Wiadomo, że Ministerstwo Finansów w API 2.0 systemu KSeF wdrożyło pełne szyfrowanie aplikacyjne end-to-end (E2E), a więc treść faktur w KSeF jest nieczytelna dla pośrednika. Wiadomo, że Imperva, siedząca na brzegu jako WAF, terminuje szyfrowanie TSL, ale nie wiadomo czy ma klucze do odszyfrowania aplikacyjnego E2E, więc może nie widzieć pozycji towarowych, cen, nabywcy, numerów kont czy załączników na fakturze. Może nie mieć wglądu w payload sensu stricto. Tego nie wiadomo, żadne oświadczenie czy oficjalne komunikaty tego nie rozstrzygają.
Załóżmy na razie, że Imperva nie widzi treści faktur, że nie ma kluczy E2E do ich odszyfrowania. Widzi tylko metadane po odszyfrowaniu TSL. Zbadajmy tego implikacje.
Moje audyty techniczne wykazały niezbicie, że Imperva terminuje TLS, więc widzi metadane. Widzi warstwę HTTP, widzi parametry transportu, widzi rytm ruchu, widzi błędy i czasy, widzi rozmiary i odciski klienta. Treść jest zaszyfrowana, ale jej cień jest ogromny. A cień treści, zebrany masowo, staje się treścią na poziomie statystyki, korelacji i grafów.
WAF na brzegu nie musi rozumieć faktury, żeby rozumieć użytkownika, firmę, branżę i tempo obrotu. Wystarczą mu metadane. Poniżej lista tego, co widzi Imperva. Tam, gdzie coś zależy od specyfikacji endpointów KSeF albo od tego, czy MF używa mTLS, piszę to wprost.
Adresy, pochodzenie, geografia
1. Imperva widzi adres IP nadawcy. Widzi, z jakiej sieci idzie ruch, a więc w praktyce widzi region, operatora, typ łącza, czasem nawet organizację, jeśli mówimy o stałych adresach korporacyjnych lub o chmurach. Widzi też, czy ruch idzie z biura rachunkowego, z centrum danych, z hostingu, z urządzenia mobilnego, czy z wielkiej platformy SaaS obsługującej setki klientów.
Z IP robi się geolokalizację. Nie idealną, ale wystarczającą, żeby budować mapy aktywności fakturowania w czasie rzeczywistym. W Polsce to jest termometr gospodarki, warstwa po warstwie, region po regionie.
Warstwa HTTP: nagłówki, ścieżki, parametry
2. Imperva widzi nagłówki HTTP. W praktyce oznacza to widoczność takich rzeczy jak User-Agent, Content-Type, Content-Length, Accept, Authorization, cookie i wszelkie nagłówki specyficzne dla implementacji klienta oraz integratora.
User-Agent często zdradza system operacyjny i bibliotekę klienta, a czasem wręcz nazwę produktu ERP i jego wersję. Jeśli ktoś sądzi, że to nic, to niech sobie wyobrazi listę firm w kraju pogrupowaną według tego, czy stoją na nowoczesnym ERP, czy na starociach, czy na własnych skryptach, czy na usługach biura rachunkowego. To jest mapa doboru celów dla ataków i mapa rynku dla dostawców IT.
3. Imperva widzi ścieżki endpointów, metodę żądania i query string. Nawet jeśli treść jest zaszyfrowana, sama ścieżka mówi, czy to jest wysyłka faktury, zapytanie o status, pobieranie listy, pobieranie dokumentów, odświeżanie sesji, autoryzacja i tak dalej. WAF z definicji musi to widzieć, bo na tym robi reguły bezpieczeństwa, limity, blokady, wykrywanie anomalii.
W wielu systemach API identyfikator podmiotu, na przykład NIP, bywa częścią URI albo jawnego nagłówka. Jeśli tak jest w KSeF dla istotnej części operacji, Imperva ma wtedy banalny mechanizm przypisania aktywności do konkretnych firm. Jeżeli KSeF trzyma identyfikację wyłącznie w tokenie, a NIP nie pojawia się jawnie w ścieżce, to wciąż Imperva widzi token i wciąż może profilować sesję, choć mapowanie do NIP wymagałoby dodatkowego elementu. Nie zakładam na wiarę. Stwierdzam techniczny fakt: to zależy od specyfikacji endpointów.
