Wywiad z prok. dr inż. Agnieszką Gryszczyńską, prowadzącą sprawę Thomasa

dodał 11 lipca 2018 o 07:50 w kategorii Info, Prawo  z tagami:
Wywiad z prok. dr inż. Agnieszką Gryszczyńską, prowadzącą sprawę Thomasa

Niewielu jest w Polsce prokuratorów specjalizujących się w cyberprzestępczości, a wszyscy są bardzo zajęci. Udało się nam jednak przeprowadzić ciekawy wywiad – zapraszamy do lektury i ewentualnego zadawania pytań.

Adam Haertle: Pani Prokurator, przede wszystkim dziękuję za możliwość przeprowadzenia tego wywiadu. Nasi Czytelnicy zadają sporo pytań dotyczących sprawy zatrzymanego niedawno Tomasza T. i interesuje ich walka z cyberprzestępczością. Chciałbym zacząć od najczęściej pojawiającego się pytania, czyli dlaczego zatrzymanie Tomasza T. nastąpiło dopiero 6 lat po tym, jak popełnił pierwsze przestępstwa i został w internecie zidentyfikowany z imienia i nazwiska?

Agnieszka Gryszczyńska: Postępowanie przygotowawcze prowadzone w Prokuraturze Okręgowej w Warszawie zostało wszczęte 2 czerwca 2017 roku, tak więc doprowadzenie do zatrzymania Tomasza T. zajęło nam osiem miesięcy. W tym czasie zgromadziliśmy materiał dowodowy obejmujący 90 tomów akt postępowania przygotowawczego. Wydałam kilkaset postanowień celem uzyskania danych retencyjnych, danych dotyczących rejestracji domen i korzystania z hostingów. Wystąpiłam z wnioskami o udzielenie międzynarodowych pomocy prawnych do Bułgarii, Belgii, Włoch i Islandii. Przed zatrzymaniem Tomasza T. udało nam się również uzyskać i poddać analizie materiały z realizacji międzynarodowych pomocy prawnych. Dzięki pracy funkcjonariuszy policji z Biura do Walki z Cyberprzestępczością KGP oraz Komendy Rejonowej Policji Warszawa II przesłuchanych zostało kilkaset ustalonych przez nas osób pokrzywdzonych, wykonaliśmy kilkanaście eksperymentów procesowych, w ramach których udało nam się odszyfrować dane zaszyfrowane przy pomocy ransomware’u Vortex. Od wszczęcia postępowania średnio raz w miesiącu obserwowaliśmy kolejne kampanie Thomasa i na bieżąco dołączaliśmy kolejne wątki dotyczące ataków przypisywalnych Thomasowi poprzez wykorzystanie tej samej infrastruktury, adresów mailowych czy adresów IP logowań.

Ile obecnie jest takich wątków?

Aktualnie postępowanie obejmuje ponad 25 wątków. Postępowanie objęło czyny od 2013 roku. Najstarsze dołączone postępowania – to podjęte śledztwa i dochodzenia dotyczące ataków DDoS i wykorzystania VBKlipa, czyli programu zmieniającego numer rachunku bankowego w schowku systemowym. W tym wątku ustaliliśmy numer rachunku bankowego, wykorzystywanego przez Thomasa, uzyskaliśmy informacje o prepaidowych kartach płatniczych, które kupował. Umieszczane w kodzie złośliwego programu numery rachunków udało się nam ustalić dzięki dużej pomocy zespołu reagowania na incydenty sieciowe CERT Polska z NASK. Na tej podstawie, po uzyskaniu informacji z odpowiednich banków, ustaliliśmy pokrzywdzonych.

prok. dr inż. Agnieszka Gryszczyńska

Co sprawiło, że po kilku latach oszustw udało się wszcząć sprawę, która w końcu doprowadziła do zatrzymania podejrzanego?

Postępowanie to zostało zainicjowane jako rezultat zorganizowanych przez NASK ćwiczeń CyberPOL. Dodam, że w Prokuraturze Okręgowej w Warszawie w Wydziale II ds. Przestępczości Gospodarczej mamy specjalistyczny dział do walki z cyberprzestępczością, którego jestem kierownikiem. Podczas dwudniowych warsztatów chcieliśmy zweryfikować, jak można ukształtować zasady współpracy pomiędzy prokuraturą, policją i Zespołem CERT Polska, tak aby zapewnić szybką i skuteczną reakcję na incydent. Jako case study funkcjonariusze Biura do Walki z Cyberprzestępczością KGP zaproponowali Thomasa, o którego atakach dość często pisano na specjalistycznych portalach. Wspólne warsztaty zaowocowały współpracą przy prowadzeniu postępowania. Dzięki ścisłej współpracy uzyskano materiał dowodowy pozwalający na przypisanie Tomaszowi T. odpowiedzialności za liczne kampanie, w których rozsyłał złośliwe oprogramowanie. Uznaliśmy też wspólnie, że do sprawy podejdziemy w nieszablonowy sposób, starając się maksymalnie wykorzystać dostępne narzędzia proceduralne i techniczne. Korzystaliśmy m.in. z możliwości zabezpieczenia danych w trybie Konwencji Rady Europy o cyberprzestępczości czy przeprowadzaliśmy eksperymenty procesowe.

Co było zatem najważniejszym czynnikiem, który pomógł doprowadzić sprawę do obecnego etapu?

Trzeba podkreślić, że to był zespołowy sukces. Dzięki współpracy z zespołem reagowania na incydenty komputerowe CERT Polska zainicjowanej warsztatami CyberPOL uzyskaliśmy wsparcie merytoryczne, analizy powiązań pomiędzy poszczególnymi kampaniami czy pomoc w interpretacji danych, które procesowo uzyskiwaliśmy. Za pracę operacyjną odpowiadał Wydział Operacyjny Biura dw. z Cyberprzestępczością KGP, wsparcia technicznego przy zabezpieczaniu danych i sprzętu udzielił Wydział Badań i Wsparcia Biura dw. z Cyberprzestępczością KGP. Ustalaniem pokrzywdzonych i kontaktem z nimi zajmował się funkcjonariusz z Wydziału dw. z Przestępczością Gospodarczą Komendy Rejonowej Policji Warszawa II. Dziękujemy również Zaufanej Trzeciej Stronie oraz innym analitykom udostępniającym w internecie informacje o atakach. Publikowane w otwartych źródłach analizy ataków pozwoliły nam nie tylko zoptymalizować czas reakcji, ale również koszty postępowania – mogliśmy szybko procesowo wykorzystać opublikowane w powszechnie dostępnych źródłach informacje o wykorzystanych w ataku domenach, hostingach, adresach e-mail czy danych zawartych w rozszerzonych nagłówkach wiadomości. Komunikaty takie zarówno ostrzegają ludzi przed tym konkretnym atakiem, uczą, jak zachować się w przypadku innych podobnych incydentów czy uodparniają przed atakami opartymi na socjotechnice. Dla nas były często pierwszym źródłem informacji o ataku – o konkretnej kampanii wiedzieliśmy szybciej z Zaufanej Trzeciej Strony niż od pokrzywdzonych, którzy wcale się tak gremialnie do nas nie zgłaszali.

Czy wiadomo, dlaczego te postępowania prowadzone do roku 2017 nie zakończyły się sukcesem w postaci ujęcia sprawcy?

Nie chciałabym oceniać pracy innych prokuratorów. Część z prowadzonych postępowań dotyczących czynów Thomasa było prowadzonych w mojej ocenie dobrze i ustalono w nich tożsamość sprawcy lub do jej ustalenia było bardzo blisko. Jedno z postępowań, w których wydano postanowienie o przedstawieniu Tomaszowi T. zarzutów było zawieszone na poszukiwania krajowe, więc kolejnym etapem byłoby wystąpienie z wnioskiem o areszt do listu gończego i ENA (europejski nakaz aresztowania – przyp. red.). Zapewne gdyby Tomasz T. przebywał w Polsce, byłby dużo szybciej ujęty. W sytuacji, w której podejrzany przebywa za granicą, konieczne jest zachowanie odpowiedniej procedury, żeby go zatrzymać. Aktualnie funkcjonariusze Policji z Wydziału do Walki z Cyberprzestępczością Komendy Stołecznej Policji, która przejęła do dalszego prowadzenia to postępowanie, ustalają postępowania dotyczące czynów popełnionych przez Tomasza T. Ustalone postępowania są łączone do postępowania prowadzonego w Prokuraturze Okręgowej w Warszawie – dlatego nasze postępowanie obejmuje okres od 2013 roku, w tym prowadzone w tym okresie ataki DDoS. Regulamin wewnętrznego urzędowania powszechnych jednostek organizacyjnych prokuratury precyzuje zasady łączenia postępowań – z uwagi na to, że moje postępowanie prowadzone jest w formie śledztwa, a nadto stosowane jest w nim tymczasowe aresztowanie, jest ono postępowaniem zbiorowym. Nie da się jednocześnie zaprzeczyć, że wiele postępowań było wszczętych i bardzo szybko umorzonych.

Co można było w takim razie zrobić inaczej?

Może gdyby wcześniej te postępowania były łączone w jedno postępowanie zbiorowe, to inna byłaby agregacja sił i środków w prowadzeniu sprawy. Nie oszukujmy się, większość zawiadomień dotyczących czynów określanych ogólnie jako cyberprzestępstwa trafia na najniższy poziom do prokuratur rejonowych i komisariatów policji. Z perspektywy zawiadomienia jednego pokrzywdzonego nie wyglądają one na skomplikowane sprawy. Na tym etapie nie widać np. skali ataku. Co więcej, na najniższym poziomie jest najwięcej spraw i są one najbardziej zróżnicowane. Zazwyczaj na tym poziomie nie ma nie tylko wyspecjalizowanych funkcjonariuszy policji i prokuratorów, ale także niezbędnego w tego typu postępowaniach łatwego dostępu do internetu w miejscu pracy. Szybko okazuje się, że małe postępowanie zmienia się w postępowanie, w którym należy wydać dziesiątki lub setki postanowień w celu uzyskania określonych danych. Czynności te trzeba dodatkowo wykonać bardzo szybko. Element czasu jest istotny z uwagi na retencję danych telekomunikacyjnych, poza tym nieopłacone hostingi kasują dane. Dane są blokowane lub usuwane przez hostingodawców również po wpłynięciu informacji o naruszeniu prawa. Dodam dla przykładu, że jeden z hostingów wykorzystywanych przez Thomasa po uzyskaniu informacji o naruszeniu tak szybko usunął dane, że Thomas nie zdążył pobrać danych dotyczących zaszyfrowanych osób. Dla lepszego i bardziej skutecznego prowadzenia spraw tego typu musimy wprowadzić techniczne rozwiązania, które pozwolą nam szybciej ustalać wszystkie powiązane postępowania, tak aby je połączyć. Ograniczy to również koszty – w postępowaniach dotyczących tego samego ataku, prowadzonych z zawiadomienia różnych pokrzywdzonych przez różne jednostki, wydawane są dokładnie takie same postanowienia w celu uzyskania tych samych danych, a często również powoływani są biegli z zakresu informatyki w celu wskazania tych samych okoliczności.

Ile osób mniej więcej było zaangażowanych w tę sprawę?

Do tej sprawy w prokuraturze nie było powołanego zespołu śledczego. Jest to jedna z moich wielu spraw. Również funkcjonariusz w Komendzie Rejonowej Policji Warszawa II jednocześnie prowadził inne postępowania. Ze strony Biura do Walki z Cyberprzestępczością KGP w sprawę zaangażowanych było kilku funkcjonariuszy ale również w tym czasie realizowali inne obowiązki.

Na ile pobyt podejrzanego w Belgii utrudniał postępowanie?

Pobyt podejrzanego w Belgii na pewno wpływał na postępowanie. Zatrzymanie osoby poza granicami naszego kraju wymaga zachowania określonych procedur – należy uzyskać Europejski Nakaz Aresztowania, wykonać część czynności w drodze międzynarodowej pomocy prawnej. Gdyby podejrzany nie przyjechał do Polski i nie został zatrzymany na naszym terytorium, zostałby w ciągu miesiąca zatrzymany na terytorium Belgii. Jeśli podejrzany przebywa za granicą i decydujemy się na jego zatrzymanie, to należy zgromadzić taki materiał dowodowy na wstępnym etapie postępowania, który przekona sąd do zastosowania tymczasowego aresztu, a następnie wydania Europejskiego Nakazu Aresztowania.

Jakie inne narzędzia prawne udało się wykorzystać w tym postępowaniu?

