Visa tai galima perskaityti praėjusią savaitę programišių nutekintuose italų įmonės „Hacking Team” dokumentuose. Pagal juos matyti, kad italų įmonė turėjo sandorių su Italijos, Meksikos, Maroko, JAV, Pietų Korėjos, Šveicarijos, Vengrijos ir Rusijos vyriausybėmis.
Tuo tarpu Didžiosios Britanijos valdžia derybas dėl įrangos už pusę milijono eurų pirkimo nutraukė suabejojusi tokios įrangos naudojimo teisėtumu. Be to, britai atkreipė dėmesį, kad „Hacking Team” programinė įranga Eritrėjoje galėjo būti panaudota prieš valdžiai nelojalius žurnalistus ir žmogaus teisių gynėjus.
Oficialiai „Hacking Team“ skelbia esanti kibernetinio saugumo įmonė, bendradarbiaujanti tik su demokratinių šalių vyriausybėmis. Pagrindinis įmonės gaminamas produktas – sekimo priemonė „Galileo“. Kaip teigiama šio produkto reklamoje, tai įrankis sekti šimtams ar tūkstančiams taikinių iš vienintelės vietos.
Ieškojo ryšio per tarpininkus
Tačiau Lietuvoje „Hacking Team“ taikėsi ne vien į specialiąsias tarnybas. Arba ne tiesiai į jas. Kaip galima pamatyti „Wikileaks“ paviešintuose „Hacking Team“ dokumentuose, italams Lietuvoje ieškant kontaktų su pareigūnais padėjo „Penkių kontinentų“ grupei priklausančios įmonės „IT Consulting“ tuometis vadovas, buvęs nusikaltimų elektroninėje erdvėje tyrėjas Markas Marcinkevičius ir įmonės „Gedion“ vadovas Gedalijus Britaniškinas.
Pastaroji įmonė oficialiai nurodo užsiimanti automobilių signalizacijomis, tačiau savo tinklalapyje nuoširdžiai prisipažįsta parduodanti sekimo įrangą. „Mumis pasitiki ne tik privatūs naudotojai, bet ir valstybės specialiosios tarnybos“, – skelbia „Gedion“.
STT atskleidžia, kad turi vos 30–50 taikinių, policija teiraujasi, kiek kainuotų sekti 10–20 asmenų, o „antrukai“ domisi 5–30 asmenų šnipinėjimo galimybėmis.
Iš tikrųjų nei „Gedion“ nei „IT Consulting“ nė nebando dalyvauti viešuosiuose pirkimuose, apie šias įmones viešųjų pirkimų portale neskelbiama absoliučiai nieko. Tačiau kažkokių ryšių su specialiosiomis tarnybomis, jos, ko gero, turėjo. Antraip argi „Hacking Team“ būtų bandžiusi per šias įmones susiorganizuoti sekimo įrangos pristatymą Lietuvoje?
Į susitikimą niekas neatėjo
M.Marcinkevičius su „Hacking Team“ intensyviai susirašinėjo 2013 m. pradžioje. Tuomet buvo skelbiama, kad sekimo priemonės pristatymą pamatyti pasiūlyta VSD, karine kontržvalgyba užsiimančio Antrojo operatyvinių tarnybų departamento prie Krašto apsaugos ministerijos, STT, VSAT, Kriminalinės policijos biuro ir Muitinės departamento pareigūnams.
Numatytas susitikimas buvo numatytas vasario 7 dieną, „IT Consulting“ patalpose Vilniuje. Jame dalyvauti, pasak M.Marcinkevičiaus, užsiregistravo keturi STT pareigūnai, du kriminalistai ir trys pasieniečiai. Prieš atvykdamas „Hacking Team“ atstovas Massimiliano Luppi dar pranešė, kad, jei „IT Consulting“ ketina pardavinėti jų produkciją Lietuvoje, tai turi „pardavinėti visą sprendimą“ ir „atsiųsti oficialų patvirtinimą, kad institucijos suteikia teisę „IT Consulting“ suteikti joms šią paslaugą“.
Policija teiravosi, kodėl per pristatymą buvo teigiama, kad metus sekti 10 asmenų kainuoja 250 tūkst. eurų, o atsiųstame pasiūlyme jau nurodoma 122 tūkst. eurų didesnė suma.
Kitaip tariant, „IT Consulting“ tikriausiai tikėjosi pati būti tarpininkė ir dalyvauti viešojo pirkimo konkurse, jei specialiosios tarnybos panorėtų pirkti itališką sekimo įrangą.
