Wywiad z prok. dr inż. Agnieszką Gryszczyńską, prowadzącą sprawę Thomasa
Niewielu jest w Polsce prokuratorów specjalizujących się w cyberprzestępczości, a wszyscy są bardzo zajęci. Udało się nam jednak przeprowadzić ciekawy wywiad – zapraszamy do lektury i ewentualnego zadawania pytań.
Adam Haertle: Pani Prokurator, przede wszystkim dziękuję za możliwość przeprowadzenia tego wywiadu. Nasi Czytelnicy zadają sporo pytań dotyczących sprawy zatrzymanego niedawno Tomasza T. i interesuje ich walka z cyberprzestępczością. Chciałbym zacząć od najczęściej pojawiającego się pytania, czyli dlaczego zatrzymanie Tomasza T. nastąpiło dopiero 6 lat po tym, jak popełnił pierwsze przestępstwa i został w internecie zidentyfikowany z imienia i nazwiska?
Agnieszka Gryszczyńska: Postępowanie przygotowawcze prowadzone w Prokuraturze Okręgowej w Warszawie zostało wszczęte 2 czerwca 2017 roku, tak więc doprowadzenie do zatrzymania Tomasza T. zajęło nam osiem miesięcy. W tym czasie zgromadziliśmy materiał dowodowy obejmujący 90 tomów akt postępowania przygotowawczego. Wydałam kilkaset postanowień celem uzyskania danych retencyjnych, danych dotyczących rejestracji domen i korzystania z hostingów. Wystąpiłam z wnioskami o udzielenie międzynarodowych pomocy prawnych do Bułgarii, Belgii, Włoch i Islandii. Przed zatrzymaniem Tomasza T. udało nam się również uzyskać i poddać analizie materiały z realizacji międzynarodowych pomocy prawnych. Dzięki pracy funkcjonariuszy policji z Biura do Walki z Cyberprzestępczością KGP oraz Komendy Rejonowej Policji Warszawa II przesłuchanych zostało kilkaset ustalonych przez nas osób pokrzywdzonych, wykonaliśmy kilkanaście eksperymentów procesowych, w ramach których udało nam się odszyfrować dane zaszyfrowane przy pomocy ransomware’u Vortex. Od wszczęcia postępowania średnio raz w miesiącu obserwowaliśmy kolejne kampanie Thomasa i na bieżąco dołączaliśmy kolejne wątki dotyczące ataków przypisywalnych Thomasowi poprzez wykorzystanie tej samej infrastruktury, adresów mailowych czy adresów IP logowań.
Ile obecnie jest takich wątków?
Aktualnie postępowanie obejmuje ponad 25 wątków. Postępowanie objęło czyny od 2013 roku. Najstarsze dołączone postępowania – to podjęte śledztwa i dochodzenia dotyczące ataków DDoS i wykorzystania VBKlipa, czyli programu zmieniającego numer rachunku bankowego w schowku systemowym. W tym wątku ustaliliśmy numer rachunku bankowego, wykorzystywanego przez Thomasa, uzyskaliśmy informacje o prepaidowych kartach płatniczych, które kupował. Umieszczane w kodzie złośliwego programu numery rachunków udało się nam ustalić dzięki dużej pomocy zespołu reagowania na incydenty sieciowe CERT Polska z NASK. Na tej podstawie, po uzyskaniu informacji z odpowiednich banków, ustaliliśmy pokrzywdzonych.
prok. dr inż. Agnieszka Gryszczyńska
Co sprawiło, że po kilku latach oszustw udało się wszcząć sprawę, która w końcu doprowadziła do zatrzymania podejrzanego?
Postępowanie to zostało zainicjowane jako rezultat zorganizowanych przez NASK ćwiczeń CyberPOL. Dodam, że w Prokuraturze Okręgowej w Warszawie w Wydziale II ds. Przestępczości Gospodarczej mamy specjalistyczny dział do walki z cyberprzestępczością, którego jestem kierownikiem. Podczas dwudniowych warsztatów chcieliśmy zweryfikować, jak można ukształtować zasady współpracy pomiędzy prokuraturą, policją i Zespołem CERT Polska, tak aby zapewnić szybką i skuteczną reakcję na incydent. Jako case study funkcjonariusze Biura do Walki z Cyberprzestępczością KGP zaproponowali Thomasa, o którego atakach dość często pisano na specjalistycznych portalach. Wspólne warsztaty zaowocowały współpracą przy prowadzeniu postępowania. Dzięki ścisłej współpracy uzyskano materiał dowodowy pozwalający na przypisanie Tomaszowi T. odpowiedzialności za liczne kampanie, w których rozsyłał złośliwe oprogramowanie. Uznaliśmy też wspólnie, że do sprawy podejdziemy w nieszablonowy sposób, starając się maksymalnie wykorzystać dostępne narzędzia proceduralne i techniczne. Korzystaliśmy m.in. z możliwości zabezpieczenia danych w trybie Konwencji Rady Europy o cyberprzestępczości czy przeprowadzaliśmy eksperymenty procesowe.
Co było zatem najważniejszym czynnikiem, który pomógł doprowadzić sprawę do obecnego etapu?
Trzeba podkreślić, że to był zespołowy sukces. Dzięki współpracy z zespołem reagowania na incydenty komputerowe CERT Polska zainicjowanej warsztatami CyberPOL uzyskaliśmy wsparcie merytoryczne, analizy powiązań pomiędzy poszczególnymi kampaniami czy pomoc w interpretacji danych, które procesowo uzyskiwaliśmy. Za pracę operacyjną odpowiadał Wydział Operacyjny Biura dw. z Cyberprzestępczością KGP, wsparcia technicznego przy zabezpieczaniu danych i sprzętu udzielił Wydział Badań i Wsparcia Biura dw. z Cyberprzestępczością KGP. Ustalaniem pokrzywdzonych i kontaktem z nimi zajmował się funkcjonariusz z Wydziału dw. z Przestępczością Gospodarczą Komendy Rejonowej Policji Warszawa II. Dziękujemy również Zaufanej Trzeciej Stronie oraz innym analitykom udostępniającym w internecie informacje o atakach. Publikowane w otwartych źródłach analizy ataków pozwoliły nam nie tylko zoptymalizować czas reakcji, ale również koszty postępowania – mogliśmy szybko procesowo wykorzystać opublikowane w powszechnie dostępnych źródłach informacje o wykorzystanych w ataku domenach, hostingach, adresach e-mail czy danych zawartych w rozszerzonych nagłówkach wiadomości. Komunikaty takie zarówno ostrzegają ludzi przed tym konkretnym atakiem, uczą, jak zachować się w przypadku innych podobnych incydentów czy uodparniają przed atakami opartymi na socjotechnice. Dla nas były często pierwszym źródłem informacji o ataku – o konkretnej kampanii wiedzieliśmy szybciej z Zaufanej Trzeciej Strony niż od pokrzywdzonych, którzy wcale się tak gremialnie do nas nie zgłaszali.
