BezpieczeństwoInwigilacjaOpiniePhishingSłużby specjalneSocjotechnika

Pegasus. Kilka refleksji na temat oprogramowania inwigilującego

W ostatnim czasie dużo mówi się na temat oprogramowania Pegasus, które rozwijane jest przez firmę NSO Group Technologies z Izraela. Wbrew temu, przed czym ostrzega wielu ekspertów i polityków, system ten nie służy do masowej, totalnej inwigilacji obywateli. Ma on na celu ukierunkowaną inwigilację konkretnych osób będących obiektem zainteresowania służb specjalnych – tzw. figurantów. Z pozoru błahy temat ma bardzo ciekawe tło i zmusza do głębszych refleksji.

 

Czy na pewno oprogramowanie szpiegujące?

W 2015 roku miał miejsce wyciek danych z włoskiej firmy o niebagatelnej i znaczącej nazwie – Hacking Team. Wśród ujawnionych materiałów znalazły się takie, które świadczyły o tym, że w latach 2012 do 2015 klientem Hacking Team było m.in. Centralne Biuro Antykorupcyjne (CBA). Najważniejszym produktem oferowanym przez firmę był system RCS. W 2015 roku CBA miała posiadać licencję pozwalającą na śledzenie do 10 celów za pomocą tego narzędzia – trudno więc tutaj mówić o masowej, totalnej inwigilacji.

RCS było – zgodnie z powszechnie przyjętą nomenklaturą – oprogramowaniem szpiegującym (ang. spyware), które umożliwiało zdalną instalację, przejęcie kontroli nad wybranym urządzeniem (np. komputerem lub smartfonem), a następnie utrwalanie wszystkich czynności użytkownika (czyli figuranta, obserwowanego przez funkcjonariuszy). System ten pozwalał zbierać informacje na temat odwiedzanych przez figuranta stron WWW, czytać pocztę elektroniczną, słuchać rozmów, czy przechwytywać wpisywane hasła.

Tutaj powstaje pewien problem terminologiczny – czy tego typu narzędzia powinniśmy nazywać „oprogramowaniem szpiegującym”, jeżeli są wykorzystywane przez służby specjalne do inwigilacji figurantów? Czy bardziej właściwym nie jest określenie np. „oprogramowanie inwigilujące”? Zgodnie z definicjami przedstawionymi w internetowym Słowniku Języka Polskiego:

  • „inwigilacja” to „systematyczna, dyskretna obserwacja osoby lub grupy osób przez np.: policję; tajny nadzór”; [1]
  • „szpiegowanie” to „przekazywanie organom władzy obcego państwa wiadomości stanowiących tajemnicę państwową lub wojskową” lub – potocznie – „śledzenie kogoś i donoszenie na niego; szpiclowane”. [2]

Widzimy, że już w sferze semantyki powstaje poważne zamieszanie, co nie sprzyja zrozumieniu istoty rzeczy. W przypadku inwigilacji, a do tego celu służby specjalne pozyskują tego typu oprogramowanie, nie ma mowy o szpiegowaniu. Oczywiście ujawnia się tutaj ryzyko, że oprogramowanie inwigilujące będzie używane do aktywności szpiegowskiej. Co wtedy? Nie znajdziemy tutaj rozwiązania tej kwestii, wystarczy ją jednak zasygnalizować.

 

Ile powinniśmy wiedzieć?

Oprócz Polski, klientami Hacking Team były takie kraje, jak Nigeria, Azerbejdżan, Kazachstan, Meksyk, ale także Hiszpania i USA. Ówczesne zakupy miały kosztować podatników ok. 250 000 EUR. Pisała na ten temat m.in. Zaufana Trzecia Strona [3] oraz Niebezpiecznik [4].

Drogo? Weźmy pod uwagę fakt, że tego typu narzędzia cybernetyczne muszą obecnie znajdować się w arsenale służb specjalnych, aby te mogły efektywnie realizować czynności operacyjno-rozpoznawcze, stanowiące podstawową metodę rozpoznania, wykrywania i zapobiegania przestępczości. Pytanie, na ile rynek oprogramowania do inwigilacji jest konkurencyjny raczej pozostaje na dziś bez odpowiedzi, chociaż w teorii rywalizacja sprzyjałaby tutaj nie tylko podniesieniu jakości produktów, ale także obniżeniu ich cen.

