10:21
1/5/2010

Na blogu Macieja Zbrzeznego znaleźć można obszerny opis elektronicznych metod rozliczania się z Urzędem Skarbowym. Maciej wytyka słabe strony niektórych aplikacji do generowanie i wysyłania PIT-ów oraz zastanawia się, czy elektroniczne rozliczanie się z fiskusem to dobry pomysł. My, w kontrataku, zastanawiamy się czy sugerowane przez Macieja rozliczenie “na papierze”, to rzeczywiście “bezpieczniejsze” wyjście…

Plakat reklamujący dość ciekawą inicjatywę...

Numer referencyjny przewidywalny?

Maciej twierdzi, że numer referencjny, który w przypadku skorzystania z programu E-deklaracje zastępuje kwalifikowany podpis elektroniczny, jest dość łatwy do przewidzenia, bo opiera się na następujących danych:

  • numer NIP,
  • imię pierwsze, (część PESEL, określa płeć, uwaga na “Maria”)
  • nazwisko,
  • numer PESEL (jeśli podatnik posiada ten numer),
  • data urodzenia, (przypominam, że to część peselu)
  • kwota przychodu z zeznania lub rocznego obliczenia podatku za rok poprzedni

W związku z tym, wg Macieja, ktoś może w naszym imieniu złożyć PIT-a (taki prawie replay-attack).

Choć nie do końca zgadzamy się z tezą o przewidywalności postawioną przez Macieja, zapraszamy Was do zapoznania się z prezentowanymi przez niego sposobami na poznanie każdej z w/w cech identyfikujących podatnika w tekście Niebezpieczne pity.

W ostatnim zdaniu, Maciej dochodzi do wniosku, że:

bezpieczniej jest rozliczać się “na papierze”

Czy faktycznie?

Niestety autor nie opisał (porównał) jak łatwo jest stojąc w kolejce do US rzucić okiem przez ramię na składanego PIT-a albo jak prosto można przechwycić papierową korespondencję do US i przez ile osób po drodze ona przechodzi.

Jeśli dorzucimy do tego łatwość z jaką można podejrzeć treści zamknięte w kopercie (bez jej naruszania) oraz nie taką znowu trudną umiejętność podrobienia czyjegoś odręcznego podpisu, wyjdzie na to, że rozliczanie się na papierze wcale a wcale nie jest bezpieczniejsze… Ba! Niektórzy mogą nawet powiedzieć, że na papierze ławiej wstrzyknąć “fałszywego PIT-a”, bo nie musimy znać kwoty przychodu za rok poprzedni. :>

Warto się też zastanowić, jakie to “straszne rzeczy” się staną, jeśli ktoś oprócz nas wyśle PIT-a w naszym imieniu… i czy w ogóle są straszne?

A jaki sposób złożenia zeznania podatkowego jest wg Was najbezpieczniejszy?

Bezpieczniej jest złożyć PIT-a

Zobacz wyniki ankiety

P.S. W komentarzu poniżej podaje teoretyczny sposób na poznanie przychodów dowolnej osoby. Warunek: ofiara rozlicza się przez e-deklarację i znamy jej imię, nazwisko, NIP i PESEL.

Przeczytaj także:

30 komentarzy

Dodaj komentarz
  1. Na papierze bezpieczniej, przez internet szybciej i prościej. W teorii jest możliwy ten sam numer dla dwóch różnych osób, jest możliwe przechwycenie danych i wysłanie za kogoś pita tylko trzeba by tą osobę znać albo musiałaby być na tyle głupią żeby udostępniać je wszędzie. Zostaje też pytanie po co.

  2. Co ciekawe, program E-deklaracje może nam podpowiedzieć, ile ktoś zarobił w roku poprzednim ;-)

    Zakładając, że znamy te dane ofiary: NIP, imię, nazwisko, PESEL, a ofiara złożyła w obecnym roku PIT-a przez internet, robimy co następuje:

    1. generujemy numer referencyjny wg wzoru, bruteforce’ując kwotę przychodu (z zakresu np. 60k-160k)
    2. każdy z generowanych numerów referencyjnych dodajemy do “monitorowania” w edeklaracjach
    3. ten na który przyjdzie UPO wskazuje nam przychód ofiary w roku ubiegłym.