Tačiau iš to nieko neišėjo. Po metų, jau bendraudamas tiesiogiai su Lietuvos pareigūnais ir tardamasis dėl naujo susitikimo, M.Luppi guodėsi, kad iš pirmojo bandymo nieko neišėjo, nes į susitikimą neatėjo nė vienas pareigūnas.
„Nenoriu daug kalbėti, bet, atrodo, buvote pasirinkę netinkamus partnerius“, – italui atrašė dar nuo 2012-ųjų probėgšmomis su juo susirašinėjęs STT Techninės priežiūros departamento vadovas Olegas Kvetkovskis.
„Mano šefas su tokia kaina niekada nesutiks“
STT darbuotojas paragino „Hacking Team“ atstovą su pareigūnais nuo šiol bendrauti tik tiesiogiai ir 2013 m. pabaigoje pats ėmėsi organizuoti dar vieną susitikimą Vilniuje. Tuo pat metu dėl susitikimo su italais tarėsi ir Donatas Mažeika iš Kriminalinės policijos Nusikaltimų elektroninėje erdvėje valdybos.
„Galileo“ pristatymai STT ir policijos patalpose vyko 2014 m. sausį. Po susitikimų abi institucijos gyrė siūlomą produktą, bet taip nieko ir nenusipirko. STT aiškiai įvardijo, kad italų parduodama įranga jiems per brangi. „Mano šefas su tokia kaina niekada nesutiks“, – italams rašė O.Kvetkovskis.
Policija taip pat teiravosi, kodėl per pristatymą buvo teigiama, kad metus sekti 10 asmenų kainuoja 250 tūkst. eurų, o atsiųstame pasiūlyme jau nurodoma 122 tūkst. eurų didesnė suma. Tiesa, konkrečius skaičiavimus siųsdama „Hacking Team“ iškart apsidrausdavo ir pareikalaudavo įstaigų pasirašyti konfidencialumo sutartis.
Gerai, kad nieko ir nenusipirkta, nes produktas, kaip matyti dabar, brangus ir nebūtinai kokybiškas, – sako A.Anušauskas.
Net ir nesugebėjusi įsiūlyti šnipinėjimo įrangos STT ir policijai, ieškoti kontaktų Lietuvoje „Hacking Team“ nesiliovė. Tuomet vėl bandyta ieškoti tarpininkų ir kreiptasi į G.Britaniškiną. Tačiau jis reagavo gana skeptiškai, nepuolė kviesti italų į Vilnių, bet pažadėjo su Kriminalinės policijos biuru apie įrangą bent pasikalbėti.
VSD ir Antrasis operatyvinių tarnybų departamentas su „Hacking Team“ susisiekė visai neseniai – šių metų birželio pabaigoje. Susitikti su įmonės atstovais žvalgai iki jų susirašinėjimas tapo viešas taip ir nespėjo.
Paneigia masinį sekimą
Seimo Nacionalinio saugumo ir gynybos komiteto narys konservatorius Arvydas Anušauskas tvirtino, kad derybas su „Hacking Team“ Lietuvos specialiosios tarnybos turėjo nutraukti dar pernai. Mat tada paaiškėjo, kad rusų „Kaspersky“ lengvai aptinka „Galileo“ sistemas ir jas blokuoja. Kad įranga nepatikima, pasak parlamentaro, rodo ir tai, kad jos susirašinėjimas dabar nutekintas.
Tuo tarpu tai, kad įrangą italai bandė pardavinėti per vietinius tarpininkus, politiko visai nestebina, nes ši rinka nėra plati ir verslininkams su pareigūnais susisiekti tiesiogiai sunku.
„Aš čia matau, kad buvo toks pradinis susirašinėjimas aiškinantis, kas, kiek gali atvažiuoti, pasižiūrėti. Iš anksto, matyti, nežinomos buvo galimybės, o konkursui juk reikėjo ruošti sąlygas. Techninių sąlygų nežinodamas neparuoši, tai čia va ir išlindo ta ikikonkursinė derybų dalis. Gerai, kad nieko ir nenusipirkta, nes produktas, kaip matyti dabar, brangus ir nebūtinai kokybiškas“, – sakė A.Anušauskas.
Seimo narys tik atkreipia dėmesį, kad šis susirašinėjimas paneigia vieną labai plačiai paplitusį mitą apie neva Lietuvoje ypač paplitusį piliečių sekimą.
Susirašinėjime STT tiesiai atskleidžia, kad turi vos 30–50 taikinių, policija teiraujasi, kiek kainuotų sekti 10–20 asmenų, o „antrukai“ domisi 5–30 asmenų šnipinėjimo galimybėmis.