Czy wiadomo, dlaczego te postępowania prowadzone do roku 2017 nie zakończyły się sukcesem w postaci ujęcia sprawcy?
Nie chciałabym oceniać pracy innych prokuratorów. Część z prowadzonych postępowań dotyczących czynów Thomasa było prowadzonych w mojej ocenie dobrze i ustalono w nich tożsamość sprawcy lub do jej ustalenia było bardzo blisko. Jedno z postępowań, w których wydano postanowienie o przedstawieniu Tomaszowi T. zarzutów było zawieszone na poszukiwania krajowe, więc kolejnym etapem byłoby wystąpienie z wnioskiem o areszt do listu gończego i ENA (europejski nakaz aresztowania – przyp. red.). Zapewne gdyby Tomasz T. przebywał w Polsce, byłby dużo szybciej ujęty. W sytuacji, w której podejrzany przebywa za granicą, konieczne jest zachowanie odpowiedniej procedury, żeby go zatrzymać. Aktualnie funkcjonariusze Policji z Wydziału do Walki z Cyberprzestępczością Komendy Stołecznej Policji, która przejęła do dalszego prowadzenia to postępowanie, ustalają postępowania dotyczące czynów popełnionych przez Tomasza T. Ustalone postępowania są łączone do postępowania prowadzonego w Prokuraturze Okręgowej w Warszawie – dlatego nasze postępowanie obejmuje okres od 2013 roku, w tym prowadzone w tym okresie ataki DDoS. Regulamin wewnętrznego urzędowania powszechnych jednostek organizacyjnych prokuratury precyzuje zasady łączenia postępowań – z uwagi na to, że moje postępowanie prowadzone jest w formie śledztwa, a nadto stosowane jest w nim tymczasowe aresztowanie, jest ono postępowaniem zbiorowym. Nie da się jednocześnie zaprzeczyć, że wiele postępowań było wszczętych i bardzo szybko umorzonych.
Co można było w takim razie zrobić inaczej?
Może gdyby wcześniej te postępowania były łączone w jedno postępowanie zbiorowe, to inna byłaby agregacja sił i środków w prowadzeniu sprawy. Nie oszukujmy się, większość zawiadomień dotyczących czynów określanych ogólnie jako cyberprzestępstwa trafia na najniższy poziom do prokuratur rejonowych i komisariatów policji. Z perspektywy zawiadomienia jednego pokrzywdzonego nie wyglądają one na skomplikowane sprawy. Na tym etapie nie widać np. skali ataku. Co więcej, na najniższym poziomie jest najwięcej spraw i są one najbardziej zróżnicowane. Zazwyczaj na tym poziomie nie ma nie tylko wyspecjalizowanych funkcjonariuszy policji i prokuratorów, ale także niezbędnego w tego typu postępowaniach łatwego dostępu do internetu w miejscu pracy. Szybko okazuje się, że małe postępowanie zmienia się w postępowanie, w którym należy wydać dziesiątki lub setki postanowień w celu uzyskania określonych danych. Czynności te trzeba dodatkowo wykonać bardzo szybko. Element czasu jest istotny z uwagi na retencję danych telekomunikacyjnych, poza tym nieopłacone hostingi kasują dane. Dane są blokowane lub usuwane przez hostingodawców również po wpłynięciu informacji o naruszeniu prawa. Dodam dla przykładu, że jeden z hostingów wykorzystywanych przez Thomasa po uzyskaniu informacji o naruszeniu tak szybko usunął dane, że Thomas nie zdążył pobrać danych dotyczących zaszyfrowanych osób. Dla lepszego i bardziej skutecznego prowadzenia spraw tego typu musimy wprowadzić techniczne rozwiązania, które pozwolą nam szybciej ustalać wszystkie powiązane postępowania, tak aby je połączyć. Ograniczy to również koszty – w postępowaniach dotyczących tego samego ataku, prowadzonych z zawiadomienia różnych pokrzywdzonych przez różne jednostki, wydawane są dokładnie takie same postanowienia w celu uzyskania tych samych danych, a często również powoływani są biegli z zakresu informatyki w celu wskazania tych samych okoliczności.
Ile osób mniej więcej było zaangażowanych w tę sprawę?
Do tej sprawy w prokuraturze nie było powołanego zespołu śledczego. Jest to jedna z moich wielu spraw. Również funkcjonariusz w Komendzie Rejonowej Policji Warszawa II jednocześnie prowadził inne postępowania. Ze strony Biura do Walki z Cyberprzestępczością KGP w sprawę zaangażowanych było kilku funkcjonariuszy ale również w tym czasie realizowali inne obowiązki.
Na ile pobyt podejrzanego w Belgii utrudniał postępowanie?
Pobyt podejrzanego w Belgii na pewno wpływał na postępowanie. Zatrzymanie osoby poza granicami naszego kraju wymaga zachowania określonych procedur – należy uzyskać Europejski Nakaz Aresztowania, wykonać część czynności w drodze międzynarodowej pomocy prawnej. Gdyby podejrzany nie przyjechał do Polski i nie został zatrzymany na naszym terytorium, zostałby w ciągu miesiąca zatrzymany na terytorium Belgii. Jeśli podejrzany przebywa za granicą i decydujemy się na jego zatrzymanie, to należy zgromadzić taki materiał dowodowy na wstępnym etapie postępowania, który przekona sąd do zastosowania tymczasowego aresztu, a następnie wydania Europejskiego Nakazu Aresztowania.