    Tutaj wynik dwóch błędnych refID:
    http://konieczny.be/skitch/hacking_e-deklaracje-20100501-112841.jpg

  3. > W teorii jest możliwy ten sam numer dla dwóch różnych osób

    Na pewno jest to możliwe? Bo nie chce mi się wierzyć w aż taką wtopę.

    Dla mnie porażką jest sam program do składana e-deklaracji. Wypełnienie PIT to 5 minut, użeranie się z koniecznym zestawem programów, wtyczek, runtime’ów to 4,5 godziny nerwów. Do tego jeszcze nie udało się nawet potwierdzić (trzeba było ręcznie, przez www), ani wydrukować/zrobić sobie kopii PDF na przyszłość (chyba kurde printscreena użyję).

  4. Cholender, czemu nie działa blockquote w komentarzach? Kiedyś chyba działało…

  5. Nawiązując do mojego wcześniejszego komentarza, tak sobie myślę, że wdrożenie jakiegoś limitu połączeń do servera e-deklaracji po IP w danej jednostce czasu mogłoby odrobinkę pomóc, spowalniając atak — o ile czegoś takiego jeszcze nie ma — ja sprawdziłem dla kilku refID, nie dla 100 000 ;-)

  6. Ja się męczyłem z tym drukowaniem chyba z pół godziny. Nie da się wydrukować bezpośrednio do PDFa bo Acrobat specjalnie generuje wadliwy PostScript powodujacy błędy distillera, mające na celu uniemożliwienie nieautoryzowanego powielania zaszyfrowanych dokumentów PDF. Nie jest to jednak coś czego nie dałoby się obejść:

    1. Instalujemy sterownik postscriptowej drukarki od Adobe (http://tiny.pl/hg33c) na porcie “FILE:”
    2. Drukujemy PITa z programu e-deklaracje do pliku PS
    3. Otwieramy plik PS w edytorze tekstowym i usuwamy 11 magicznych linii znajdujących się za komentarzem: “%% Removing the following eleven lines is illegal, subject to Digital Copyright Act of 1998.”
    4. Konwertujemy plik PS do PDF uzywając na przykład GhostScripta.

    No i mamy juz kopię naszego zeznania w postaci pliku PDF.

  7. Może i łatwiej „wstrzyknąć” papierowego pita, tylko po co … przy jakiś specyficznych warunkach np. „bo nie lubię pana Kazia*” to ma sens. Przeprowadzając atak siecią już nie są wymagane specyficzne warunki, wystarczy lubić coos „rozp…ic” przed śniadaniem. Oczywiście pomijam konieczność posiadania danych, choć pewnie można kupić jakąś małą bazę danych. Pewnie i bez danych jakiś mały DOS byłby możliwy.

    Odnośnie zarobków to czy czasem urzędnicy państwowi nie muszą podawać tych w kwot w jakiś oświadczeniach majątkowych?

    * Użyte w tekście imię jest przypadkowe :D

  8. Niezależnie, czy limit jest, czy go nie ma, to klasyczne usability vs. security. Dziura była oczywista od samego początku, da się przed tym zabezpieczyć (np. kod autoryzacyjny wydawany w US, po wizycie osobistej i wylegitymowaniu się dokumentem; a w ogóle to powinien być kwalifikowany podpis elektroniczny) tylko… jaki jest sens? Składnie pocztą i przez internet z założenia miało rozładować kolejki w urzędach i to się IMO udało.

    Dostęp do tych danych (nie tylko z zeszłego roku) ma całe mnóstwo ludzi pracujących w US, mimo wszystko musisz mieć sporo danych o osobie (no dobra, wystarczy, jakaś umowa o dzieło, minimalnie i masz komplet), żeby poznać zarobki. Gorzej, jakby ogólne bazy urzędu były dziurawe…

    • A po co kwalifikowany? Podpis na papierowym potwierdzasz z pomocą notariusza?

  9. Czy ktoś może mi powiedzieć jaki cel ma składanie za kogoś fałszywego zeznania, skoro i tak to zostanie wykryte, i nie przynosi żadnych korzyści?