Tuo tarpu oficialiai žinoma, kad Lietuvoje per metus vidutiniškai būna pasiklausoma iki 8 tūkst. piliečių pokalbių.
M.Marcinkevičius: „Tai jautri tema“
Markas Marcinkevičius šią istoriją sutiko paaiškinti tik, jei bus pateiktas visas komentaras. Jis štai toks:
„Taip mes siūlėme „Hacking Team“ sprendimą ne tik Lietuvos teisėsaugos institucijoms. Toks įvykis buvo.
Noriu atkreipti dėmesį, kad mes dirbome ne tik su „Hacking Team“ sprendimu, bet ir su kitais sprendimais, kurie leidžia kontroliuoti stebimų asmenų išmaniuosius telefonus bei kompiuterius (Windows, iOS, Linux, Mac OS ir t.t).
Jeigu kalbėtume konkrečiai apie „Hacking Team“ sprendimą, tai sprendimas, kurį naudoja daugelis pasaulio žvalgybos institucijų (sakyčiau, daugiau žvalgybos institucijos, kurios vykdo ne kriminalinę žvalgybą, o tikrąją žvalgybą ir kontražvalgybą), siekiančios atlikti kompiuterių ar išmaniųjų telefonų elektroninių ryšių tinklais perduodamos informacijos kontrolę, fiksavimą ar kaupimą. Pagrindinis akcentas tai yra „Skype“ ar pan. programų kontrolė, šifruotų duomenų perėmimas, klaviatūros nuspaudimų aktyvavimas, kameros aktyvavimas ir t.t. analogiškai ir su išmaniaisiais telefonais su galimybe aktyvuoti mikrofoną ir kitus parametrus. Priklausomai nuo pasirinkto sprendimo funkcijų.
Patvirtinu, kad tokio sprendimo mes Lietuvos teisėsaugos institucijoms nepardavėme. Galimai jos įsigijo tiesiogiai iš „Hacking Team“ bendrovės. Ar tai buvo organizuota per viešųjų pirkimų konkursą, atsakyti negaliu, kokiomis pirkimo procedūromis jie vadovavosi, nežinau.
Tai yra naudojama kaip virusas, ne visada tai panaudojama per spragas, kaip tai deklaruojama, – sako M.Marcinkevičius.
Tai yra labai sudėtingas technologinis sprendimas ypač dirbant su kontroliuojamų asmenų privataus gyvenimo duomenimis ir jurisdikcijų klausimu. Manau ateityje jos panaudojimas ikiteisminiame tyrime gali sukelti nemažai diskusijų. Tai yra naudojama kaip virusas, ne visada tai panaudojama per spragas, kaip tai deklaruojama. Kenkėjiškas kodas gali būti įdiegtas tiek nuotoliniu, tiek fiziniu būdu.
Tokio tipo virusu gali būti apkrečiami kompiuteriai per interneto paslaugų tiekėjus, atsisiunčiant neva tam tikrus atnaujinimus, prikabinant failus ir t.t.. Kitas labai svarbus aspektas, dėl ko mums kilo dvejonių, kad tai yra ne Lietuvos Respublikos įmonė. Tai yra kitos šalies bendrovė, kuri valdo sprendimą ir, neabejoju, turi prieigą prie kontroliuojamų asmenų privataus gyvenimo duomenų.
Tai yra kitos šalies bendrovė, kuri valdo sprendimą ir, neabejoju, turi prieigą prie kontroliuojamų asmenų privataus gyvenimo duomenų, – sako M.Marcinkevičius.
Manau, čia komentuoti nereikia daug ir puikiai visi žinote, kokie ir kokia apimtimi buvo pavogti duomenys iš „Hacking Team„ bendrovės. Pasekmės gali būti labai įvairios ir manau bus, todėl renkant tokiais metodais informaciją apie asmens privatų gyvenimą reikia įvertinti tam tikrus dalykus. Jūsų paliesta tema labai jautri ir plati, todėl keliais žodžiais pakomentuoti yra labai sunku.
Šiuo metu mano, kaip advokato, kontora turinti didelę patirtį informacinių technologijų srityje bei žinių kriminalinės žvalgybos srityje, žinanti, kokius metodus ir veiksmus naudoja teisėsaugos institucijos leidžia ir padeda mūsų klientams apsisaugoti nuo tokių naudojamų metodų. Mes atliekame visus reikiamus veiksmus, o suradę tokio tipo programas, konsultuojame klientus, kaip elgtis vienoje ar kitoje situacijoje...“