Służby oczekują, że oprogramowanie używane do śledzenia będzie mogło być zainstalowane i używane w sposób niewidoczny (lub trudny do wykrycia) dla figuranta. Zmusza to producentów do ponoszenia wysokich kosztów wytworzenia oprogramowania, które potrafi wykorzystać najnowsze podatności systemów operacyjnych i popularnych aplikacji, stosuje zaawansowane ataki socjotechniczne itp.; wymaga wielu godzin testów, dostępu do najróżniejszych wersji urządzeń, w których posiadaniu mogą być figuranci, czy wreszcie szybkiej reakcji na ujawnione błędy w już używanym oprogramowaniu. Do tego dochodzi konieczność zapewnienia wysokiego poziomu bezpieczeństwa pozyskiwanych i przekazywanych informacji.

Taki produkt tani być nie może, a w końcu służby specjalne muszą pozyskać go z pieniędzy publicznych, a więc naszych, wspólnych pieniędzy wszystkich obywateli. Pojawiają się więc kwestie związane z celowością wydatkowania pieniędzy publicznych i dostępem do informacji publicznej na temat takich zakupów.

 

Jak to było z Pegasusem?

Pegasus został wykryty w 2016 roku dzięki Ahmedowi Mansoorowi, aktywiście walczącemu o prawa człowieka w Zjednoczonych Emiratach Arabskich. Kontrolę nad jego iPhonem starano się przejąć z użyciem ataku socjotechnicznego, tzw. phishingu ukierunkowanego (ang. spear phishing). W otrzymanych przez niego wiadomościach SMS znajdowały się podejrzane odnośniki, co sprawiło, że przesłał on te wiadomości do analizy. W ten sposób trafiły one do Citizen Lab, a następnie do firmy Lookout. Tak świat poznał Pegasusa, który wkrótce, bo już w 2017 roku, został wykryty na urządzeniach z systemem Android, o czym także poinformowali eksperci z firmy Lookout. Dokładnie opisano to w artykule pt. „Pegasus: program szpiegujący dla platformy iOS i Android”, który opublikowano w serwisie Kaspersky Daily. [5]

 

Źródło: https://pixabay.com/pl/photos/kod-haker-danych-bezpiecze%C5%84stwa-707069/

 

Można by tutaj rozwodzić się na temat możliwości infekowania urządzeń figurantów, stosowanych zabiegów socjotechnicznych i technicznych, wykorzystujących istniejące podatności systemów operacyjnych lub popularnych aplikacji, ale nie w tym rzecz. W naturalny sposób ten obszar będzie ulegał ciągłej ewolucji. Istota sprawy leży w zupełnie innym miejscu, ale o tym za moment. Wróćmy do historii Pegasusa.

Na początku czerwca 2018 roku podobne wiadomości do tych, które otrzymał wcześniej Ahmed Mansoor, trafiły na urządzenie mobilne aktywisty z pozarządowej organizacji Amnesty International. Tym razem nie był to SMS, ale wiadomość dostarczona za pośrednictwem komunikatora WhatsApp, która zawierała złośliwy odnośnik. Zdaniem Amnesty International odnośnik prowadził do infrastruktury serwerowej związanej z firmą NSO Group Technologies. Numer nadawcy wiadomości należał do komercyjnego dostawcy, w którego ofercie znajdował się m.in. system zarządzania wirtualnymi numerami telefonów. W typowym zastosowaniu rozwiązanie to umożliwia klientom automatyczne wysyłanie masowych wiadomości SMS i zwykle używane jest np. w kampaniach promocyjnych. Amnesty International zauważa, że usługa tego typu może być w podobny sposób używana przez służby specjalne, ale w celu automatyzacji procesu wysyłania wiadomości SMS lub WhatsApp i dostarczania złośliwego oprogramowania na urządzenia figurantów. Dokładny opis tego procesu odnajdziemy na stronie Amnesty International. [6]

 

Przykładowe metody instalacji

Warto zauważyć, że na przywołanej wcześniej stronie Amnesty International, na której opisano działanie Pegasusa (na rok 2018), odnajdziemy odnośnik do pliku pt. „Pegasus – Product Description”. Jest to syntetyczny i zrozumiały opis wysokopoziomowej architektury, metod używanych do propagacji oprogramowania i jego instalacji na urządzeniach figurantów, a wreszcie omówienie funkcjonalności i infrastruktury stojącej za Pegasusem. Ciekawym wątkiem jest to, że plik ten został ujawniony po wycieku danych z firmy Hacking Team, o którym wspomnieliśmy na samym początku – a więc już w 2015 roku. Czy to możliwe, że Pegasus jest z nami dłużej niż nam się wydaje? Oczywiście, że tak. Właściwe pytanie brzmi, od jak długiego czasu oprogramowanie takiego typu jest wykorzystywane przez służby specjalne na całym świecie? Przy czym konkretna odpowiedź nie jest szczególnie istotna. Dla uproszczenia przyjmijmy więc, że oprogramowanie inwigilujące (i wszelkie nowinki techniczne) znajdowało się w zainteresowaniu służb specjalnych od zawsze.

