Архив за етикет: EORI

Евала бе, електронна митница!

Посвещение
Посвещавам този материал на ИнжИнера, ревностен читател на този блог (вероятно единственият – здрасти, Пепи!). Неговите неколкократни подканяния спомогнаха да възстановя по-бързо сайта след дългото прекъсване.

Предистория
Миналата година си купих комплект за електрически велосипед. От Конрад/Щайнбергер тогава ме излъгаха (и предполагам все още лъжат), че контролера има функцията регенеративно спиране. От мерак да видя има ли все пак полза от тази функция си поръчах нов контролер, който я поддържа. Разбире се, произведен от братският китайски народ, стуващ към $60.

Проблемът
Телефонът ми звънна. Непознат номер. Отсреща женски глас произнесе думите, които никой интернет пазаруващ не иска да чуе – „Вашата пратка беше спряна на митницата!“. До момента бях успявал да избегна тази клопка. Основно пазарувайки от ЕС, или ползвайки за доставка на извънобщностни пратки Български пощи. За който не знае – „пощата“ по някаква причина има една суперсила, с която не разполага никоя друга куриерска компания – може да ви представлява пред митницата. И то без никакви разправии от ваша страна, просто като си вземате пратката плащате и Х лева мито/ДДС директно в пощенската станция. Този път обаче китайците бяха пратили контролера с FedEx.

Решението
Тъй като, макар и не от личен опит, съм запознат с безумието наречено „освобождаване на пратка от митницата“ дори и не си помислих да се захвана с това. Достатъчно е човек да прочете класиката в жанра или кое да е от продълженията (1, 2, 3), за да разбере, че тази работа не е за простосмъртни.

Със служителката на FedEx се разбрахме да им изпратя нотариално заверено пълномощно, за да могат те да ме представляват. Остана една малка продробност – необходим ми е и EORI номер (друго безумие, този път европейско). Служителката ме усведомява, че те могат да се заемат и с това, но ще струва скромната сума от 30 лв. Иначе самото издаване е безплатно, дори всичко може да стане он-лайн през сайта на митницата – ако имам електронен подпис. Аз имам електронен подпис.

Заблуждението
Предполагам, че попълването на електронната форма в сайта на митниците ще отнеме 4-5 минути. Мислено пресмятам, че ако работя ще спечеля по-малко от 30 лв за 5 минути. Решавам, че вместо да плащам и за тази услуга на FedEx, ще свърша работата сам. При това седейки удобно пред компютъра си! Благославям „електронното правителство“ и предвкусвам как със спестените пари се черпим бира с приятелите.

Реалността
Отварям така нареченият „ПОРТАЛ ЗА ЕОРИ РЕГИСТРАЦИЯ“ и ме посреща предупредително съобщение, че сертификатът на сървъра е невалиден. Първо си мисля, че тъй като съм с нова машина, още не съм добавил сертификатите на българските удостоверители в браузъра. Оказва се обаче, че не е така. Всъщност причината за предупреждението е, че сертификатът на сървъра е изтекъл преди около месец.

eori_cert.png

Стискам очи, надявайки се, че наистина от другата страна е сървърът на Агенция митници, и игнорирам предупреждението. За което, между другото, много прилежно съм инструктиран в трета стъпка от „Ръководството за потребителя за регистрация на еори номер по електронен път„. Къде ли другаде съм виждал това? А, да, Пощенска банка.

treta_stupka.png

След като попълвам формата с моите лични данни идва ред за подписването. Ползва се някакъв Java аплет, който обаче не работи. Казва ми, че нямам електронен подпис/смарт карта. Тук е моментът да спомена, че използвам Линукс базирана операционна система.

Решавам да се обадя на предоставеният телефон за връзка и да се усведомя, очаква ли се въобще да работят нещата с моята операционна система. Както после ще разбера, за мой невероятен късмет, отсреща някой вдигна телефона. Първо споменах на служителката проблема с изтеклия сертификат. Тя каза, че това не е новина за тях, ама да не се притеснявам. Не било толкова важно, „работят по въпроса“. Ако не сте много наясно с техническите въпроси и какво точно означава това, погледнете секцията „Защо толкова шум за един изтекъл сертификат?“ най-долу. Относно поддръжката на операционни системи различни от Windows – не знаят, никока не са пробвали.

Отчаянието
Почти съм се предал. Вече обмислям да сваля бланката с формуляра и да подам заявлението на хартия. Поне имаме митническо бюро в Кърджали, та няма да се наложи да ходя до друг град. Или още по-лошо, да ходя при приятел да търся компютър с Windows. При тази мисъл обаче ми идва нов прилив на ентусиазъм. Няколко часа по-късно и след изчитане на малко документация за Java програмния интерфейс за смарт карти откривам следа. Освен пътят към библиотеката, при инициализация трябва да се укаже и в кой слот да се търси картата. При аплета ползван от митниците няма поле в което да се въведе кой слот да ползва. По подразбиране търси картата в слот 0. Моята смарт карта се вижда в слот 1, а слот 0 е някакъв виртуален. Променям конфигурационният файл /etc/opensc/opensc.conf (в секцията app opensc-pkcs11 pkcs11 добавям plug_and_play = false;) и картата вече се вижда в слот 0.

Успехът
Попълвам за 1374-ти път полетата с моите данни (при всеки опит се губят) и този път подписването сработва! Но, радостта не продължава дълго. Забелязвам, че точно този път съм пропуснал да попълня полето с датата на раждане. По подразбиране то е попълнено автоматично с текущата дата. Веднъж изпратени, данните в заявката не могат да бъдат променяни, докато не бъдат „обработени от оператор“.

