak bezpieczeństwo państwa wymaga weryfikacji (Peer Review).
Zwracam się z apelem do środowiska Open Source, niezależnych sieciowców i architektów IT: testujcie moje ustalenia! Weryfikujcie architekturę API 2.0 KSeF. Potwierdźcie (lub merytorycznie obalcie) tezy z moich audytów. Zróbmy to rzetelnie, opierając się na twardych danych z warstwy sieciowej. Musimy zapełnić tę lukę analityczną, zanim architektura tego systemu bezpowrotnie skompromituje polską tajemnicę handlową.
Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65
PS. W istocie dla całej tej szpiegowskiej afery KSeF istotne są tylko i wyłącznie dwa fakty, które w sposób niezbity, na 100% ustaliłem w szczegółowych, profesjonalnych audytach technicznych:
- Bramkę bezpieczeństwa WAF systemu KSeF obsługuje zagraniczna firma Imperva.
- Przez tę bramkę w sposób widoczny dla firmy Imperva przepływają metadane o każdej polskiej fakturze w formacie JSON, które obejmują: numery NIP i pełne nazwy kontrahentów, dokładne kwoty netto, VAT i brutto, waluta transakcji, numer i typ faktury oraz daty operacyjne.
Tu najnowsze audyty to potwierdzające:
- audyt-infrastruktury-sieciowej-bramka-waf-systemu-ksef-20
- audyt-techniczny-jawnosc-metadanych-faktur-ksef-w-json-na-bramce-waf-obslugiwanej-przez-imperve
- audyt-techniczny-ksef-szyfrowanie-e2e-faktury-xml
Z tych dwóch prostych, łatwo weryfikowanych i potwierdzonych faktów wynikają wszystkie wnioski polityczne i biznesowe, które opisałem w tych artykułach:
Seria thrillerowa o KSeF:
- Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość. Porównanie KSeF z JPK: czesc-i-ksef-nie-poszerza-inwigilacji-ksef-zwieksza-rozdzielczosc
- Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie. Praktyczny przykład: czesc-ii-praktyka-ksef-hurtpol-kontra-kowalski-i-synowie
- Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza. O pokosie dla administratora systemu: czesc-iii-administrator-ksef-czyli-gdzie-naprawde-lezy-wladza
- Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel! O suwerenności cyfrowej: czesc-iv-technologia-ksef-suwerennosc-konczy-sie-tam-gdzie-konczy-sie-kabel
- Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty! O tym, że zaczął to PiS: czesc-v-ksef-i-ciaglosc-decyzji-imperva-czyli-suwerennosc-sprzedana-na-raty
- Część VI. KSeF - wyjaśnienie techniczne i praktyczne przykłady. Przykłady firm z branży militarnej i spożywczej: czesc-vi-ksef-wyjasnienie-techniczne-i-praktyczne-przyklady
- Część VII. Jakie metadane widzi Imperva? O metadanych: czesc-vii-jakie-metadane-widzi-imperva
- Część VIII. Co jeszcze widzi Imperva? Więcej metadanych: czesc-viii-co-jeszcze-widzi-imperva
- Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach! O tym, że szybkie pingi o niczym nie świadczą, bo to chmura: czesc-ix-ludzkosc-odrywa-sie-od-terytorium-i-zaczyna-bujac-w-oblokach
- Cześć X. Polska jako jedyna na świecie oddała na tacy swoją suwerenność cyfrową obcym wywiadom: czesc-x-polska-jako-jedyna-na-swiecie-oddala-na-tacy-swoja-suwerennosc-cyfrowa-obcym
Seria "Niewidzialna pętla #KSeF"
- Część I — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Braci Kowalskich: czesc-i-niewidzialna-petla-ksef-o-tym-jak-metadane-zniszczyly-braci-kowalskich
- Część II — niewidzialna pętla KSeF: jak Kowalscy mogą obronić się przed inwigilacją: hczesc-ii-niewidzialna-petla-ksef-jak-kowalscy-moga-obronic-sie-przed-inwigilacja
- Część III — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Stomil: czesc-iii-niewidzialna-petla-ksef-o-tym-jak-metadane-zniszczyly-stomil
- Część IV — niewidzialna pętla KSeF: dlaczego utajniona umowa z Impervą jest nic niewarta: czesc-iv-niewidzialna-petla-ksef-dlaczego-utajniona-umowa-z-imperva-jest-nic-niewarta
- Część V — niewidzialna pętla KSeF: Wojna wywiadów, niemiecki szantaż i globalny odwet na polskim biznesie: czesc-v-niewidzialna-petla-ksef-wojna-wywiadow-niemiecki-szantaz-i-globalny-odwet
- Część VI — Niewidzialna pętla KSeF: manipulacyjna dezinformacja mediów: czesc-vi-niewidzialna-petla-ksef-manipulacyjna-dezinformacja-mediow
Tagi: GPS65, Gospodarka, Biznes, Wolny Rynek, Prywatność, Cyberbezpieczeństwo
Nie ma reakcji - teżmnie to dziwi.
Podał pan argumenty na tacy.
Jakoś to będzie. Chyba tak podchodzą do tego decydenci. I po co narażać się na pracę jeżeli nikt nie pogania.
Nie wychylać się, bo wszystko może być później na ciebie.
a nie dziwi, że matecznik tego narcyza @świrderskiego, jakim jest Konfa i jego guru Mentzen też milczy?
Można się domyślać, że wiedzą kim jest @świrder, powołanie się na niego może jeszcze bardziej skompromitować tą partyjkę, bo nikt rozsądny nie przyzna, że to AI jest źródłem.
Tak poważnie, sprawa jest znana od dawna, @świrderski niczego nie odkrył, jak wmawia, tylko kto ma się tym zająć, rządząca szajka, jak to robią to specjalnie, na polecenie Berlina.
Na to wygląda, że to jest robota na zlecenie.
I czy to by mówiła sztuczna , czu prawdziwa inteligencja nic na to nie poradzi.
Do Admina: ja moje teksty publikuję w wielu miejscach. A potem w dyskusjach daję linki do nich, gdy jest taka potrzeba. Każdy wpis, który zostaje zaśmiecony przez chama pokroju spike powoduje, że nigdy nigdzie nie będę go linkować. Tolerując tu chamstwo, powodujecie tylko to, że stajecie się coraz bardziej niszowi i odrażający.
Widzisz chamie z dziada, pradziada, twoje skopiowane wpisy niewielu interesuje, a najbardziej twoja osoba, jesteś znany w sieci, głównie z chamstwa, z NB też byłeś wywalony, brak twojej pracy copywritera nikt nie odczuje, tym bardziej, że na każdy komentarz kogokolwiek, odpowiadasz wyzwiskami, nikt ci nie ubliża, jak ty to czynisz.
Nie rozumiem tej wrogości. Zostawmy to ludziom Tuska. Tutaj się po prostu różnijmy.
To jest chamstwo organiczne, wyniesione z domu, zaszyte w genach: ijontichy-tricolour-i-spike-wzor-zachowania-na-naszych-blogach
Tu wyjaśniam, dlaczego tolerowanie chamstwa degraduje ten portal: systemowy-problem-portalu-jak-toksyczni-uzytkownicy-niszcza-cala-wspolnote.