скачать документ

Некоторые итоги работы сайта www.kkm.itgo.com

в ХХ веке и соответственно планы на следующий.

 

Приветствую всех постоянных посетителей и впервые зашедших коллег и просто пользователей ККМ. Наш сайт отмеряет второй год своего существования. В этой статье я хочу подвести некоторые итоги и определить планы развития сайта, какими их видит его создатель.

Начну с итогов:

Сайт задумывался в первую очередь как независимый и объективный источник информации по теме.   Ведь не секрет, что существовавшие к тому времени и  существующие сейчас сайты производителей ККМ служат в основном другой цели - продать как можно больше своей продукции, не зависимо от ее качеств. Да и качество тут оценивается весьма субъективно - каждый кулик, как известно, хвалит свое болото. Да и техническая поддержка своих моделей на этих сайтах , как  правило, весьма слабовата. На мой взгляд на сегодня единственным, кто обеспечивает приемлемую поддержку в Инете своих моделей и вообще старается помочь ЦТО в обслуживание, являются разработчики ПО АМСов, в чем не малая личная заслуга их руководителя Леонида Токарева.   Конечно у меня тоже есть свои предпочтения по моделям и я сразу обозначил, что не собираюсь поддерживать весь Госреестр. Несмотря на это, надеюсь никто не обвинит меня в необъективности и тем более в некомпетентности.

Что касается независимости - буду стараться её всячески поддерживать , реклама если и будет, то реально нужное ЦТО и ее объем не забьет другой полезной информацией. Хотя тут нужно понимать, что мы живем не в идеальном мире, и любой продукт не возможно качественно выпускать без трудозатрат профессионалов и финансовой поддержке. Поэтому сервисные продукты были и останутся платными, но пределах разумного и к взаимной выгоде сторон.

Не менее важной задачей было создать в Рунете что-то вроде клуба общения коллег, где каждый может поделиться полезной информацией или спросить совета. На сколько удалось справиться с этой задачей, судить вам уважаемые посетители. Но личьно я благодатен людям, которые сумели убедить меня отказаться от чисто технической ( можно сказать хакерской) направленности сайта и уделять не меньше внимания правовым и организационным вопросам ЦТО. В дальнейшем, по мере сил постараюсь поддерживать оба этих направления. Так же благодарен всем, кто нашел возможность поддержать меня в этом году. Буду и впредь стремиться оправдать ваше доверие. На этом заканчиваю петь дифирамбы себе, ЛЮБИМОМУ, и перехожу к планам и обобщенным ответам на наиболее часто задаваемым в течение года вопросам. 

Начну с вопросов:

Наиболее острый - где есть поддержка, где есть хакинг, и какова тонкая грань между ними ?    

На самом деле вопрос весьма философский ..... Тут необходимо определиться с сами понятием ХАКЕР, ибо каждый понимает данный термин весьма по разному. Мне лично близка трактовка Криса Касперски в его замечательной книге “Техника и философия хакерских атак”; издательство Солон-Р, 1999 год (очень кстати рекомендую всем прочитать ):

Первые хакеры появились задолго до возникновения компьютеров, более того задолго до зарождения цивилизации и даже появления человечества. Первым открытием хакеров было удивительное свойство палки, позволявшее использовать ее одновременно как орудие охоты, обороны и многих других целях. Нетривиальное, за гранью обычного, восприятие мира — вот главная черта хакеров. Им мало просто видеть предмет в трех измерениях. Для хакеров каждый предмет связан с определенными свойствами и включен в определенные причинно-следственные отношения. На протяжении всей истории человечества всегда находились люди, которые выходили за рамки господствующих установок и традиций, создавая свою философию и субкультуру. По иронии судьбы хакерство оказалось тесно сплетенным с криминалом. Так было во все века, так и будет до самого последнего вздоха человечества. Почему? Хакер стремится разобраться во всем до конца, понять все до мельчайших подробностей, выйти за область определения объекта, проанализировать и испытать его поведение во всех нештатных ситуациях. От "простого смертного" хакера прежде всего отличает исчерпывающее знание предмета. Абсолютное знание по умолчанию подразумевает абсолютную власть над системой. Очень трудно устоять перед искушением и открывающимися перспективами.”