    • @kuki: taki sam, jak strata popołudnia na “podrabianie” karty lojalnościowej IKEA — just for the sake of it ;-) Duplikat prędzej czy później zostanie wykryty, ale już metoda na sprawdzenie przychodu danej osoby to konkretna informacja (może dla kogoś przydatna w jakiś okolicznościach, dla innych pewnie niewygodna). Kolejna sprawa — to kwestia “modelu bezpieczeństwa” samej komunikacji z urzędami, której jedną z wad wytknął np. guzik.

  10. Wie ktoś jak można wysłać tą piekielną deklarację nie posiadając Windows a jakiś GNU/Linux? Przebolał bym jeszcze instalację bloatware od Adobe, ale odechciało mi się gdy zobaczyłem dodatkowy plugin w postaci exe. Stwierdziłem że szkoda mojego cennego czasu i że zrobię to po staremu. Nie ma jak niezależność technologiczna państwa. W banku można zrobić przelew na 75000 (tak, 75000) przy użyciu tylko przeglądarki z szyfrowaniem transmisji, ale żeby wysłać deklarację to nie – nie wystarczy mail podpisany przez GnuPG.

  11. Najbezpieczniejszą metodą jest przywiązanie PIT-u do cegły i wrzucenie przez okno. Przy odrobinie szczęścia można dodatkowo kogoś trafić.

  12. Tak w-spaniale i tak nowo-cześnie
    Może by tak zrobić załatwianie spraw z urzędem pracy przez internet :D
    Jest tak w-spaniale – e-gzaltacja lol

  13. O ile kwestia bezpieczeństwa jest bardzo istotna to dla mnie najważniejsze jest, że ktoś w końcu mi umożliwił rozliczenie tego przez internet. Na pewno z wiekiem aplikacji podniosą poziom zabezpieczeń. Druga bardzo istotna zaleta to multi-platformowość, niesamowicie mnie zaskoczyło, że bez problemu mogłem to odpalić ma macu, a ze specyfikacji tech. wygląda, że działa też na Linuksie.

    • @seth: dobrze prawisz, ale choćby nie wiem jak się administracja starała, zawsze znajdą się “narzekacze”…

  14. Ja nie miałem żadnych problemów ze złożeniem deklaracji przez internet, ani z drukowaniem potwierdzenia. Korzystałem z programu PITy 2009. Także moim zdaniem funkcjonuje to nieźle.

    A to zgadywanie dochodów raczej trochę by zajęło. Weźcie po uwagę, że ta kwota jest podawana co do grosza…

  15. Szkodliwość “wstrzykiwania” jest dość niska, poza podpisem, jeszcze kilka innych rzeczy nas chroni, na przykład “atakujący” nie będzie znał kwoty z PIT 8C, którą my składamy w formie PIT-38, a urzędowi przesyła go np. biuro maklerskie.

  16. @lorem_ipsum
    wystarczy program jak pdfFactory. Ja tak właśnie zapisałem do pdf’a

  17. @Jurgi
    Korzystałem z plug-inu do Adobe Readera (instalacja w paręnaście sekund) i nie miałem żadnych problemów z tym co piszesz. Ściągnąłem dwa pdfy: formularz PIT-u i UPO, wypełniłem, zapisałem i wydrukowałem bez problemu. W tych pdfach nie ma ograniczenia drukowania. Nie wiem jak to jest w tym programie e-Deklaracje Desktop.

  18. Różne straszliwe scenariusze ataku na e-Deklaracje były wysuwane przez fanów certyfikatu kwalifikowanego już dawno temu, gdy MinFin rozważał rezygnację z tej zaawansowanej techniki blokowania kontaktów z administracją publiczną.

    Wymyślano, że ludzie będą składać deklaracje dla kawału, że będą podkładać komuś świnię itp. Nikt nie zadał sobie prostego pytania – po jaką cholerę mieliby zacząć robić to, co i do tej pory było możliwe, nie ma żadnego uzasadnienia finansowego a wiąże się z konkretnym ryzykiem karno-skarbowym?

    Żaden z tych dość głupawych scenariuszy się nie sprawdził. I było to wiadome od początku, bo wystarczyło spojrzeć na przykład UK czy USA, gdzie ludzie rozliczają się z HMRS czy IRS bez żadnego kwalifikowanego podpisu od co najmniej 10 lat. Bo tak jest taniej, prościej i WYSTARCZAJĄCO bezpiecznie.

