Σύνοψη
- Το δικαστήριο έκρινε ένοχα τέσσερα πρόσωπα, συμπεριλαμβανομένου του ιδρυτή της Intellexa, Tal Dilian, για την υπόθεση παρακολουθήσεων με το λογισμικό Predator.
- Επιβλήθηκαν ποινές 126 ετών στον καθένα, με εκτιτέα τα 8 έτη βάσει του ελληνικού ποινικού κώδικα, ενώ δόθηκε ανασταλτικός χαρακτήρας εν αναμονή της έφεσης.
- Οι κατηγορίες αφορούν την παραβίαση του απορρήτου των επικοινωνιών και την παράνομη πρόσβαση σε πληροφοριακά συστήματα, πλήττοντας άνω των 90 στόχων (πολιτικούς, δημοσιογράφους και στρατιωτικούς).
- Η απόφαση αποτελεί την πρώτη ποινική καταδίκη για την υπόθεση που αποκαλύφθηκε το 2022, αναδεικνύοντας τις σοβαρές ελλείψεις στο θεσμικό πλαίσιο της κυβερνοασφάλειας στη χώρα.
Ποια είναι η απόφαση του δικαστηρίου για το Predator;
Το Πλημμελειοδικείο Αθηνών καταδίκασε σε ποινή φυλάκισης 8 ετών τον ιδρυτή της Intellexa, Tal Dilian, και άλλα τρία διευθυντικά στελέχη (Sara Hamou, Felix Bitzios, Γιάννης Λαβράνος). Κρίθηκαν ένοχοι για παραβίαση τηλεφωνικού απορρήτου και παράνομη επεξεργασία προσωπικών δεδομένων σε βαθμό πλημμελήματος, έπειτα από την ανάπτυξη και χρήση του κατασκοπευτικού λογισμικού Predator εις βάρος δεκάδων στόχων στην Ελλάδα.
Κύρια Σημεία της Απόφασης:
- Καταδικασθέντες: Tal Dilian (πρώην αξιωματούχος των ισραηλινών μυστικών υπηρεσιών), Sara Hamou, Felix Bitzios, Γιάννης Λαβράνος.
- Ύψος Ποινής: Συνολική καταδίκη 126 ετών και 8 μηνών για τον καθένα, με ανώτατο όριο έκτισης τα 8 έτη.
- Νομικό Καθεστώς: Οι κατηγορούμενοι παραμένουν ελεύθεροι, καθώς η έφεση έχει ανασταλτικό χαρακτήρα.
- Θύματα: Περισσότερα από 90 φυσικά πρόσωπα, βάσει των ερευνών της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ).
Πώς λειτουργεί το λογισμικό της Intellexa
Η κατανόηση της σοβαρότητας του συγκεκριμένου σκανδάλου απαιτεί την πλήρη τεχνική αποδόμηση των δυνατοτήτων του Predator. Σε αντίθεση με τα παραδοσιακά κακόβουλα λογισμικά (malware) που βασίζονται στην αφέλεια του χρήστη για να εγκατασταθούν (π.χ. άνοιγμα μολυσμένων αρχείων), το λογισμικό της κοινοπραξίας Intellexa ανήκει στην κατηγορία των εξαιρετικά εξελιγμένων εργαλείων κυβερνοπολέμου.
Το Predator λειτουργεί κυρίως μέσω μεθόδων "1-click exploit", όπου ο στόχος λαμβάνει ένα φαινομενικά αθώο μήνυμα (SMS, WhatsApp, ή email) με έναν προσωποποιημένο σύνδεσμο. Με το πάτημα του συνδέσμου, το λογισμικό εκμεταλλεύεται ευπάθειες zero-day στους browsers των λειτουργικών συστημάτων iOS ή Android. Μόλις το ωφέλιμο φορτίο εκτελεστεί, η συσκευή παραβιάζεται πλήρως σε επίπεδο πυρήνα.
Από τη στιγμή της μόλυνσης, ο επιτιθέμενος αποκτά πλήρη και αόρατη πρόσβαση στο hardware και το software της συσκευής. Αυτό περιλαμβάνει την ανάγνωση κρυπτογραφημένων μηνυμάτων (π.χ. Signal, Telegram) πριν αυτά κρυπτογραφηθούν από την εφαρμογή (end-to-end encryption bypass), την παρακολούθηση τοποθεσίας σε πραγματικό χρόνο, και την αθόρυβη ενεργοποίηση του μικροφώνου και της κάμερας για την καταγραφή του περιβάλλοντος χώρου.
Το Predator σχεδιάστηκε ώστε να επιβιώνει από επανεκκινήσεις και να αποκρύπτει τα ίχνη του από τα συστήματα ανίχνευσης, καθιστώντας τον εντοπισμό του αδύνατο χωρίς εξειδικευμένη εγκληματολογική ανάλυση, όπως αυτή που παρείχε το Citizen Lab του Πανεπιστημίου του Τορόντο.