  От себя добавлю, что без абсолютного знания не возможен и полноценный ремонт и выход из нештатных ситуаций любой сколь угодно сложной системы, а не только такой достаточно примитивной, как ККМ.

·     В этой ситуации у меня вызывают улыбку попытки почти всех разработчиков дать ЦТО как можно меньше информации о системе - засунуть прогу в защищенный проц, до предела урезать сервисную документацию, или заполнить ее строками типа “ отослать дефектный блок на завод - изготовитель”. А клиент значит все это время будет простаивать и крыть такой сервис последними выражениями, пока разработчик будет не спеша анализировать собственные глюки. Так что такой политикой разработчик осложнит жизнь в первую очередь себе, ибо он все таки зависит  от продаваемости собственных изделий. А ЦТО, кстати могут очень сильво влиять на продаваемость той или иной модели, особенно если вести согласованную между собой политику и брать значительный промежуток времени, к примеру год. Ведь клиент в 99 % случаев обращается в ЦТО с просьбой помочь выбрать модель ( ели реже - значит ЦТО явно плохо работает). Вот тут то вам и карты в руки господа коллеги !!!

Совместными усилиями мы можем как почти придушить, так и здорово поднять практически любую модель, нужен только координатор этого дела. И когда разработчики увидят, что мы реально сможем это сделать, уверяю вас, что они будут гораздо внимательнее к нашим запросам и бедам.  И они уже будут бороться за нас, а не мы за них, ибо кризис перепроизводства ККМ явно маячит на горизонте. Но я несколько ушел от темы.

Что касается защиты данных в ККМ - я не видел пока ни одной системы, где они были бы защищены хотя бы примитивным криптоалгоритмом. Поэтому любой толковый школьник с дизассемблером и монитором может пропатчить систему по своему разумению за разумный промежуток времени....  Впрочем риптоалгоритмы на мой взгляд тут мало чем помогут - стоимость системы значительно возрастёт, а взлом останется коммерчески выгодным и все равно рано или поздно произойдёт. В этой связи идеи фискального ядра упрочило в Питерской конференции мне кажутся несколько бредовыми. Что кстати как я и ожидал подтверждается мнением большинства коллег на конференции по общим вопросам. Однако в ГМЭКе думают по-другому.

Вот выдержка из Протокола № 2/56 -  2000  заседания Государственной межведомственной экспертной комиссии по контрольно-кассовым машинам от 15 июня 2000 года :

Концепция криптографической защиты фискальных данных в контрольно-кассовых машинах.

1. Постановка проблемы.

В соответствии с Законом РФ "О применении контрольно-кассовых машин при осуществлении денежных расчетов с населением" от 18 июня 1993г. все денежные расчеты с населением должны осуществляться с применением контрольно-кассовых машин (ККМ1). В фискальную память2 ККМ заносятся финансовые итоги работы за смену. При этом покупателю (клиенту) выдается чек, напечатанный ККМ, а вся информация о проведенных денежных операциях фиксируется на контрольной ленте. Такой порядок оформления денежных расчетов преследует две основные цели:

·       обеспечение возможности контроля налоговыми органами полноты налоговых начислений за любой период в соответствии с информацией о денежных расчетах, зафиксированных на контрольной ленте и в фискальной памяти.

·       защита прав потребителя.

Контрольная лента могла бы служить действенным инструментом контроля, однако масштабная обработка бумажных контрольных лент с целью проверки правильности фискальных данных (ФД ) ККМ за длительный период является в настоящее время практически невыполнимой задачей. Кроме того, фальсификация ФД может сопровождаться и переоформлением контрольных лент на бумажном носителе.