Tokeny, sesje i cykl życia połączenia
4. Imperva widzi tokeny autoryzacyjne, jeśli są w authorization albo w cookie. Nie widzi ich znaczenia, ale widzi ich wartość, długość, format, częstotliwość odświeżania, momenty wygaśnięć, a więc cały cykl życia sesji. Widziane masowo daje to obraz stabilności integracji, jakości implementacji i tego, kto walczy z systemem, a kto ma to dopięte.
5. Imperva widzi, czy klient używa keep-alive i jak zarządza połączeniami. Czy otwiera nowe połączenie na każdą fakturę, czy utrzymuje sesję i wysyła seriami. Czy robi równoległe żądania. Czy potrafi efektywnie użyć HTTP/2, czy tkwi w HTTP/1.1. To są detale, które w skali kraju stają się pełną typologią dojrzałości technologicznej przedsiębiorstw.
Fingerprinting: odcisk palca bez treści
6. Imperva może robić fingerprinting klienta. Każdy stos TLS, każda biblioteka HTTP, każde środowisko uruchomieniowe, zostawia specyficzną sygnaturę. Zestaw wspieranych szyfrów, rozszerzeń TLS, kolejność nagłówków, domyślne wartości, rytm pakietów, parametry handshake. Z tego składa się odcisk palca, który często jest stabilniejszy niż IP.
To ma znaczenie fundamentalne. Z fingerprintingu wynika możliwość rozpoznania, że to ten sam klient, mimo zmiany adresu IP, mimo VPN, mimo NAT. Wynika możliwość rozróżnienia, czy faktury idą z profesjonalnego modułu ERP, czy z ręcznie skleconego skryptu. Wynika możliwość wykrycia migracji, gdy firma zmienia system, bo nagle zmienia się jej sygnatura ruchu.
Czas i rytm: milisekundy mówią więcej niż zdania
7. Imperva widzi dokładne czasy operacji. Widzi, kiedy żądanie przyszło, kiedy zostało przekazane, kiedy wróciła odpowiedź. Widziane w długim okresie daje to rytm dobowy, tygodniowy, miesięczny. Widziane w krótkim okresie daje korelacje. Widziane masowo daje cechę gospodarki, która wcześniej była nie do uchwycenia: cyfrowy puls transakcji.
8. Imperva widzi wzorce retry. Jeśli klient wysyła, dostaje błąd, próbuje ponownie, próbuje trzeci raz. WAF to widzi. Widziane masowo daje obraz, które integracje są kruche, które systemy robią głupoty, które firmy mają chroniczne problemy, a które działają jak zegarek. Daje też obraz tego, jak często system MF jest w stanie granicznym, skoro klienci masowo ponawiają.
Rozmiary, rozkłady, wycieki długości
9. Imperva widzi rozmiary żądań i odpowiedzi. Content-Length to metadana, która jest warta więcej niż połowa komentarzy publicystycznych, bo ona daje możliwość klasyfikacji. Nie trzeba czytać faktury, żeby wiedzieć, że jedna jest prosta, a druga jest potworem na dziesięć tysięcy pozycji. Nie trzeba czytać faktury, żeby wykryć masowe wysyłki batchy.
Tu pojawia się rzecz, którą wielu ludzi myli. To nie jest "padding oracle" w sensie akademickiej podatności. To jest zwykły wyciek długości i konsekwencja tego, że ciphertext ma rozmiar związany z plaintextem. Jeśli nie maskujesz długości przez stałe ramki i dopchnięcia, to długość sama w sobie jest informacją. A informacja o długości w skali kraju jest informacją o strukturze obrotu.
Dodatkowo kompresja paradoksalnie pomaga w analizie. Pliki o wysokiej entropii (bardzo zróżnicowane dane) kompresują się inaczej niż powtarzalne schematy. Operator WAF może na podstawie stopnia kompresji zaszyfrowanego bloku szacować, jak bardzo złożona jest faktura w środku.
10. Ważniejszy od pojedynczego rozmiaru jest rozkład rozmiarów. Stabilność, wariancja, percentyle, skoki. Firma o przewidywalnej sprzedaży ma przewidywalny rozkład. Firma robiąca niestandardowe akcje ma anomalie. Tego nie wyczytasz z jednej faktury. To widzisz dopiero z metadanych zbieranych centralnie.
Odpowiedzi, błędy, zdrowie systemu
11. Imperva widzi kody odpowiedzi i błędy. Widzi, które firmy dostają 401, które 403, które 400, które 429. Widzi falę błędów po aktualizacji jakiegoś ERP, bo nagle określony fingerprint klienta generuje błędy masowo. Widzi awarie backendu MF, bo rośnie czas odpowiedzi i rośnie odsetek errorów.