W tej sprawie wydany został m.in. europejski nakaz dochodzeniowy. Przepisy Kodeksu postępowania karnego, na podstawie którego został wydany, weszły w życie od dnia 8.02.2018, w dniu 13.02.2018 zostało w Dzienniku Ustaw opublikowane rozporządzenie w sprawie wzoru formularza europejskiego nakazu dochodzeniowego. W dniu 23.2.2018 przekazano wydany END do Belgii. Belgijskie organy wykonały zlecone w END czynności w dniu 14.03.2018, tak więc jest to prawdopodobnie pierwszy zrealizowany europejski nakaz dochodzeniowy. Pozwoliło nam to jednocześnie wykonać czynności na terytorium Belgii w dniu zatrzymania Tomasza T. w Polsce.

Można racjonalniej dysponować zasobami, gdy wiadomo, które sprawy są duże, ważne, pilne.

Każda sprawa jest istotna, ponieważ w wyniku popełnienia przestępstwa ktoś został pokrzywdzonym, a naszym zadaniem jest wykrycie sprawcy. W każdej sprawie istotny jest czas – z uwagi na ryzyko utraty lub zniekształcenia dowodów. W sprawach z zakresu cyberprzestępczości szybkość ma kluczowe znaczenie, a ustalenie, czego i w jaki sposób szukać, jest trudne. Jednym czynem pokrzywdzonych może być kilka lub kilkaset osób. Jedna duża sprawa z zakresu cyberprzestępczości może pochłonąć większość czasu przeznaczonego na prowadzenie wszystkich postępowań, które mamy w referacie. W takich sprawach bardzo dużo czasu zajmuje przede wszystkim analizowanie i przygotowanie danych do postanowień, następnie wydawanie postanowień oraz przygotowywanie międzynarodowych pomocy prawnych.

Jaka jest objętość jednego tomu akt?

W jednym tomie powinno być dwieście kart.

Możemy mówić, że sprawa Tomasza T. to kilkanaście tysięcy stron dokumentów w aktach?

Tak, aktualnie akta główne przekroczyły 100 tomów, podręczne 11. Znaczna część materiału jest w postaci elektronicznej i nie będzie drukowana.

No tak, bo to się dopiero zaczyna. A możemy powiedzieć, ile było zaatakowanych ofiar w tych kampaniach?

Szukamy pokrzywdzonych, wykonujemy z nimi czynności procesowe – przesłuchujemy ich, uzyskujemy od nich dodatkowe materiały. Oczywiście na pewno nie uda nam się ustalić wszystkich pokrzywdzonych, ale próbujemy dotrzeć do jak największej ilości, aby widać było skalę przestępczej działalności Thomasa. Dobrze rozpoznane przez nas ataki to podszycie się pod GIODO i Zastępczy Pojazd, dlatego że do tych dwóch kampanii udało nam się szybko uzyskać dane z hostingu. Podczas jednej kampanii Thomas wysyłał od kilku do kilkunastu tysięcy wiadomości e-mail. Przy około 10 tysiącach wysłanych maili w logach na serwerze odkładały się dane dotyczący około 200-400 zaszyfrowanych komputerów. Można więc przyjąć, że w jednej, dużej kampanii, w której dystrybuował ransomware, zaszyfrowanych pokrzywdzonych jest średnio 200-400 osób. Zdajemy sobie też sprawę, że część z zaszyfrowanych maszyn to maszyny służące tylko do testowania złośliwego oprogramowania, ale i tak jest to ogromna skala. Część pokrzywdzonych udało nam się ustalić na podstawie analizy danych retencyjnych, nie zawsze było to jednak możliwe z uwagi na NAT.

Co mają zrobić pokrzywdzeni?

Zgłosić się do najbliższej jednostki policji, bo jeżeli wszyscy przyjdą do nas, to będzie to niczym atak DDoS. Można powołać się na numer sprawy PO II DS 129.2017. Jeżeli ktoś został zaszyfrowany, to potrzebujemy IP i ID komputera, czyli informacji podanej w komunikacie po zaszyfrowaniu. Jeżeli ktoś ma, prosimy o dostarczenie wiadomości od sprawcy wraz z rozszerzonym nagłówkiem. Jeżeli pokrzywdzony zapłacił sprawcy, prosimy o informację, w jaki sposób, na jakie konto i ile zapłacił. Jeżeli pokrzywdzeni nie zapłacili, to prosimy o podanie informacji, jak szacują poniesione szkody: jaka jest wartość zaszyfrowanych danych, koszty związane z pomocą informatyka, reinstalacją oprogramowania. Pokrzywdzonymi są ci wszyscy, którzy maile otrzymali. Jednak osoby, które nie poniosły szkody, a jedynie usiłowano je oszukać, są mniej skłonne do kontaktu z organami ścigania. Szukając pokrzywdzonych, funkcjonariusz policji KRP Warszawa II, wysyłał wiadomości elektroniczne na ustalone adresy odbiorców kampanii Thomasa, ale mało osób na nie odpowiadało. Zapewne myślały, że to kolejne oszustwo.

Może zapytać eksperta osadzonego. On uzyskiwał dobre efekty.

Socjotechnikę miał dobrze opanowaną. Dla przykładu Thomas lubił wysyłać maile do dwóch kategorii podmiotów: adwokatów i biur rachunkowych. W logach do kampanii, w której podszył się pod GIODO, prawie wszyscy, do których został wysłany email, mieli w adresie ciąg znaków „adw”. Thomas zapewne miał crawlera i wyszukiwał maile do określonych kategorii podmiotów. W tym ataku mail ze złośliwym załącznikiem został wysłany w piątek o 15:30, czyli wtedy, gdy pracownicy są już zmęczeni, myślą o weekendzie i ich czujność spada. Co ciekawe, Thomas twierdzi, że gdyby wysłał wiadomość przed godziną 15, więcej osób zostałoby zaszyfrowanych. O 15.30 dużo osób poszło już do domu i nie zdążył.

Ktoś mi mówił, że tydzień wcześniej jakieś regionalne ciała adwokackie robiły szkolenia, że będą kontrole GIODO.

Informacja o kontrolach, z tego co pamiętam, była również podana na stronie GIODO, więc ta kampania była bardzo dobrze przygotowana.

Na wykładach podaję jako przykład sprytu przestępców.

To było sprytne i dużo osób zostało zaszyfrowanych. Paradoks polega na tym, że ofiarami są głównie adwokaci, a z uwagi na konieczność ochrony tajemnicy adwokackiej niechętnie zawiadamiają o przestępstwie popełnionym na ich szkodę, obawiając się, że będziemy w postępowaniu badać ich komputery. Wiedząc, że dużo podmiotów, bojąc się utraty reputacji, nie będzie chciała zgłosić się i występować w postępowaniu w roli pokrzywdzonego, a także dla szybkiego udzielenia pomocy wszystkim zaszyfrowanym Prokuratura Okręgowa w Warszawie udostępnia na bieżąco klucze do deszyfracji.

A czy będzie jakieś narzędzie?

W dniu 14.04.2018 zespół CERT Polska pod adresem https://nomoreransom.cert.pl/vortex udostępnił narzędzie, które może pomóc odzyskać klucz szyfrujący ransomware’u Vortex. W sumie na stronie https://nomoreransom.cert.pl/vortex/ udostępniono już 16 718 kluczy. Będziemy na bieżąco wprowadzali kolejne klucze do bazy, tak żeby ludzie mogli łatwo odszyfrować pliki. Jeśli do tej pory nie było możliwe odnalezienie odpowiedniego klucza, należy odwiedzić tę stronę i podjąć ponowną próbę. Jeśli komuś poprzez tę stronę udało się odszyfrować pliki, oznacza to, że został zaszyfrowany przez Tomasza T. Pamiętajmy bowiem, że Thomas nie jest sprawcą wszystkich kampanii z dystrybucją ransomware’u. Kierując się kwalifikacją prawną, próbowaliśmy znaleźć sprawy przypisywalne Thomasowi i analizowałam akta postępowań, które jak się okazało, nie wiążą się z tą sprawą. Ale wiemy też o kampaniach Thomasa adresowanych do konkretnych osób – tzw. spear phishing, bez wysyłki maili do kilku tysięcy odbiorców. Szyfrował również „ręcznie” osoby wcześniej zarażone vjw0rmem. Wiemy też o kampaniach masowych Thomasa, które nie zostały opisane na Z3S, np. kampania z podszyciem się pod 5-10-15.

Co dalej w sprawie, jak wyglądają kolejne kroki? Czego się możemy spodziewać? Jak wygląda procedura, kiedy już jest postanowienie o areszcie? Jakie są następne etapy?