Το χρονικό των αποκαλύψεων και η θεσμική διάσταση
Η υπόθεση άρχισε να ξετυλίγεται τους πρώτους μήνες του 2022, όταν ο ερευνητής δημοσιογράφος Θανάσης Κουκάκης αντιλήφθηκε ύποπτη συμπεριφορά στο smartphone του. Ο επακόλουθος τεχνικός έλεγχος επιβεβαίωσε την παρουσία του Predator. Η κατάσταση κλιμακώθηκε ραγδαία όταν αποκαλύφθηκε πως και ο πρόεδρος του ΠΑΣΟΚ-ΚΙΝΑΛ, Νίκος Ανδρουλάκης, είχε δεχθεί αντίστοιχη επίθεση, ενώ παράλληλα βρισκόταν υπό «νόμιμη επισύνδεση» από την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ).
Η επικάλυψη των στόχων του Predator με τις επίσημες κρατικές παρακολουθήσεις δημιούργησε ένα εκρηκτικό πολιτικό μείγμα, το οποίο οδήγησε στις παραιτήσεις του Διοικητή της ΕΥΠ και του Γενικού Γραμματέα του Πρωθυπουργού. Η ΑΔΑΕ επιβεβαίωσε την ύπαρξη εκτενούς δικτύου παρακολουθήσεων που περιλάμβανε υπουργούς της κυβέρνησης, κορυφαία στελέχη των ενόπλων δυνάμεων, και επιχειρηματίες. Η χθεσινή απόφαση του δικαστηρίου αφορά αποκλειστικά τα στελέχη των ιδιωτικών εταιρειών που ενεπλάκησαν στην εμπορία και διαχείριση του λογισμικού, χωρίς να αγγίζει –μέχρι στιγμής– τη σύνδεση με κρατικούς φορείς, καθώς το Ανώτατο Δικαστήριο είχε προηγουμένως απαλλάξει την ΕΥΠ από την κατηγορία της χρήσης του Predator.
Οι προεκτάσεις για την κυβερνοασφάλεια στην Ελλάδα και την Ευρώπη
Η καταδίκη του Tal Dilian και των συνεργατών του δημιουργεί ένα σημαντικό νομικό προηγούμενο, ωστόσο αναδεικνύει την ανεπάρκεια της ευρωπαϊκής νομοθεσίας απέναντι στην ανεξέλεγκτη αγορά των ψηφιακών όπλων. Η Intellexa, παρότι εντάχθηκε στη «μαύρη λίστα» των ΗΠΑ για την απειλή που συνιστά στην εθνική ασφάλεια, κατάφερε επί σειρά ετών να δραστηριοποιείται ανενόχλητη εντός της Ευρωπαϊκής Ένωσης, εκμεταλλευόμενη τα νομικά κενά μεταξύ των κρατών-μελών.
Για τον μέσο χρήστη και τις επιχειρήσεις στην Ελλάδα, η υπόθεση αυτή λειτουργεί ως μια σκληρή υπενθύμιση. Η εξάρτηση από τις κινητές συσκευές για την αποθήκευση εξαιρετικά ευαίσθητων εταιρικών και προσωπικών δεδομένων απαιτεί πλέον μια ριζική αναθεώρηση των πρωτοκόλλων ασφαλείας. Η προστασία δεν εξασφαλίζεται μόνο με την αποφυγή ύποπτων συνδέσμων, αλλά απαιτεί αυστηρές πολιτικές Mobile Device Management (MDM), συνεχή εκπαίδευση του προσωπικού και άμεση εφαρμογή των ενημερώσεων ασφαλείας (security patches) που εκδίδουν οι κατασκευαστές.
Με τη ματιά του Techgear
Η δικαστική εξέλιξη της υπόθεσης του Predator κλείνει ένα κεφάλαιο, αλλά σίγουρα δεν τερματίζει το πρόβλημα της ψηφιακής επιτήρησης. Από τεχνική σκοπιά, το γεγονός ότι εμπορικά διαθέσιμα λογισμικά επιπέδου "military-grade" μπορούν να αποκτηθούν και να αναπτυχθούν εντός της Ευρώπης χωρίς αυστηρούς μηχανισμούς ελέγχου (export controls) είναι βαθιά ανησυχητικό. Η βιομηχανία του cyber-surveillance προσαρμόζεται γρήγορα. Αύριο, το όνομα δεν θα είναι Predator ή Pegasus, αλλά κάτι νέο, με ακόμα πιο αόρατους μηχανισμούς zero-click.
Η πραγματική προστασία των πολιτών και των θεσμών δεν επιτυγχάνεται μόνο στις δικαστικές αίθουσες εκ των υστέρων. Απαιτείται μια καθολική, πανευρωπαϊκή ρυθμιστική παρέμβαση που θα εξισώνει την παραγωγή και διακίνηση τέτοιων λογισμικών με τη διακίνηση συμβατικών οπλικών συστημάτων. Μέχρι να υπάρξει ένα τέτοιο τεχνολογικό και νομικό ανάχωμα, η ιδιωτικότητα των επικοινωνιών θα παραμένει μια εξαιρετικά ευάλωτη ψευδαίσθηση, εξαρτώμενη αποκλειστικά από τις προθέσεις όσων διαθέτουν τους πόρους για να αγοράσουν τα κατάλληλα ψηφιακά κλειδιά.