WAF na brzegu bywa pierwszym miejscem, gdzie widać prawdę o systemie. Zanim MF w ogóle zbierze swoje logi, zanim ktoś to zinterpretuje, brzeg już ma metryki. I dlatego w każdym sporze o suwerenność technologiczną należy zadać brutalnie proste pytanie: kto stoi na brzegu i komu ta prawda o systemie jest dostępna.
TLS, SNI, protokoły, wersje
12. Imperva widzi parametry TLS, w tym SNI, wersję TLS, negocjowany protokół, zestawy szyfrów, rozszerzenia. To jest źródło fingerprintingu i źródło mapy nowoczesności klientów. Widzi, kto wspiera TLS 1.3, a kto nie. Widzi, kto nagle się cofnął, bo w firmie coś pękło i ktoś ustawił bibliotekę na stare tryby.
13. Imperva widzi, czy klient jedzie po HTTP/2, czy po HTTP/1.1, a jeśli infrastruktura wspiera HTTP/3, to i to. W skali kraju to jest statystyka modernizacji, i to jest statystyka, która w połączeniu z identyfikacją firm tworzy mapę, kto jest cyfrowo miękki.
Certyfikaty klienta i mTLS
14. Jeśli KSeF używa mutual TLS, czyli certyfikatu klienta na poziomie handshake, to Imperva widzi metadane tego certyfikatu. Widziałaby wystawcę, numer seryjny, daty ważności, subject. To jest potencjalnie identyfikacja osoby lub organizacji na poziomie warstwy transportu. Jeśli KSeF nie używa mTLS i autoryzacja jest tokenowa, ten punkt odpada.
Koperta szyfrowania i struktura payloadu
15. Zależnie od tego, jak wygląda koperta szyfrowania aplikacyjnego, Imperva może widzieć jawne elementy struktury, takie jak tagi zewnętrzne, identyfikatory algorytmów, długości kluczy, obecność podpisów, IV, zaszyfrowanego klucza symetrycznego. Jeśli to jest standardowa koperta XML Encryption, to nie jest treść faktury, ale jest to niepusta informacja. Jeśli to jest blob w jednym polu, to informacji jest mniej, ale rozmiary i tak zostają.
16. Nawet jeśli MF użyje standardu XAdES (podpis elektroniczny), to niektóre jego warianty zawierają niezaszyfrowane certyfikaty i znaczniki czasu, co jest kolejną kopalnią metadanych widoczną dla WAF-a.
Co z tego wynika?
1. Operator brzegu ma wiedzę o tym, kiedy i jak intensywnie gospodarka oddycha. To jest wskaźnik aktywności w czasie rzeczywistym. Zanim powstanie statystyka, zanim ktoś wyśle raport, zanim GUS coś policzy, brzeg już widzi skok lub spadek aktywności. Widzi piki końca miesiąca, widzi zmiany sezonowe, widzi nietypowe cisze.
2. Z metadanych da się zrobić indeks koniunktury szybszy niż klasyczne wskaźniki. Zliczasz SendInvoice i podobne operacje, ważysz branżami, regionami, klasami klientów, bierzesz rozkłady rozmiarów i masz sygnał. Nie idealny, ale w realnym świecie przewaga informacyjna rzadko jest idealna. Wystarczy, że jest wcześniejsza.
3. User-Agent i fingerprinting dają mapę używanego oprogramowania i jego dojrzałości. Dają udział w rynku dostawców ERP. Dają identyfikację hubów, czyli biur rachunkowych i platform SaaS, które są węzłami dla setek firm. Dają obraz, kto outsourcuje, kto ma własną integrację, kto jest technologicznie na glinianych nogach.
4. Jeśli wiesz, kto używa przestarzałych bibliotek i starych stosów, wiesz, kto jest miękki. Jeśli wiesz, kto ma chroniczne błędy autoryzacji, wiesz, kto ma bałagan w procesach. Jeśli wiesz, kto wysyła faktury z nietypowych miejsc i o nietypowych porach, masz materiał do anomalii. To można użyć do obrony, ale można też użyć do ataku. To jest neutralne narzędzie, które staje się niebezpieczne w zależności od tego, kto trzyma rękę na dźwigni.