Jakie inne narzędzia prawne udało się wykorzystać w tym postępowaniu?
W tej sprawie wydany został m.in. europejski nakaz dochodzeniowy. Przepisy Kodeksu postępowania karnego, na podstawie którego został wydany, weszły w życie od dnia 8.02.2018, w dniu 13.02.2018 zostało w Dzienniku Ustaw opublikowane rozporządzenie w sprawie wzoru formularza europejskiego nakazu dochodzeniowego. W dniu 23.2.2018 przekazano wydany END do Belgii. Belgijskie organy wykonały zlecone w END czynności w dniu 14.03.2018, tak więc jest to prawdopodobnie pierwszy zrealizowany europejski nakaz dochodzeniowy. Pozwoliło nam to jednocześnie wykonać czynności na terytorium Belgii w dniu zatrzymania Tomasza T. w Polsce.
Można racjonalniej dysponować zasobami, gdy wiadomo, które sprawy są duże, ważne, pilne.
Każda sprawa jest istotna, ponieważ w wyniku popełnienia przestępstwa ktoś został pokrzywdzonym, a naszym zadaniem jest wykrycie sprawcy. W każdej sprawie istotny jest czas – z uwagi na ryzyko utraty lub zniekształcenia dowodów. W sprawach z zakresu cyberprzestępczości szybkość ma kluczowe znaczenie, a ustalenie, czego i w jaki sposób szukać, jest trudne. Jednym czynem pokrzywdzonych może być kilka lub kilkaset osób. Jedna duża sprawa z zakresu cyberprzestępczości może pochłonąć większość czasu przeznaczonego na prowadzenie wszystkich postępowań, które mamy w referacie. W takich sprawach bardzo dużo czasu zajmuje przede wszystkim analizowanie i przygotowanie danych do postanowień, następnie wydawanie postanowień oraz przygotowywanie międzynarodowych pomocy prawnych.
Jaka jest objętość jednego tomu akt?
W jednym tomie powinno być dwieście kart.
Możemy mówić, że sprawa Tomasza T. to kilkanaście tysięcy stron dokumentów w aktach?
Tak, aktualnie akta główne przekroczyły 100 tomów, podręczne 11. Znaczna część materiału jest w postaci elektronicznej i nie będzie drukowana.
No tak, bo to się dopiero zaczyna. A możemy powiedzieć, ile było zaatakowanych ofiar w tych kampaniach?
Szukamy pokrzywdzonych, wykonujemy z nimi czynności procesowe – przesłuchujemy ich, uzyskujemy od nich dodatkowe materiały. Oczywiście na pewno nie uda nam się ustalić wszystkich pokrzywdzonych, ale próbujemy dotrzeć do jak największej ilości, aby widać było skalę przestępczej działalności Thomasa. Dobrze rozpoznane przez nas ataki to podszycie się pod GIODO i Zastępczy Pojazd, dlatego że do tych dwóch kampanii udało nam się szybko uzyskać dane z hostingu. Podczas jednej kampanii Thomas wysyłał od kilku do kilkunastu tysięcy wiadomości e-mail. Przy około 10 tysiącach wysłanych maili w logach na serwerze odkładały się dane dotyczący około 200-400 zaszyfrowanych komputerów. Można więc przyjąć, że w jednej, dużej kampanii, w której dystrybuował ransomware, zaszyfrowanych pokrzywdzonych jest średnio 200-400 osób. Zdajemy sobie też sprawę, że część z zaszyfrowanych maszyn to maszyny służące tylko do testowania złośliwego oprogramowania, ale i tak jest to ogromna skala. Część pokrzywdzonych udało nam się ustalić na podstawie analizy danych retencyjnych, nie zawsze było to jednak możliwe z uwagi na NAT.
Co mają zrobić pokrzywdzeni?
Zgłosić się do najbliższej jednostki policji, bo jeżeli wszyscy przyjdą do nas, to będzie to niczym atak DDoS. Można powołać się na numer sprawy PO II DS 129.2017. Jeżeli ktoś został zaszyfrowany, to potrzebujemy IP i ID komputera, czyli informacji podanej w komunikacie po zaszyfrowaniu. Jeżeli ktoś ma, prosimy o dostarczenie wiadomości od sprawcy wraz z rozszerzonym nagłówkiem. Jeżeli pokrzywdzony zapłacił sprawcy, prosimy o informację, w jaki sposób, na jakie konto i ile zapłacił. Jeżeli pokrzywdzeni nie zapłacili, to prosimy o podanie informacji, jak szacują poniesione szkody: jaka jest wartość zaszyfrowanych danych, koszty związane z pomocą informatyka, reinstalacją oprogramowania. Pokrzywdzonymi są ci wszyscy, którzy maile otrzymali. Jednak osoby, które nie poniosły szkody, a jedynie usiłowano je oszukać, są mniej skłonne do kontaktu z organami ścigania. Szukając pokrzywdzonych, funkcjonariusz policji KRP Warszawa II, wysyłał wiadomości elektroniczne na ustalone adresy odbiorców kampanii Thomasa, ale mało osób na nie odpowiadało. Zapewne myślały, że to kolejne oszustwo.
Może zapytać eksperta osadzonego. On uzyskiwał dobre efekty.
Socjotechnikę miał dobrze opanowaną. Dla przykładu Thomas lubił wysyłać maile do dwóch kategorii podmiotów: adwokatów i biur rachunkowych. W logach do kampanii, w której podszył się pod GIODO, prawie wszyscy, do których został wysłany email, mieli w adresie ciąg znaków „adw”. Thomas zapewne miał crawlera i wyszukiwał maile do określonych kategorii podmiotów. W tym ataku mail ze złośliwym załącznikiem został wysłany w piątek o 15:30, czyli wtedy, gdy pracownicy są już zmęczeni, myślą o weekendzie i ich czujność spada. Co ciekawe, Thomas twierdzi, że gdyby wysłał wiadomość przed godziną 15, więcej osób zostałoby zaszyfrowanych. O 15.30 dużo osób poszło już do domu i nie zdążył.
Ktoś mi mówił, że tydzień wcześniej jakieś regionalne ciała adwokackie robiły szkolenia, że będą kontrole GIODO.
Informacja o kontrolach, z tego co pamiętam, była również podana na stronie GIODO, więc ta kampania była bardzo dobrze przygotowana.
Na wykładach podaję jako przykład sprytu przestępców.
To było sprytne i dużo osób zostało zaszyfrowanych. Paradoks polega na tym, że ofiarami są głównie adwokaci, a z uwagi na konieczność ochrony tajemnicy adwokackiej niechętnie zawiadamiają o przestępstwie popełnionym na ich szkodę, obawiając się, że będziemy w postępowaniu badać ich komputery. Wiedząc, że dużo podmiotów, bojąc się utraty reputacji, nie będzie chciała zgłosić się i występować w postępowaniu w roli pokrzywdzonego, a także dla szybkiego udzielenia pomocy wszystkim zaszyfrowanym Prokuratura Okręgowa w Warszawie udostępnia na bieżąco klucze do deszyfracji.
A czy będzie jakieś narzędzie?
W dniu 14.04.2018 zespół CERT Polska pod adresem https://nomoreransom.cert.pl/vortex udostępnił narzędzie, które może pomóc odzyskać klucz szyfrujący ransomware’u Vortex. W sumie na stronie https://nomoreransom.cert.pl/vortex/ udostępniono już 16 718 kluczy. Będziemy na bieżąco wprowadzali kolejne klucze do bazy, tak żeby ludzie mogli łatwo odszyfrować pliki. Jeśli do tej pory nie było możliwe odnalezienie odpowiedniego klucza, należy odwiedzić tę stronę i podjąć ponowną próbę. Jeśli komuś poprzez tę stronę udało się odszyfrować pliki, oznacza to, że został zaszyfrowany przez Tomasza T. Pamiętajmy bowiem, że Thomas nie jest sprawcą wszystkich kampanii z dystrybucją ransomware’u. Kierując się kwalifikacją prawną, próbowaliśmy znaleźć sprawy przypisywalne Thomasowi i analizowałam akta postępowań, które jak się okazało, nie wiążą się z tą sprawą. Ale wiemy też o kampaniach Thomasa adresowanych do konkretnych osób – tzw. spear phishing, bez wysyłki maili do kilku tysięcy odbiorców. Szyfrował również „ręcznie” osoby wcześniej zarażone vjw0rmem. Wiemy też o kampaniach masowych Thomasa, które nie zostały opisane na Z3S, np. kampania z podszyciem się pod 5-10-15.
Co dalej w sprawie, jak wyglądają kolejne kroki? Czego się możemy spodziewać? Jak wygląda procedura, kiedy już jest postanowienie o areszcie? Jakie są następne etapy?
Trwają poszukiwania pokrzywdzonych, powołany został biegły do analizy nośników danych podejrzanego. W oparciu do pozyskiwane tak dane uzyskujemy wiedzę o kolejnych elementach wykorzystywanej przez sprawcę infrastruktury. Tak więc nie ustaliliśmy jeszcze wszystkiego. Jak uda nam się ustalić okoliczności poszczególnych kampanii i pokrzywdzonych, na pewno podejrzany będzie miał zmienione zarzuty. Po wykonaniu czynności postępowania przygotowawczego kolejnym krokiem jest skierowanie do sądu aktu oskarżenia. Zanim to nastąpi, zapewne będziemy jeszcze musieli uzyskać informacje z giełd kryptowalut, może uda nam się zabezpieczyć pieniądze Thomasa. Paradoksalnie giełdy kryptowalut dosyć szybko udzielały nam dotychczas odpowiedzi.
Odpowiadają, jak się ich zapyta?
Tak. W tym postępowaniu jednak nie spodziewam się, że znajdziemy istotne środki finansowe Thomasa. Ważne jest dla mnie odszyfrowanie danych pokrzywdzonych. Niektórzy pokrzywdzeni zgłaszali, że wartość danych szacują nawet na 200-300 tysięcy złotych. Są to dane finansowe i księgowe czy całe kolekcje np. napisanych książek, zgromadzonych fotografii czy filmów.
Czy te osoby, które poniosły faktyczne szkody, mogą próbować dochodzić od samego oskarżonego tych szkód?
Pokrzywdzeni mogą wnosić o naprawienie szkody.
Jaki jest pułap zagrożenia karą więzienia przy jego zarzutach?
Dla oszustwa i prania pieniędzy górny pułap zagrożenia karą wynosi do ośmiu lat pozbawienia wolności. Dla oszustwa internetowego 5 lat. Ponieważ Tomasz T. z popełnienia przestępstwa uczynił sobie stałe źródło dochodu sąd może wymierzyć karę do górnej granicy ustawowego zagrożenia zwiększonego o połowę.
Słyszałem, że na początku on przejmował ludziom konta mailowe, konta Gadu-Gadu i pisał z cudzych kont, bo wykradał hasła…
W kilku kampaniach wiadomości e-mail zostały wysłane z przejętych skrzynek mailowych istniejących firm. Te podmioty miały z tego tytułu różne nieprzyjemności. Thomas kupował również telefony zarejestrowane na dane innych podmiotów. Korzystał zarówno z danych osób istniejących, jak i z tzw. „fake name generatora”.
Zakres strat, które wygenerował jeden człowiek dwoma rękami, głową i komputerem jest niewiarygodny.
I to wcale nie jest jakiś super informatyk.
Widać z bardzo daleka.
To jest script kiddie, typowy script kiddie. Wysyłał na przykład JavaScript udający Worda, czyli przed rozszerzeniem .js dopisywał rozszerzenie doc. Ludzie sami pobierali aktualizacje z domeny podszywającej się pod Office. No, jakby człowiek przeczytał… W jednej z kampanii automatycznie było zaznaczone „nie” w oknie, w którym wybierało się pobieranie dokumentu. Była też kampania, w której naciśnięcie przycisku „przerwij” przerywało szyfrowanie.
Na początku to ransomware było takie bardzo nieporadne.
Zasadniczo Thomas kupował oprogramowanie i je nieco przerabiał lub dostosowywał do własnych potrzeb.
W ogóle vjw0rm był dystrybuowany za darmo tylko i wyłącznie na forum arabskojęzycznym. Tak zupełnie nie pasuje – Thomas i arabski program.
Google Translator poradzi sobie ze wszystkim….
Co go zaprowadziło akurat w ten dziwny zakątek internetu, na jakieś zupełnie niszowe forum arabskich hakerów, z Tunezji czy coś, nietypowe to było.
Jest to dobre pytanie. Gdybyście mieli więcej pytań frapujących internautów, to ja je chętnie zadam podejrzanemu, bo zależy mi na tym, żeby wyjaśnić całokształt istotnych okoliczności tej sprawy i nauczyć się czegoś, co pozwoli skuteczniej poprowadzić kolejne postępowania z podobnego zakresu.
Myślę, że jeszcze czeka mnie wiele relacji z sali sądowej, jak mi pozwolą zostać.
Rozprawa główna jest jawna, więc można będzie posłuchać, chociaż jeżeli sąd zapragnie przesłuchać wszystkich pokrzywdzonych, to…
Może potrwać. Czy Thomas przyznaje się i będzie chciał dobrowolnie poddać się karze?
Zobaczymy. Generalnie podejrzany przyznał się i złożył obszerne wyjaśnienia.
Dziękuję bardzo za rozmowę.
Podobne wpisy
- CTO i współzałożyciel Secfense, Marcin Szary, gościem RK w niedzielę o 21:00
- Product Manager Senhasegura, Kamil Budak, gościem RK o 21:00
- Principal Program Manager, Microsoft Cloud for Industry w Microsoft, Michał Furmankiewicz, gościem RK o 21:00
- CSO Grupy Allegro, Michał Wierucki, gościem Rozmowy Kontrolowanej w niedzielę o 21
- Inżynier bezpieczeństwa, Michał Legin, gościem Rozmowy Kontrolowanej w niedzielę o 21
Gdzie można znaleźć informacje o terminie i miejscu rozprawy?
Nieszablonowe jest wykorzystanie dostępnych środków? Ech…
Mam mieszane uczucia.
Z jednej strony miło czyta się przedstawiciela państwowej instytucji który rozumie o czym mówi, jest zmotywowany do działania oraz osiąga konkretne efekty. Z drugiej strony martwi mnie wrażenie, że sprawa tego konkretnego złodzieja została rozpracowana środkami – jak na polskie możliwości – ogromnymi, prawdopodobnie tylko dlatego że sprawa zyskała status flagowej, priorytetowej. Sprawy pomniejsze mają nikłe szanse doczekać się potraktowania z podobną sprawnością, co sama pani prokurator pośrednio potwierdziła.
Jak ustalono, ten złodziej był zwykłym głupkiem-cwaniakiem, a nie złym geniuszem, co oznacza że może łatwo i szybko znaleźć licznych naśladowców, którzy nie zostaną złapani bo będzie ich zbyt wielu i zbyt małej skali. Zresztą, to przecież dzieje się już w tej chwili.
Cieszę się więc z jednostkowego zwycięstwa, ale martwię się że w wojnie jesteśmy na słabej pozycji.
Pozdrawiam
Werner339
Jak to się super czyta! Chciałem zrobić przerwę w połowie, ale pomyślałem: „jeszcze jeden akapit”. Doczytałem do końca.
U mnie dokładnie to samo :D
Mr Thomas to bardzo kumaty facet. W sumie to wątpię żeby dostał wysoką karę…wcale się nie zdziwię jak co najwyżej dostanie „karę w zawiasach”. Po całej tej aferze założy blog, napisze książkę związaną z cyberbezpieczeństwem i zacznie zarabiać prawdziwy „HAJS” na szkoleniach:) Autor sam wie, że nie są to małe pieniądze:P Czas pokaże…Taki „mini-polski” Kevin Mitnick:)
Ty chyba żartujesz? Gościu który nie ma pojęcia o bezpieczeństwie będzie pisać książkę i zostanie „mini-polskim” Mitnickiem?
Thomas to dzieciak który naczytał się w internecie jak zostać „chakerem” i jadąc po najmniejszej linii oporu (bez żadnej wiedzy i umiejętności) okradał ludzi. Jego historia powinna być przestrogą dla innych dzieciaków „chakerów” i przesłaniem że na końcu prawidziwi profesjonaliści w końcu dobiorą im się do dupy, a potem do tej samej dupy dobiorą się w więzieniu :-)
Poczytaj historie Mitnicka. Jego główne ataki to były ataki socjotechniczne. Thomas jak najbardziej mógł być „script kiddie” mimo wszystko nie można lekceważyć jego umiejętności i wytrwałości w tym co robił…Jego historia jak najbardziej powinna być przestrogą, ale sam musisz przyznać, że facet jest ostatnim czasy trochę „promowany”, a jak wiemy: nie ważne co mówią…ważne, że mówią… Przykładów ludzi, którzy nie są wcale wielkimi ekspertami, a mimo wszystko zostali pewnymi „symbolami” w danej dziedzinie jest multum…Czas pokaże…i żeby nie było wcale nie życzę „Thomasowi” powodzenia… wręcz przeciwnie;)
dobry art.
Ciekawe kiedy złapią złodzieja z bitcurexu? Sprawa się już 1,5 roku ciągnie i cisza jak makiem zasiał :(
Cytat: „Postępowanie przygotowawcze prowadzone w Prokuraturze Okręgowej w Warszawie zostało wszczęte 2 czerwca 2017 roku, tak więc doprowadzenie do zatrzymania Tomasza T. zajęło nam osiem miesięcy”
OK, ale czemu postępowanie zostało wszczęte kilka lat po tym, gdy zaczęły się szkody?
Z tego dość ciekawego tekstu wyłania się jedna smutna rzecz, mianowicie informatyzacja do Policji jeszcze nie dotarła i nadal bawimy się w tomy akt i papierków, które potem lecą do kosza. Gdyby wszystkie zgłoszenia były wklepywane w sieć, ktoś by miał szansę je powiązać, a jak Pani Prokurator sama przyznała większość „małych spraw” nie wychodzi poza niskiego szczebla jednostki. Smuteczek.
„informatyzacja do Policji jeszcze nie dotarła”
W Policji czy w Prokuraturze?
Adam przeprowadził wywiad z policjantem czy z prokuratorem?
Bo według mnie mylisz pojęcia Monterze.
Tak się składa że wiem jaka jest informatyzacja w organach ścigania.
Ze zrozumiałych względów jej nie opiszę.
Poza tym, wersje papierowe dokumentów są nadal często przechowywane w całej administracji, nie tylko przez w/w organa.
Wiadomo że informacji niejawnych nie należy publikować, ale wystarczy przejrzeć jawne przetargi by wyrobić sobie pogląd jak wygląda informatyzacja policji. Do tego liczne rozporządzenia i jawne zarządzenia – to są przecież dokumenty publiczne.
Zresztą od czasu do czasu wychodzi, jak to bywa w praktyce – swego czasu wybuchła afera gdy okazało się, że panowie policjanci podłączyli używane wcześniej przez innych laptopy do policyjnych systemów baz danych.
W dodatku jak zna się kogoś kto służy w policji, to ma się obraz nędzy intelektualnej (funkcjonariuszy) i materialnej (instytucji).
Bezpieczniki od dawna dostrzegają głupotę i niebezpieczeństwo publikowania wszelakich SIWZów. Dla grup przestępczych i/lub obcych wywiadów, takie SIWZy i inne informacje przetargowe, to skarbnica wiedzy o naszym bezpieczeństwie wewnętrznym.
Ruskie pewnie na warsztatach z białego wywiadu czytają sobie takie dokumenty których pełno w Sieci i tworzą z tego raporty na zaliczenie;)
.
Policjanty (ze dużego miasta Górnego Śląska) podłączyli używane wcześniej przez innych laptopy do policyjnych systemów baz danych. To były lapki darowane im przez jakiegoś lokalnego Janusza biznesu z którym później popsuły im się stosunki i skoczyli sobie do gardeł. Dlatego sprawa wypłynęła do mediów.
Przyznaję że to bardzo obciachowe że wpięto te lapy do policyjnych sieci i baz.
Ta sprawa z podłączaniem lapków nie jest jedyna. Niestety. W policji nadal pracują z cudzymi (świadków, podejrzanych, pokrzywdzonych) danymi na przyniesionych z domu na komendę prywatnych komputerach, bo te służbowe bywają przestarzałe, zepsute albo nie mają odpowiedniego oprogramowania. W dodatku jest wielu policjantów, których wiedza o komputerach ogranicza się do tego, czego nauczyli się na lekcjach informatyki w gimnazjum plus umiejętność obsługi smartfona – niektórzy nawet nie wiedzą że wypadałoby wyczyścić zerami dysk i podstawić z powrotem system po zakończeniu pracy nad daną sprawą.
Poświęcą kilka lat pracy i zapewne wyjmą gościowi kilka lat z życiorysu ale cóż z tego skoro nadal niemalże codziennie idą nowe kampanie ze źródełka jakim są serwery tej samej firmy z której „usług” korzystał – zostało po staremu.
Czarny tomasz zostanie odbity ! Jeszcze pamiętasz cyberPiotrze
No proszę, środek sezonu ogórkowego a tu taki strzał – jestem pod wrażeniem, gratulacje! Byłem już pod nim widząc „prok. dr inż.” w tytule (to chyba coś tak rzadkiego w polskim Wymiarze jak biały nosorożec :).
Martwi mnie tylko, że na obecnym etapie wszystko jest super i profesjonalnie, ale jak akt oskarżenia trafi do sądu – po reformie Ziobry wylosowany do jej prowadzenia zostanie np. spec od rozwodów lub kieszonkowców i… prędzej komputery kwantowe trafią do sklepów niż ta sprawa się zakończy, sensownym wyrokiem.
Zrobią mu pokazówkę bo to przecież „groźny przestępca/znaczne straty/…” a że o tym jak „sprytnie i inteligentnie” przez tyle lat unikał złapania można poczytać nie tylko na „niszowym” z3s więc wieloletnią kompromitację jakoś trzeba przekuć w „zwycięstwo” – nie umniejszając Pani prokurator.
Mnie natomiast, jak już wspomniałem, „martwi” co innego – ze źródełka korzystają teraz „godni następcy” – ot chociażby przykład sprzed kilkudziesięciu minut aom113.rev.netart.pl/85.128.247.113 z następną „fakturą”.
Cieszę się, że chociaż jedną osoba potrafi dojrzeć prawdę, dzięki Ci człowieku.
Śmieszy mnie to, Pani Prokurator to specjalistka, ale od parafrazy i powtarzania tego co istotne, niestety nie tego co nauczyła się sama, a tego co zostało jej przekazane jako ważne i wyjaśnione przez innych. Raptem parę pojęć wyuczonych na 5 a pewnie nie ma pojęcia czym się różni atak słownikowy od bruteforce, natomiast nadrabia to 'przemową’ przy okazji nieświadomie strzelając sobie w stopę: „i to nie jakiś super informatyk” hahaha epic stawia was to w jeszcze lepszym świetle biorąc pod uwagę jak sprawnie wam szło. „To typowy script liście” Brawo, prócz niezbędnych określeń udało się coś z żargonu hakerów, naprawdę Brawo, daje to poczucie, że naprawdę coś rozumie a nie powtarza.
Ci co śmieją się z Tomasza, że no skill, ze .js po .doc – śmieszni to są Ci co się na to nabierali.
Tak samo Ci co, wiedzą jak jego dupa ucierpi w puszce, albo mniej filmów albo was ktoś 'zle’ dotykał za dziecka, jak od razu pod to podciagacie, on nie ma tam teraz domu za majty albo być domowym ninją – żałośni.
Belgia, UK, Włochy, co za różnica ? Zapracowana, Pani Prowokator wymienia ile to pism i ile trudu, ZAWSZE I KAZDEGO ZA COKOLWIEK jesli chcą ściągnąć, tak to wygląda, nawet gościa który nie wie, że jest poszukiwany, bo nie odrobił godzin społecznych, i zamienili mu to na 3 miesiace, a ten na czarno pracuje gdzieś pod Paryżem, haltują nagle i ściągają samolotem do Polski, później Służewiec lub Białołęka, następnie rozdzielnia i w Polskę, połowa z 3 miesięcy zleci w transporcie i wolicie nie wiedzieć ile 'takie cos’ kosztuje i wiecie kogo? I serio mogli ? Typa co miał 3 miesiące ściągać z Paryża..? A Tomasza mimo swych niedociągnięć tak trudnobylo, komedia, tragi-komedia i do tego zakłamana na rudo. Gardzę nią i wami, a Tomasza mi nie szkoda, lecz większość mimo wszystko była głupsza od niego.
Trochę inne spojrzenie na tę sprawę: https://medium.com/@maldroid/jak-nie-złapać-cyberprzestępcy-7633cc0b231f
Polecam!
Oczywiście, zapewne Pani prokuratorka nie będzie chciała, w ramach komentarza do podlinkowanego stanowiska, wypowiadać się o pracy policji czy poprzedników z prokuratury, itp. Ale z drugiej strony nas, czytelników, to nie powinno obchodzić i nie powinniśmy się w kontekście tej sprawy i tego wywiadu skupiać (tylko) na osobie Pani prokuratorki, lecz rozpatrywać pracę organów ścigania jako całości. Ewentualnie oddzielnie policji, prokuratury, sądu, ale nie jako poczynań jednego człowieka i reszta, czy to co wcześniej, nie jest istotna.
BTW: IMO ta Pani opisuje sukces, jakim ma być ujęcie Thomasa, w sposób mega przefanfarowany. To powinno być standardem, a nie chlubnym wyjątkiem. Pomijam fakt, że wyliczenia szybkości działania organów ścigania to duże nadużycie. Taka „kreatywna księgowość” i naginanie faktów.
Ale sam wywiad jako pomysł spoko i fajnie, że ktoś z LEA otworzył się i chce o tym opowiedzieć społeczeństwu.
Pamiętaj że – nie licząc cyberprzestępstw które załatwia ABW i o których nigdy się nie dowiesz – tak duża sprawa jak ta z wieśniakiem Thomasem, jest jedną z pierwszych o tak szerokim spektrum działania (kampanie, infekcje, czas ich trwania).
Dochodzą do tego bolączki dnia codziennego (biurokracja, brak procedur lub nieprzystające do współczesności słabe prawo) z jakimi boryka się szeroko rozumiana administracja (w tym Policja, Prokuratura i Sądownictwo).
Ogólnie wygląda to blado, ale jak zrozumiesz w jakich warunkach pracują zaangażowani ludzie (tacy którym się jeszcze chce), to zrozumiesz jaki oni wykonali progres.
Cieszy mnie to co już zrobili, choć Cyber CSI to (jeszcze) nie jest;)
Zakres strat, które wygenerował jeden człowiek *DWIEMA rękami, głową i komputerem jest niewiarygodny
Obie formy są poprawne, idź być nieudolnym Grammar Nazi gdzie indziej.
Czekam z utęsknieniem kiedy w Polsce kary za każde przestępstwo będą się sumować i taki Thomas dostanie 300 lat więzienia. Dodatkowo powinien być obciążony kosztami pracy policji, prokuratorów i ekspertów którzy nad jego przypadkiem pracowali.
Wtedy to będzie miało rzeczywiście odstraszające działania. A tak skończy się na tym że po kilku latach pracy zespołu prokuratorskiego, facet dostanie 5 lat więzienia, i po 2-3 wyjdzie.
Wysokość kary nie odstrasza, odstrasza jej nieuchronność. Naukowcy od dziesiątek lat publikują w kółko badania że tak jest, ale lud swoje wie.
W Chinach za wszystko karze się karą śmierci a jakoś przestępczość nie zmalała.
To po pierwsze, a po drugie: proste mnożenie liczby lat odsiadki przez liczbę pokrzywdzonych jest po prostu niesprawiedliwe. Jeżeli bowiem za zabicie z zimną krwią jednej osoby byłby wyrok np. 25 czy nawet 40 lat, to Thomas za swoje liczne oszustwa wielu ludzi dostałby wyrok kilka albo i kilkanaście razy dłuższy. A jego czyny są bez wątpienia wiele mniejszej wagi niż morderstwo jednego człowieka.
Teraz CERT i Z3S będą na złapaniu jednego ledwie sprytnego chłopaka jechać i budować sobie markę? Nie wyczuwacie w tym pewnej sporej dozy żenady…
Pytanie do Adam Haertle :
Kto będzie następny gimnazjalista z karachana? Tylko na tyle Pana stać? To jedyny powód do dumny? Bo na prezentacjach to raczej chwali się Pan osięgnięciami amerykańskich służb a nie polskich…
Historia Thomasa jest pouczajaca ale na prawdę warto go kopać i wyciagać Panią prokurator co opowiada jak bardzo wymiar sprawiedliwości mu teraz dowali?
Z tego się robi hucpa jak z procesu dla nazistowskiego zbrodniarza.Dodam tylko,że nie pochwalam tego co zrobił Thomas ale wydżwięk jaki płynie z treści powstałych w oparciu o jego historię jest niesmaczny.
Tak, nic innego niestety nie potrafię… To już koniec moich prezentacji, będę czekał aż Thomasa wypuszczą.
Ha ha ha ha ha ha!
Po stokroć ROTFL!
Zrobię sobie zrzut ekranowy z twojego żałosnego, nieudolnego kasu.
Jak będę się chciał głupio pośmiać, to sobie go znów przeczytam, xD
Trudno, żeby się chwalić polskimi osiągnięciami, skoro mamy dobrze zorganizowany system inwigilacji i wszystko jest pod kontrolą służb tajnych. Praktycznie każdy krok obywatela jest monitorowany i namierzany w czasie rzeczywistym. Wspomniany przez ciebie karachan to właśnie jedna z takich operacji typu honeypot, o czym alarmowałem już nie raz, ale nikt nie chciał słuchać. Najbardziej ucierpiał czaks, bo nie daje znaku życia z aresztu.
zastanawia mnie jedno a co jeśli to nie jest jednak Thomas tylko jakiś słup świadomy lub nie świadomy?
Przelane pieniądze się rozmyły i zapewne są nie do odzyskania.
Dobra..Panie Thomas..kiedy szkolenie??
Czekamy na szkolenia:):) Sama bym sie wybrala:)
Ksiazke kupie i na szkolenie sie zapiszE:)
Dawajcie znac kiedys Thomas bedzie robil szkolenia:):)
A na powaznie. Strasznie nudny artykul. Spodziewalam sie czegos wiecej. Faceta pewnie przejma Polskie sluzby bo mimo swojej nie udaolnosci byl bardzo skuteczny i sprytny a raczej obnazyl nieudolnosc Panstwowego aparatu i slimacze tempo dzialania.
Tylu specyyalyystow..sie pocilo zeby znalezc jedno zuczka:):)
Wyobrazcie sobie gdyby On nie popelnial tylu bledow. Gdyby za kazdym razem zmianil swoja cyfrowa tozsamosc gdyby kozystal z roznych komputerow a potem wrzucal je do rzeki albo spalal..gdyby kozystal z roznych domen gdyby stosowal zwykle zasady OPSEC i nie DDosowal swojego serwera:):):) to hit:):)
Gdyby stosowal rozne maile, rozne telefony, gdyby kozystal z hostingu w rosji czy gdzie indziej:) gdyby kozystal z kilku VPSow i dodatkowych warstw i wiekszego lancucha proxy.
Szukali by go i nikt by go nie znalazl. Jego bledem bylo chwalenie sie totalna nonszalancja..i zostawianie tylu glupich sladow..ze naprawde matko jedyna:)
Dobrze ze go zlapano. Zle ze robil ludziom zle rzeczy.
Wyobrazcie sobie jakies malego rzuczka ktory trzymalby sie w cieniu:) ni huja..by go znalezli:)
Obnazyl chlopak
Prezentacje Pana Adama w necie sa bardzo fajne. Naprawde extra.
Fajnie sie to oglada:)..wiecej prosimy:)
ale zeby tyle bylo tego slodzenia…
Zaufana trzecia strona oraz sekurak – chodza na pasku sluzb:)penie..zhejtujcie mnie za to ale to chyba zadna tajemnica..powszechnie wiadomo czym cert jest.
Tylko niebezpiecznik jeszcze wmiare sie ostal.
Oni wszyscy kochani…monitoruja ip,maki i fingerprinty osob ktore czytaj te portale i potem wy jestesccie listowani jako glowni potencjalni podejzani:)
Ja od lat uzywam tora do czytania takich portali:) i to chowanego za VPNem:) i jeszcze dodaje SSH lub TLSa albo ide po SOCKsie..Polecam rowniez WHONIXA do tego…
Dla zabawy po prostu..bo tak jest fajniej:)
Gdyby nasz nieszczesny ptaszek Thomas uzywal mózgu i nie bawil sie w takie zabawy….obrastal by tylko legenda. A tak…??? jezeli nie wiedzial dokonca co robi..wpadl. I to nie jak profesjonalista…zwykly dzieciak…majacy duzo czasu..i laczacy programy. Kiddies:) Pewnie nikt by go nie zlapal gdyby za wysoko nie skakal:) bo dla NSA to za mala lokalna rybka:)byla:)
Prokuratura musiala wziasc sie za prawdziwego lamera zrobic duzo szumu zeby obtrabiac wielki sukces przed dobra zmiana:)
Splendor akcji starczy na co najmniej 2 lata:) a prawdziwych fachowyl przestepcow:) nawet nie tkna:) bo nie umija:)
Bo PGP nie zlamia:) tak samo nie skoreluja tego jezeli ktos zmienia czesto tozsamosci i sprzet:) male szanse:)[komp, karty, modemy,rozne systemy] Plus jezeli rozne lokalizacje nigdy blisko domu czy miejsca pobyutow, gotowka etc.
No way:) szybkie akcje i brak sladow:)to najlepsze haktywistyczne metody. Ludzie ale na Boga!! bez przestepstw!!!
Rozumiem jakies pozyteczne akcje spoleczne..ale brudne..akcje ??? okradanie innych?? perfidne ataki??? z takimi to do pierdla.
Oczywiscie nie zachecam nikogo do tego
Prawda jest to ze wiekszosc czytelnikow takich portali..to zwykli zapalency, geekowie, nerdy..uprawiajace zbieractwo informacyjne jako sztuka dla sztuki:)
Sama swiadomosc umiejetenosci i mozliwosci wiekszosci wystarczy.
Nikt chyba normalny nie kradlby kart i szyfrowal ludziom kompow.. Bo jednak..wpasc mozna zawsze i po 10 latach:)
Dlatego rybki drogie:) nie robic tak:) nie brac przykladu:)
Bezpieka Was zawsze zgarnie predzej czy pozniej to kwestia czasu tylko. Na routerach,switczach i stacjach transmisyjnych sa nasluchy mobilne lub stale. I nikt organom scigania nie umknie:)
Chyba ze naprawde wiecie co robicie:)
Oni maja caly aparat do dyspozycji wy tylko tora i pgp+ inne pseudo anonimizujace zabawki. Kwestia komu i jak bardzo sie chce was zlapac..a wam jak dlugo uciekac zacierac slady, szyfrowac i uciekac.
Dobrze ze go zlapali..
Bootnety, akcje z kartami to brudna sprawa. Mogl ograniczyc sie tylko do kawalow i whitehat..i ew hakowania dla zabawy sieci wifi osiedlowych nie robiac nikomu szkody.
Cuz..przestepstwa to przestepstwa a te sie kara i do wiezienia wsadza. Mogl sie az tak zuchwale nie wychylac.Sam sobie winien.
Mi go nie szkoda..bo gdyby mi zaszyfrowal komputer nie bylo by mi do smiechu.
Jak zartowac to zartowac:) ale bez takich przestepstw.
Pozdrawaim cala ekipe z3s.
Mimo wszystko szacunek dla Pana Adama bo to napawde dobry gość i specjalista mimo ze pewnie na tajnym etacie:)