В настоящее время в Государственный реестр ККМ, используемых на территории Российской Федерации, включено 134 модели ККМ, а общее количество эксплуатируемых ККМ превысило 1,5 млн. По данным Министерства РФ по налогам и сборам более 90% из числа эксплуатируемых ККМ относятся к простейшим ККМ. Эти ККМ применяются владельцами мелких и средних точек в сфере торговли (в том числе нефтепродуктами) и сфере услуг, где проводится большинство операций денежных расчетов с населением и. наблюдается наибольшая предрасположенность к злоупотреблениям.

Выявление нелегальных модификаций представляет серьезную работу 'для квалифицированных специалистов. Разнообразие видов нелегальных модификаций и их широкое распространение не позволяют рассчитывать в полной мере на

1Контрольно-кассовая машина (ККМ) - устройство (программно-аппаратный комплекс), предназначенное для автоматизации и механизации учета, контроля и первичной обработки информации о денежных расчетах (в наличной и безналичной форме), а также регистрации ее на печатаемых документах в соответствии с принятыми нормативными и правовыми документами.

2 Фискальная (контрольная) память ККМ (ФП) - комплекс программно-аппаратных средств в составе ККМ. обеспечивающий некорректируемую, ежесуточную (ежесменную) регистрацию и энергонезависимое (т.е. без использования внешних и внутренних источников питания) долговременное хранение итоговой информации о денежных расчетах с населением, проведенных на ККМ, необходимой для правильного исчисления налогов.

3Фискальные данные (ФД) - информация, подлежащая регистрации в фискальной памяти.

возможность успешной борьбы с ними с помощью ресурсов, имеющихся в распоряжении органов налоговой службы, налоговой полиции, МВД и т.д.

В настоящее время в качестве средств защиты ККМ, согласно действующим требованиям ГМЭК, используются такие средства, как опечатывание, пломбирование корпуса ККМ и мест кабельных соединений, заливка компаундом фискального накопителя, и т.д. Однако эти методы не дают достаточных результатов.

Решение проблемы получения налоговыми органами достоверных данных может быть достигнуто путем применения криптографических методов защиты информации.

2. Основные принципы системы криптографической защиты ФД ККМ.

В основе модели угроз лежит принцип: на всех стадиях жизни ККМ могут находиться злоумышленники, желающие нарушить целостность программно-аппаратных средств ККМ. К ним относятся: разработчики ПО ККМ, изготовители ККМ, продавцы ККМ, сервисные организации по техническому обслуживанию ККМ, пользователи ККМ и отдельные представители фискальных органов.

Целью  злоумышленников,   нарушающих  целостность   программно-аппаратных средств ККМ, является преднамеренное искажение ФД с целью сокрытия налогооблагаемых сумм.

Основные угрозы целостности ФД можно разделить на следующие классы:

·              внесение в фискальную память недостоверных данных;

·              изменение содержимого фискальной памяти;

·              уничтожение содержимого фискальной памяти;

·              обход средств фискального учета;

Для криптографической защиты ФД предлагается разработать защищенное криптографическое устройство (ЗКУ), реализующее криптографический алгоритм, функции хранения ключей и учета числа кассовых операций.

В    качестве    криптографических    алгоритмов формирования криптографической контрольной суммой (ККС4) должны выступать алгоритм формирования имитовставки в соответствии с ГОСТ 28147-89 или алгоритм формирования ЭЦП

 в соответствии с ГОСТ Р 34. 11.

Целостность фискальных данных обеспечивается ККС.

ЗКУ должно работать, по жестко заданному алгоритму и выполнять следующие основные функции:

        прием от ККМ данных после окончания формирования чека (отчета). Данные передаются в фиксированном формате;

        формирование на основе полученных данных, ключа и значения счетчика числа кассовых операций ККС чека (отчета);

4Криптографическая контрольная сумма (ККС) - информация, воспроизводимая на бумажном документе(чеке), подтверждающем факт торговой операции и предназначенная для по:1тверждения проведения корректной операции денежных расчетов и подтверждения достоверности фискальных документов, формируемая с применением криптографических методов на основе секретного ключа

        передача в ККМ вычисленного значения ККС, соответствующего параметрам данного чека (отчета) для печати чека, контрольной ленты, отчетов;

        автоматическое изменение счетчика числа кассовых операций;

        архивирование и хранение электронной копии контрольной ленты с криптографическими контрольными суммами;

Дополнительными параметрами, печатаемыми на каждом чеке, контрольной ленте и на каждом отчете, являются ККС и значение счетчика числа кассовых операций. Остальные параметры документов печатаются согласно действующим техническим требованиям к ККМ.