5. WAF widzi latencje i degradację. WAF widzi, jak backend reaguje na różne klasy obciążenia. WAF widzi masowe fale błędów po zmianach po stronie MF. WAF widzi, kiedy system jest na granicy. To jest wiedza o wąskich gardłach państwowej infrastruktury.
6. Z korelacji czasowych i sekwencji operacji można budować probabilistyczny graf relacji między podmiotami. Nie deterministyczny, nie na 100%, nie magiczny. Probabilistyczny, ale w skali kraju i w skali miesięcy takie grafy zaczynają mieć ostrość. Jeśli podmiot A wysyła, a chwilę później podmiot B pobiera, jeśli to się powtarza, jeśli zachowanie jest stabilne, jeśli dochodzą rozmiary i rytm, to z metadanych zaczyna się wyłaniać struktura łańcuchów dostaw. Nie treść faktur. Relacje.
7. Jeśli masz szybki sygnał o spadku aktywności fakturowania w jakiejś branży albo nawet w konkretnej spółce, to masz materiał, który może być użyty do spekulacji, do analizy ryzyka, do przewidywania wyników. W normalnym świecie takie dane są kupowane. Tu byłyby dane uboczne z infrastruktury.
8. Jeśli firma X zawsze wysyła faktury we wtorki o 10:00, a nagle wysyła gigantyczną paczkę w niedzielę o 2:00 w nocy, to WAF o tym wie. To nie tylko anomalia bezpieczeństwa, to informacja o fuzjach, przejęciach lub problemach z płynnością.
Klasyczna sztuczka obronna Ministerstwa Finansów brzmi: Imperva nie widzi treści faktur, więc nie ma problemu. To jest dyskusja o innym obiekcie. Problemem nie musi być treść. Problemem może być metapoziom, czyli to, co dla analityka jest cenniejsze niż jedna faktura. Jedna faktura jest informacją lokalną. Metadane wszystkich faktur w kraju to jest informacja strategiczna.
Państwo, które oddaje brzeg komunikacji gospodarczego systemu fakturowania zewnętrznemu operatorowi, oddaje zewnętrznemu operatorowi metadaniową kontrolę nad ruchem. Treść można schować w E2E. Metadanych schować się nie da, bo system bez metadanych nie działa.
Można dyskutować, czy ktoś tego nadużyje. Można spierać się o intencje. Ale architektura jest jak prawo fizyki. Jeśli istnieje możliwość techniczna, to w świecie realnym istnieje też ryzyko wykorzystania. Czasem przez rynek, czasem przez służby, czasem przez wycieki, czasem przez błędy ludzkie, czasem przez zwykłą pokusę, bo dane są warte dużych pieniędzy.
W KSeF nie chodzi więc wyłącznie o to, czy ktoś czyta faktury. Chodzi o to, kto słyszy szum krwi w żyłach gospodarki. Bo kto to słyszy, ten wcześniej wie więcej. A kto wie wcześniej, ten ma władzę, nawet jeśli nie dotyka treści. Więc wszystkie przykłady firm zbrojeniowych, które opisałem w poprzedniej części, pozostają w mocy.
Jednak najgorsze w całej tej sprawie z KSeF jest to, że Ministerstwo Finansów ukrywa to, że firma Imperva realizuje usługę WAF. W systemie e-Zamówienia ani w BIP CIRF nie ma żadnego przetargu ani umowy dotyczącej Impervy. Nie istnieją publicznie dostępne dokumenty dotyczące warunków współpracy z Impervą, zakresu dostępu do danych, czy zabezpieczeń umownych.
Ministerstwo Finansów nie publikuje umowy z Impervą, nie informowało oficjalnie o jej roli w KSeF, a w komunikatach używa wyłącznie ogólnych określeń typu "systemy bezpieczeństwa" czy "operator usług bezpieczeństwa", świadomie unikając konkretnej nazwy dostawcy i technicznych szczegółów architektury. Informacja o Impervie wyszła od dziennikarzy oraz z niezależnych audytów technicznych, a nie z transparentnej komunikacji resortu. Ja to odkryłem jako jeden z pierwszych informatyków i blogerów. Już samo to, że Imperva jest ukrywana zasługuję na dymisję Tuska.
Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65
PS. Poprzednie części:
- Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość.
- Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie.
- Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza.
- Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel!
- Część V. Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty!
- Część VI. Część VI. KSeF - wyjaśnienie techniczne i praktyczne przykłady
Tagi: gps65, KSeF, Imperva