План Б
Срокът за издаване на ЕОРИ номер е 5 работни дни (защо е такъв е напълно необяснимо за мен, но да кажем, че е тема на друг материал). Представям си, как на петия ден ми казват – грешна ти е датата на раждане, и после чакам още 5 дни. Решавам да се обадя пак на предоставения телефон и да попитам възможно ли е по някакъв начин да коригирам данните в заявлението. Никой не отговаря. В продължение на 3 работни дни, звъня по няколко пъти на ден, и никой не отговаря.

Решавам да отида до местното митническо бюро. Описах ситуацията на служителя, а той ми отговори с реторичния въпрос: „И аз какво очаквате да направя?“. Отговорих му, че очаквам да ми съдейства да отстряня грешката с датата. Последваха известни поучения, за какво въобще се опитвам да ги ползвам тези електронни услуги, и един вид сам съм си виновен. Виж, ако бях подал на хартия, до сега да са ми я свършили работата. В крайна сметка един от служителите се задейства и проверява в електронната система получените заявления за ЕОРИ. Резултатът – при тях няма получено по електронен път никакво заявление от мен. Нито с правилна, нито с грешна дата. Питам, в такъв случай, мога ли да подам при тях хартиено – не може! Какво щяло да стане, ако извъднъж получат и електронното и се дублират. Те нищо не могат да направят по въпроса, отпращат ме да се разбера със „София“. Дават ми телефонния номер, на който звъня от 3 дни.

План В
Издирвам от сайта някакъв адрес за електронна поща. Не вярвам, че въобще някой ще ми отговори, ама все пак се пробвам. Ненадейно ми отговарят и дори говорим по телефона. Служителката ми казва, че това със датата не било проблем и се ангажира да провери защо заявката не пристига в Кърджали. Аз се оплаквам и на нея за изтеклия сертификат – и тя знае, че е изтекъл. Но, казва ми, „то подновяването не става със щракване на пръсти“ и споменава нещо за началника. Тя винаги съветва хората да не се и опитват да ползват електронните услуги, защото „с тях само проблеми“.

Развръзката
Наближава последният 5-ти работен ден от срока за идаване на номера. Напомням по елелктронната поща на служителката, с която говорих, че на следващият ден изтича срока за издаване на номера. В последният 5-ти работен ден получавам писмо от служителката съдържащо така лелеяният номер (който, между другото е просто ЕГН-то ми BGB отпред и ZZZ2 след него). Също ме усведомява, че относто проблемите със сертификата „колегите са предприели действия по преиздаването на сертификата“. Това се случва на 21.08.2012. Сертификатът е изтекъл на 18.07.2012 и не е подновен и до ден днешен – 04.09.2012. Писмото завършва с „Надявам се вече всичко да е наред!“

Изпращам прочуствен отговор, че не всичко е наред. Обяснявам, че след като има проблем с електронните услуги, той трябва да бъде отстранен, а не да съветват хората да не ги ползват. Питам в какъв срок ще бъде подновен сертификатът. Съобщавам и за още дребни проблеми като валидацията на мейл адресите и, че часовника на сървъра е грешен и показва повече от 2 часа в бъдещето. На долната картинка може да видите, че заявлението ми е регистрирано като прието в 15:30, а все още е 12:51.

eori-date-time.png

Пращам последно писмо, за да кажа, че съм се объркал и проблем с валидацията на адресите най-вероятно няма. Също ги поздравявам, че поне са сверили часовника. Явно вече съм в СПАМ филтъра, защото никой не ми отговаря на писмата.

Защо толкова шум за един изтекъл сертификат?
Предназначението на сертификатът е да сте сигурни кой стои „отсреща“. Тоест дали наистина сте се свързали със сървъра на агенция митници, или някой, който само се представя за него. В момента е изключително лесно да се реализира спуфинг измама. Всеки, който има достъп до интернет трасето някъде по пътя между вас и агенция митници може да го направи. Обикновено, при подобни измами целта е да се прилъже потребителят, че е посетил сайт, който той ползва и да въведе своите име/парола за достъп. Това могат да бъде сайтове за уеб базирана електронна поща, интернет магазини и т.н. Ако потребителят не осъзнае, че всъщност не се е свързал с истинкия сайт и въведе своите данни те вече са в ръцене на измамника. Сега злосторникът ще има достъп до електронната поща/профила на жертвата.

Възможностите за измама чрез имперсониране на системата за електронни заявления за EORI са много по-сериозни. Тук се ползва предоставен от сървъра Java applet за полагане на електронния подпис върху заявлението (според мен лоша идея, но това също е друга тема). Поради тази особенност измамникът съвсем лесно може да постигне следните две неща:

1. Пълен достъп до локалните файлове на компютъра на жертвата. Да, всички документи и информация които се намират на твърдия диск на вашия компютър. Ако трябва да сме съвсем точни, тези до които има достъп текущия потребител.

2. Да положи електронния подпис на жертвата върху произволен документ, без тя дори да подозира за това.

Смятам, че тези рискове са доста сериозни, а поведението на агенция „Митници“ – меко казано безотговорно. Въпреки неколкократните ми запитвания по електронната поща така и не получих отговор на въпросите кой е отговорен за това и в какъв срок ще бъде подновен сертификатът. Май няма и да получа.

Междувременно, „За да си нямате проблеми, подайте си заявлението на хартия …“.

Вижте продължението в Евала бе, електронна митница! – втора част.