Алгоритм работы ККМ в этом случае должен быть следующим:

- ввод в ККМ необходимой информации о покупаемом товаре;

- передача защищаемой информации из ККМ в ЗКУ;

- выработка ЗКУ ККС по предоставленной информации с дополнением ее серийным номером ЗКУ и значением счетчика транзакций;

- возврат дополнительной информации и ККС в ККМ;

- печать чека с информацией, соответствующей ТТ на ККМ, серийный номер ЗКУ, ККС и значение счетчика числа кассовых операций.

Счетчик числа кассовых операций организуется внутри ЗКУ с целью последующего доказательства непрерывности  следования  документов  в электронной контрольной ленте на интервале времени действия ключа в ЗКУ. При производстве ЗКУ устанавливается начальное значение счетчика числа кассовых операций.

Стойкость системы защиты ККМ с применением ЗКУ будет определяться стойкостью извлечения ключа из ЗКУ. Если злоумышленникам удастся извлечь ключ, то появится возможность корректировки отчетных данных.

Устойчивость ЗКУ к извлечению ключа определяется по соответствующим требованиям,   разрабатываемым   ФАПСИ.   Каждое   ЗКУ   снабжается индивидуальным ключом, вводимым в ЗКУ в Центре авторизации.

Контроль правильности уплаты налогов должен осуществляться по предъявлении в налоговую инспекцию вместе с квартальным отчетом электронного отчета по всем продажам. Правильность сумм по каждой продаже проверяется по ККС. Целостность информации проверяется по неразрывности значений счетчика числа кассовых операций.

3. Порядок разработки и сертификации ККМ со встроенными средствами   криптографической   защиты   данных.   Состав сертификационных испытаний.

Разработка, производство и реализация средств криптографической защиты ФД, а также техническое обслуживание и модернизация ККМ с такими средствами должны осуществляться в соответствии с Положением ПКЗ-99. В частности, ФАПСИ разрабатывает требования к средствам криптографической защиты ФД и согласовывает требования к ККМ с такими средствами.

 

Сертификационные  испытания  ККМ  со  встроенными   средствами криптографической защиты ФД включают обоснование свойств системы криптографической защиты ФД по всем количественным и качественным показателям на соответствие предъявляемым требованиям.

Сертификационные испытания производятся организацией, имеющей лицензию ФАПСИ на соответствующий вид деятельности с обязательной последующей экспертизой отчетных материалов сертификационных испытаний в ФАПСИ.

4. Обеспечение фискальных органов техническими средствами, позволяющими   осуществлять   оперативный   контроль   за целостностью информации (съем информации и ее анализ), содержащейся в фискальной памяти ККМ со встроенными средствами криптографической защиты ФД.

Для осуществления контроля за целостностью информации, содержащейся на электронной контрольной ленте ККМ со встроенными средствами криптографической защиты ФД необходимо разработать АРМ налогового инспектора, позволяющее снимать данные, хранящихся в энергонезависимой памяти, и проводить с ФД следующие действия:

        проверка целостности представленных данных;

        проведение   экспресс-анализа   на   соответствие   с   данными, представленными в балансовом отчете (адекватность отчетов);

        накопление данных для последующего подробного анализа (в случае необходимости).

Для   осуществления   оперативного   контроля за правильностью функционирования ККМ со встроенными средствами криптографической защиты ФД целесообразно разработать портативный модуль налогового инспектора, позволяющий вычислить по предъявленному чеку правильность ККС и оперативно принять решение о правильности функционирования ККМ.

Центр авторизации ЗКУ эксплуатируется в рамках системы фискальных органов.

 

К чему на мой взгляд приведёт претворение этой системы в жизнь ?