    Chciałbym natomiast zwrócić uwagę na jeden fakt – liczba deklaracji złożonych przez e-Deklaracje w ubiegłym (70 tys.) i bieżący roku (160 tys.) to o kilka rzędów wielkości więcej niż liczba JAKICHKOLWIEK dokumentów elektronicznych przesłanych do administracji publicznej przez osoby prywatne OD POCZĄTKU tak zwanej informatyzacji. Z elektronicznej skrzynki podawczej w Krakowie – rzecz jasnej “zabezpieczonej” podpisem kwalifikowanym – korzysta ROCZNIE poniżej 10 osób.

    To pokazuje dość dobitnie jaka jest główna rola podpisu kwalifikowanego w Polsce – jest to BLOKOWANIE elektronicznej komunikacji urzędów z obywatelem zamiast ich ułatwiania.

    O kosztach nie wspomnę – proszę sobie policzyć ROI dla w/w skrzynki podawczej biorąc pod uwagę, że średni koszt to kilkadziesiąt tysięcy złotych. Oczywiście te pieniądze nie wyparowały tylko poszły do kilku firemek, które wykorzystując FUD i lamerstwo decydentów potrafiły przelobbować korzystne dla siebie rozwiązania prawne bo nie potrafią w inny sposób odnaleźć się na normalnym rynku usług związanych z uwierzytelnianiem ;-Q

    • @kravitz i wspomnijmy, ze 2 z tych 10-ciu osób, które korzystają z Krakowskiej elektronicznej skrzynki podawczej, to Ty i ja, osoby, które “z racji obowiązków zawodowych” są właścicielami kwalifikowanego podpisu elektronicznego. Nie wiem jak Ty, ale ja bym go jako “zwykły Kowalski” raczej nie kupił ;-)

  19. To prawda, ja z tej krakowskiej skrzynki korzystałem kilkukrotnie przez 2 tygodnie tylko po to, żeby zebrać doświadczenia do artykułów oraz prezentacji na szkolenie jak nie należy realizować usług elektronicznych administracji publicznej :)

  20. Po pierwsze, komu by się chciało składać za kogoś PIT, chyba tylko dla żartów i musiałby mieć troche czasu żeby określić przychody za ubiegły rok i znać pozostałe dane-małe prawdopodobienstwo.
    Po drugie, Urząd weryfikuje PIT zgodnie z przychodami podatnika, więc byle jakie cyferki na deklaracji nie przejdą. Podatnik bedzie musial sie stawic na wyjasnienia.
    Po trzecie, podatnik sam wysle PIT i to wlasciwy i ewentualnie bedzie musial złożyc wyjasnienia.
    Takiemu pseudo hakerowi niestety nie bedzie sie to oplacalo z powodów ekonomicznych-straci swoj czas a zadnych korzysci nie bedzie z tego mial.
    Wiec po co tyle szumu???

  21. @kravietz: Dokładnie ująłeś sedno problemu. Rozliczyłem się drugi raz via net. Nie wyobrażam sobie, że miałbym się teraz rozliczać inaczej. Szybka analiza ryzyka wykazała, że bezpieczniej będzie korzystać z e-deklaracji :]

    @OkropNick: Mi się udało. Skrócony opis: /szukaj: Jak zainstalować Adobe Air na Slackware (13.0) i wypełnić zeznanie podatkowe pod Linuksem przez internet?/
    http://kaneda.bohater.net/faq.php

  22. Warto zauważyć że protokół i format składania PITów jest otwarty i dokładnie wyspecyfikowany więc każdy może sobie stworzyć dowolną aplikację która wykona takie zadanie.
    http://e-deklaracje.mf.gov.pl/files/dopobrania/eDek_Specyfikacja_We-Wy_1.4.pdf

  23. http://wyborcza.biz/biznes/1,100897,7861646,Dlaczego_Polacy_nie_rzucili_sie_na_e_PITy__Ze_strachu_.html
    “Tłumaczyć na billboardach i w reklamach, że rozliczanie przez sieć jest bezpieczne, szybkie i tanie. e-PIT to jest to! Trzeba to ludziom uświadomić/”

  24. Ja polecam rozliczyc się przez pitax.pl

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: