QR kod se skenira mobilnom aplikacijom TVOJE banke.
Podaci idu u TVOJU banku i predstavljaju insturkciju za plaćanje trgovcu.
Kada se plaćanje izvrši, trgovac dobija informaciju da je stigl uplata.

O kakvom ti sada lažnom serveru pričaš?

Biće da si nešto pomešao ;)

Ovde je reč o QR kodu na fiskalnom računu koji služi za proveru računa. Ne treba nikakva aplikacija za skeniranje, može obična kamera. Ti pričaš o IPS kodu, to je drugo.

Hmmmm.... Saljem podatke direktno na server. Moje prve ideje:

- Nabijem zilion podataka, da vidim moze li da se izvede buffer overflow.
- Probam neki SQL Injection (blind, nema veze.... Bobby Tables je moj heroj).

Sta bi se desilo da imam artikal koji se zove : brasno 500gr " ; drop table racuni ;

Evo šta se dobije skeniranjem računa iz Lidla, obratite pažnju koliki je to link... živo me zanima šta toliko šalju na server.

https://suf.purs.gov.rs/v/?vl=...GHHPMQI010SNbuNgOe0Gp2whGgo%3D

al što na dnu skenirane stranice ima link za drukanje, još piše - Dobrodošli ste da se identifikujete i kvalifikujete za nagradu ako ovaj slučaj dovede do krivičnog gonjenja poreskog obveznika zbog utaje poreza.

U tom linku se nalazi kompletan račun bez onog žurnala dole. Dakle iznos, porezi, ko je generisao,, vreme, broj računa ... i sve to potpisano/kriptovano sa ko zna čime :)

Da, samo zašto bi slali sve te podatke na server?

Jedino što mi pada na pamet jeste zbog slučajeva offline fiskalizacije (preko LPFR-a). Kupiš nešto, dobiješ offline fiskalni račun, skeniraš i đoka, server nema info o tom računu. Zato ti kad skeniraš račun, zapravo pošalješ podatke sa računa i sajt poreske uprave ti prikaže te iste podatke koji su "šatro" fiskalizovani iako ih nema u bazi. Onaj ko je izdao račun offline, samo resetuje svoj LPFR i račun nikad ne bude poslat na server. Može li to tako?

Deo tog linka generiše sama kartica kad fiskalizuje račun. Ne postoji način da ti generišeš ispravan link i da na poreskoj piše da je račun ispravan.

Da bi resetovao karticu moraš da dobiješ tu komandu od poreske, a da bi dobio tu komandu moraš da pošalješ sve račune koji su potpisani sa tom karticom. Ukoliko ne pošalješ neki račun limit na kartici se nikad neće resetovati i moraš da vadiš novu karticu.

Porez mora da se plati. Nema šanse da zezneš poresku :)

Ono sto može da se desi je da se neko doseti pa da u QR ubaci URL koji vodi ka njegovom sajtu koji prilično liči na sajt poreske uprave, a koji će naravno da kaže da je račun ispravan i opet ponudi link za drukanje. To sto bi ovo bilo vrlo oybiljno krivično delo druga je stvar.

To jeste moguće, ali svaki LPFR/ESIR mora da bude sertifikovan od strane poreske. Ukoliko poreska provali da LPFR/ESIR nešto "muva" zabraniće njegov radi i svi računi izdati od tog programa neće biti važeći. Da li će firma koja pravi LPFR/ESIR, a koji se koristi na N lokacija, da rizikuje prihod zato što neki klijent želi da radi na crno? Ne verujem da je neko toliko lud, tako da neće ni da implementira tu mogućnost.

QR kod dimenzije su:
min. 4x4cm
max. 5x5cm

QR kod sadrzi verifikacioni URL koji prikazuje informacije o izdatom tj. generisanom racunu koji je napravio obveznik eFiskalizacije preko ESIR i PFR gde PFR moze biti LPFR ili VPFR.

PFR prilikom generisanja povratne vrednosti u delu koji se odnosi na deo provere vraca vrednosti u obliku QR koda kao bitmapu i url u vidu stringa. QR kod je inace graficka reprezentacija url u vidu string.

Sto se tice potrosnog materijala u vidu papira i sl. onu su tvrdili da se stedi na istom zato sto nema vise duplih traka ali opet kada se malo bolje sagleda cela tehnikalija jasno je i da kupovinom jedne obicne kifle u pekari ode mnogo vise papira u ovoj novoj eFiskalizaciji nego recimo u staroj.

U prilogu se nalazi primer novog racuna sa dve (2) stavke i primer starog racuna sa vise stavki (gde naravno ide jos jedna kontrolna traka).

U prvom slucaju racuni su bili mnogo manji pre prelaska na novu efiskalizaciju sto se tice potrosnog materijala.

U postovima na ovom formu sam pisao da je ova eFiskalizacija namenjena samo za poresku i da samo ona ima korist dok poreski obveznik mozda cak i veca davanja na mesecnom nivou.

U QR kod se trpa maltene ceo račun.

Zloupotrebe verovatno neće biti problem jer se ti QR kodovi teško očitavaju.