Результативность такой системы вплане собираемости налогов будет на мой взгляд очень низкой ,если не сказать нулевой. И дело тут отнюдь не в технической слабости самой идеи, а как это чаще всего бывает в людях........... Если у нас менталитет неплательщиков, то это меняется не за одно поколение. Вот скажите мне мои оппоненты, которых наверняка найдется немало, можете ли Вы себе представить, чтобы у нас человек, выгуливая собачку, собирал за ней совочком дерьмо, которое она сделала, в пакетик, и шел себе спокойно дальше. В Европе это в порядке вещей (сам видел - первый раз был поражен). Так что все дело в людях - тут меня никто не переубедит, поэтому я убежден, что наш традиционно смекалистый народ легко обойдет данную систему, причем самым простым путем - снова перестнут бить все чеки.

Но я несколько отвлекся от темы, ибо для меня как инженера подобную систему гораздо интересней изучить, а заодно и проверить на прочность и стойкость.... Но это сделать будут всячески мешать, ибо опять будут скрывать ЛЮБУЮ сколько нибудь значимую информацию о системе, при этом требуя от ЦТО исправления всех глюков как разработчиков, так и производителей как реализаторов  воли разработчиков, т.е. нас хотят оставить лицом к лицу с разъяренным от глюков клиентом.

Мое мнение на сей счет было и остается однозначным - в таких условиях полноценный сервис невозможен без прозрачности системы, т.е. грубо говоря ее взлома. И это не есть акт вандализма, а предложение разработикам предоставлять больше информации ЦТО, а также указать на уязвимость их творений, что по идее должно их побуждать к исправлению и улучшению своих изделий. То есть говоря короче поддержка невозможна без элементов хакинга и широкого использования недокументированных возможностей.

Следующий наиболее частый вопрос - об обучении программированию для однокристалок и размецению инструментов для этого на сайте.  

Я думаю, что эти вопросы уже не относятся напрямую к тематике сайта и что невозможно объять необятное. К тому же я считаю, что программированию нельзя научить, его можно только постичь. То есть это долгий кропотливый процесс с ежедневными маленькими победами ) Литературы конечно маловато, но если поискать (в основном старых годов издания), то можно найти, к тому же главную роль по моему мнению играет все же практика. Существующий раздел для пирограммистов , где все примеры выложены с исходниками, является отличной школой, хотя может и не совсем для начинаюцих. Хотя совсем начинающим не надо сразу лезть в ККМ, все-таки это достаточно сложная и специфичная система. Что касается инструментов - размещать их также пока не планируется в связи с выходом за прямую тематику сайта. К тому же как правило хорошие инструменты (кросс-среды, отладчики, мониторы) бесплатными не бывают. Впрочем присылайте ссылки на такие ресурсы, они будут размещены. Если их наберется достаточное количество, даже выделены в в отдельный раздел.  

          Третий больной вопрос - по моделям ККМ. Многие хотят видеть здесь чуть ли не весь госреестр ......

Я считаю что это нецелесообразно, да и физически невозможно. Я неоднократно писал в конференциях, что лучше поддерживать ограниченный список моделей, но полностью. Естественно в выборе моделей присутствует некоторая моя субъективность, но всегда обоснованная. Это пожалуй единственная моя авторитарная составляющая как создателя сайта, но думаю имею право на такой выбор. Поэтому список поддерживаемых моделей сильно разрастаться не будет, думаю максимум 2-3 модели в год, и может быть отроется новый раздел по автоматизации торговли по накоплению соответствующего материала. По поддержке моделей есть еще один очень перспективный вариант, который в настоящее время очень удачно реализован на примере ЭКРов. Я очень долго не хотел с ними связываться, ибо исторически сложилось их не распространненость у нас, хотя модель реально популярна, особенно в некоторых регионах. Да и материала у меня по ним практически не было. Но нашелся человек, который на них как говорится собаку съел (nik odissey). И главное он не стал делать свой сайт, что нынче стало шибко популярно, а согласился сделать раздел ЭКР частью моего сайта, ибо он был реально раскручен и народ туда реально ходил. За что ему огромное спасибо от меня лично и от всего прогрессивного человечества ) Если найдутся еще желающие профессионально занимавшиеся моделями, не отраженными пока на сайте, милости просим ! Выиграют от этого все, а сайт имеет шанс стать самым авторитетным независимым порталом по тематике в Рунете. По моделям на этом пожалуй все.  