Trwają poszukiwania pokrzywdzonych, powołany został biegły do analizy nośników danych podejrzanego. W oparciu do pozyskiwane tak dane uzyskujemy wiedzę o kolejnych elementach wykorzystywanej przez sprawcę infrastruktury. Tak więc nie ustaliliśmy jeszcze wszystkiego. Jak uda nam się ustalić okoliczności poszczególnych kampanii i pokrzywdzonych, na pewno podejrzany będzie miał zmienione zarzuty. Po wykonaniu czynności postępowania przygotowawczego kolejnym krokiem jest skierowanie do sądu aktu oskarżenia. Zanim to nastąpi, zapewne będziemy jeszcze musieli uzyskać informacje z giełd kryptowalut, może uda nam się zabezpieczyć pieniądze Thomasa. Paradoksalnie giełdy kryptowalut dosyć szybko udzielały nam dotychczas odpowiedzi.

Odpowiadają, jak się ich zapyta?

Tak. W tym postępowaniu jednak nie spodziewam się, że znajdziemy istotne środki finansowe Thomasa. Ważne jest dla mnie odszyfrowanie danych pokrzywdzonych. Niektórzy pokrzywdzeni zgłaszali, że wartość danych szacują nawet na 200-300 tysięcy złotych. Są to dane finansowe i księgowe czy całe kolekcje np. napisanych książek, zgromadzonych fotografii czy filmów.

Czy te osoby, które poniosły faktyczne szkody, mogą próbować dochodzić od samego oskarżonego tych szkód?

Pokrzywdzeni mogą wnosić o naprawienie szkody.

Jaki jest pułap zagrożenia karą więzienia przy jego zarzutach?

Dla oszustwa i prania pieniędzy górny pułap zagrożenia karą wynosi do ośmiu lat pozbawienia wolności. Dla oszustwa internetowego 5 lat. Ponieważ Tomasz T. z popełnienia przestępstwa uczynił sobie stałe źródło dochodu sąd może wymierzyć karę do górnej granicy ustawowego zagrożenia zwiększonego o połowę.

Słyszałem, że na początku on przejmował ludziom konta mailowe, konta Gadu-Gadu i pisał z cudzych kont, bo wykradał hasła…

W kilku kampaniach wiadomości e-mail zostały wysłane z przejętych skrzynek mailowych istniejących firm. Te podmioty miały z tego tytułu różne nieprzyjemności. Thomas kupował również telefony zarejestrowane na dane innych podmiotów. Korzystał zarówno z danych osób istniejących, jak i z tzw. „fake name generatora”.

Zakres strat, które wygenerował jeden człowiek dwoma rękami, głową i komputerem jest niewiarygodny.

I to wcale nie jest jakiś super informatyk.

Widać z bardzo daleka.

To jest script kiddie, typowy script kiddie. Wysyłał na przykład JavaScript udający Worda, czyli przed rozszerzeniem .js dopisywał rozszerzenie doc. Ludzie sami pobierali aktualizacje z domeny podszywającej się pod Office. No, jakby człowiek przeczytał… W jednej z kampanii automatycznie było zaznaczone „nie” w oknie, w którym wybierało się pobieranie dokumentu. Była też kampania, w której naciśnięcie przycisku „przerwij” przerywało szyfrowanie.

Na początku to ransomware było takie bardzo nieporadne.

Zasadniczo Thomas kupował oprogramowanie i je nieco przerabiał lub dostosowywał do własnych potrzeb.

W ogóle vjw0rm był dystrybuowany za darmo tylko i wyłącznie na forum arabskojęzycznym. Tak zupełnie nie pasuje – Thomas i arabski program.

Google Translator poradzi sobie ze wszystkim….

Co go zaprowadziło akurat w ten dziwny zakątek internetu, na jakieś zupełnie niszowe forum arabskich hakerów, z Tunezji czy coś, nietypowe to było.

Jest to dobre pytanie. Gdybyście mieli więcej pytań frapujących internautów, to ja je chętnie zadam podejrzanemu, bo zależy mi na tym, żeby wyjaśnić całokształt istotnych okoliczności tej sprawy i nauczyć się czegoś, co pozwoli skuteczniej poprowadzić kolejne postępowania z podobnego zakresu.

Myślę, że jeszcze czeka mnie wiele relacji z sali sądowej, jak mi pozwolą zostać.

Rozprawa główna jest jawna, więc można będzie posłuchać, chociaż jeżeli sąd zapragnie przesłuchać wszystkich pokrzywdzonych, to…

Może potrwać. Czy Thomas przyznaje się i będzie chciał dobrowolnie poddać się karze?

Zobaczymy. Generalnie podejrzany przyznał się i złożył obszerne wyjaśnienia.

Dziękuję bardzo za rozmowę.