@Predrag Supurovic i za ostale koga interesuje sta sadrzi URL tj. QR kod se moze videti na EN verziji tehnicke dokumentacije

Kreiranje verifikacionog URL koji je ujedno ustvari QR kod
tap.sandbox.suf.purs.gov.rs/Help/view/612513249/Create-Verification-URL/en-US


O tehnickim info. u vezi QR koda na linku ispod:
tap.sandbox.suf.purs.gov.rs/Help/view/612513249/Create-a-QR-Code/en-US

E8iga, mi već sertifikovali LPFR/ESIR.

Ovaj link je na pendingu nekih 11 sekundi na mom kucnom kompjuteru (super odziv) .... To sada kada samo 0.5% firmi ima novi sistem. Ali kada budu svi presli i zgazili resurse u fulu ... bice brze! :-)

Meni zaista nije jasan koji je potencijalni vektor napada?
Prefabrikovan maliciozni QR kod? I dalje?

Koliko vidimo u url su encodovane osnovne informacije o racunu, ne svaka stavka. A sem toga svaki ozbiljan sajt predostroznosti radi vodi racuna o js i SQL injection. Da li je sajt poreske ozbiljan, ne znam 🤷
Slanje ovih informacija na fabrikovani lazni server koji lici na poreski je takodje beskorisno.

Dakle ponovo pitanje, sta je konkretan potencijalni problem i ima li ikakvih indicija da je to moguce?

Izdaš račun na crno, a slip koji izdaš ima regularan izgled sve sa QR kodom.
Podatak u QR kodu je pak link do nekog tvog servera koji izgleda isto kao sajt poreske i koji će reći da je račun ispravan. Kad otvoriš taj QR kod, a ukoliko ne pogledaš adresu sajta, mislićeš da je sve OK i da je račun prijavljen poreskoj.

QR kod je samo skretanje paznje i u sustini tehnicki mazanje ociju.

PURS sada sa ovim uvek ima informacije kada i koliko i sta konkretno radi obveznik fiskalizacije.
Pa tako ako u nekom vremenskom periodu nema izdatih racuna oni lepo dodju u kontrolu tako da je onaj ko je izdavao slipove samo u jos vecem problemu jer je pucao sebi u noge.

Sustina celog sistema nije poreski obveznik i krajnji potrosaca (g-din. Kupac) vec poreska administracija da imaju sve na izvolte.

Dalje, to znaci da onaj ko radi van sistema (nije registrovan zvanicni poreski obveznik) je ispod radara a sto se kod nas u praksi pokazalo isto da je bilo slucajeva.

Primer, dve igraonice jedna do druge, jedna registrovana, legalan software, sve a drug nista i sve na ikognito. Poreski inspektor uvek dolaze u ovu prvu iako je bukvalno ova pored - lokal do loakal i traze dlaku u jajetu.

Dakle ovim se samo dalje obesmisljava svaka logika i primena poreskog sistema u nas Srba jer drustvo u celini se tera u sivu zonu a ne da bude razvojnog i uspesnog karaktera.

Imaš robu koju si nabavio na crno. Kad prodaješ tu robu, napraviš lažni račun. Poreskoj taj račun ne šalješ pa onai ne zan za njega a bitno je da kupac ne primeti da ne digne frku. Sve to može da se potpuno automatizuje tako da ni kasir i ne zna da je prodao robu na crno i izdao lažni račun.

Sve to stoji, samo ako ni kasir ne zna kada se izdaje pravi, a kada lažni račun, kako to kontrolišeš, sa nekog drugog računara?
To znači da onaj ko ti je uradio softver, mora da ti to omogući, a šta misliš koliko bi to koštalo? O riziku koji je neko iznad pomenuo da ne pričam.

Ranije je to bilo prosto, otkucaš račun, a onda ga poništiš (kao, greška u spisku narudžbi u restoranu i sl.), ali sada račun ne može da se tek tako poništi, već se pravi novi račun sa istim evidencionim brojem (ili kako se već zove) o poništenju tog ranijeg računa, i poreska uprava ima oba računa (odmah ili nakon nekog vremena, jer i ako ti sistem nije stalno online, moraš povremeno da omogućiš povezivanje sa poreskom).

Sećam se ranije u nekim lokalima platiš račun karticom i opet ti donesu nefiskalni isečak, sada to teško da će biti moguće. Zato su i poskupljale sve stavke, znam par picerija u kojima su cene otišle tačno 20%, i to baš nakon zatvaranja pojedinih lokala negde krajem marta ili početkom aprila, recimo parče pice bilo 150 dinara, sada je 180 dinara, ranije vidim da nisu gotovo ništa kucali od te brze hrane, samo kucali ako uzmeš nešto iz frižidera i sl., a već polovinom aprila počeli su bukvalno sve da kucaju iako su štampali stare račune.

To i sada imaju "napredniji" softveri. Imaš stanje na belo i stanje na crno. Softver samo razdužuje stanja prema situaciji. Bitno je samo da istu robu imaš i na belom i na crnom stanju, da bi moglo da se manipuliše.

Da li je neko skenirao QR na računu iz Lidla. Ja nikada ne dobijam potvrdu da je račun ispravan kao kod drugih prodavaca. Ne znam da li je u pitanju boja papira?

Ja uspravam da skeniram, ali ponekad moram da iz nekog razloga da okrenem račun za 90 stepeni i tek ga onda skenira.