И последнее - о PGP.  

Наверняка Вы уже прочитали о PGP или у меня на страничке, или из других источников. В принципе там и в ссылке на рускоязычное описание достаточно подробно объяснены как общая трактовка шифрования с открытым ключом , так и технические нюансы и настройка программы. Так почему я снова возврацаюсь к этой теме ? Слишком много практически одинаковых вопросов. Приведу наиболее характерные с соблюдением авторской орфографии

- На хрена это надо (ну лень читать человеку какие либо объяснения) 

Отвечу коротко словами классика Владимира Семеновича Высоцкого:

.......................................................

Я не люблю холодного цинизма,

В восторженность не верю и еще,

Когда чужой мои читает письма,

Заглядывая мне через плечо.

.................................................

Я не люблю манежи и арены,

На них мильон меняют по рублю,

Пусть впереди большие перемены,

Я это никогда не полюблю !  

Вот и я это никогда не полюблю !

 

        - Он же англицкий - ни хрена не понятно!

будем считать это минимальным образовательным цензом для разговора на серьезные темы.

 

        - Мне качать 6,5 метра при моем коннекте уж очень утомительно.

Кто мешает купить сидюк на ближайшем к Вам радиорынке. Кто захочет - найдет такую возможность. Опять будем считать возможность найти, установить и настроить PGP минимальным тестом для вступления в "члены клуба веселых и находчивых".

 

     - Вроде скриптование запрещено законодательно ?

Даже в конституции прописана охрана частной переписки. ограничения требуют сертификации в ФАПСИ криптографических средств. В любом случае мне не известен ни один случай какого либо преследования только за использование стойкой криптографии для частной жизни. К тому же если во всем идти на поводу у спецслужб, ратующих за подобные запреты, гражданские свободы, которые и так у нас еще очень недоразвиты, вымрут окончательно.

РЕЗЮМЕ - значение безопасность в сети, безопасности бизнеса и частной жизни при таком развитии технологий в XXI веке будет только возрастать. Поэтому осваиваивайте хотя бы простейшие приемы защиты, и Вы не раз еще вспомните меня добрым словом.  

     Ну и в конце, как водится, о планах, хотя многие из них я уже отразил в итогах и ответах на вопросы.

Кардинальных перемен в политике сайта не предвидится - приоритет по прежнему будет отдан техническим вопросам, ибо прежде всего я все-таки инженер. Будем стараться оперативно реагировать на выход новых версий поддерживаемых моделей, публиковать замеченные глюки и недокументированные возможности, писать сервис, если он отсутствует у производителя или недостаточно удобен. Скорее всего будут созданы разделы эталонных версий по мере того, как с ними определятся сами разработчики, а также раздел автоматизации по мере накопления материала.

Что касается правовых вопросов, их тоже планируется отслеживать с максимальной оперативностью, но наши чиновники в последнее время плодят столько противоречащих друг другу бумаг, что это становится физически невозможно. Поэтому публиковаться будет только действительно самое важное и проверенное. Если кто пожелает создать специализированный правовой сайт по теме, окажу всяческую информационную поддержку.

На этом завершаю статью, которая и так получилась несколько длинней, чем планировалась. Сорри, если что упустил. Различные комментарии просьба не слать на майл, а публиковать в общей конфе.  

     С уважением - администратор сайта Михаил  

P. S.     Все права НЕ защищены ! Разрешается публикация во всех средствах массовой и не массовой информации без согласия автора при условии сохранения целостности документа. Хотя ссылочку на первоисточник просьба все-таки дать.  

    напиши админу что-нибудь хорошее :) 

возврат на главную страницу