Dokument „Pegasus – Prodcut Description” z 2015 roku wymienia następujące metody dostarczenia i instalacji oprogramowania inwigilującego:

  • Zdalna instalacja (wymaga znajomości numeru abonenta, adresu email itp.):
    • Over-the-Air (OTA) – za pomocą wiadomości typu Push, które mają być wysyłane zdalnie i potajemnie na urządzenie figuranta. Komunikat ma powodować pobranie i instalację tzw. „ukrytego agenta” na urządzeniu. Co ważne, cały proces nie wymaga interakcji z figurantem (np. kliknięcia odnośnika, otwarcia wiadomości itp.), a na ekranie urządzenia nie pojawia się żadna wskazówka, sugerująca, że wykonywana jest operacja pobierania i instalacji oprogramowania. Wszystko odbywa się w sposób niewidoczny dla użytkownika urządzenia i – jak opisano to w dokumencie – nie można temu zapobiec. To ma być wyznacznik wyjątkowości rozwiązania Pegasus.
    • Ulepszony komunikat socjotechniczny (ang. Enhanced Social Engineering Message, ESEM) – w przypadkach, w których instalacja metodą OTA nie ma zastosowania, możliwe jest wysłanie zwykłej wiadomości tekstowej (SMS) lub e-mail (i pewnie przez komunikator, np. WhatsApp – przyp. wł.), która ma nakłonić cel do zapoznania się treścią i kliknięcia w odnośnik, co spowoduje instalację oprogramowania „ukrytego agenta”. Instalacja jest całkowicie niewidoczna dla figuranta. Szanse, że cel kliknie odnośnik są całkowicie zależne od poziomu wiarygodności treści. Warto zauważyć, że operatorzy systemu nie są pozostawieni samym sobie, ponieważ Pegasus ma dostarczać szeroką gamę narzędzi służących do odpowiedniego komponowania pozornie niewinnych i skutecznych wiadomości.
  • Instalacja w bliskim dystansie (kiedy nie jest znany numer abonenta, adres email itp.):
    • Za pomocą podstawionej stacji bazowej (ang. Base Transceiver Station, BTS), instalowanej w pobliżu celu, dzięki której można pozyskać numer abonenta przypisany do urządzenia figuranta i dostarczyć na nie oprogramowanie „ukrytego agenta”.
    • Poprzez fizyczny dostęp do urządzenia figuranta i ręczną instalację oprogramowania „ukrytego agenta”. Zgodnie z dokumentem cały proces ma trwać do pięciu minut.

Bez względu na wybór metody, następujący po instalacji proces ekstrakcji i monitorowania danych na urządzeniu figuranta odbywa się zdalnie, a zestaw dostępnych funkcjonalności jest dokładnie taki sam.

Na stronie Amnesty International znajdziemy także informację, że w przypadku nieudanej instalacji zdalnej (np. na niewspieranym urządzeniu), która wymagała otwarcia okna przeglądarki, Pegasus maskował ten fakt, wyświetlając oryginalną, wiarygodną stronę internetową. Działanie to miało uśpić czujność figuranta.

Oprogramowanie inwigilujące ma być pobierane z serwerów producenta przy użyciu pośrednich, anonimzujących węzłów sieciowych. Cała komunikacja między urządzeniem figuranta i infrastrukturą serwerową wspierającą działanie „ukrytego agenta” ma być szyfrowana. Amnesty International zakłada także, że odnośniki dystrybuowane do celów mogą być konfigurowane tak, aby były automatycznie dezaktywowane po określonym czasie, na przykład po 24 godzinach.

Więcej informacji na temat tego, co już udało się ustalić na temat Pegasusa można odnaleźć na przywołanych wcześniej stronach. Powyższy, krótki opis możliwości instalacji tego oprogramowania ma na celu dać tylko ogólne wyobrażenie, w jaki sposób działa Pegasus.

 

W poszukiwaniu właściwej perspektywy

Amnesty International zwraca uwagę, że inwigilacja obywateli nie może być prowadzona w sposób stojący w opozycji do przyjętych na szczeblu międzynarodowym regulacji dotyczących praw człowieka. I tutaj po raz pierwszy ujawnia się obszar, w którym powinny toczyć się dyskusje – nie wyłącznie o samym oprogramowaniu Pegasus i jego technicznych możliwościach – ale w znacznie szerszej perspektywie: prawnej, etycznej oraz dotyczącej ryzyka.

Eksperci związani z sektorem bezpieczeństwa w Polsce zwracają uwagę na szereg kwestii, które wymagają głębszej refleksji i podjęcia odpowiednich działań na gruncie legislacyjnym. Oprogramowanie służące do inwigilacji może być używane przez służby specjalne wyłącznie do realizacji czynności operacyjno-rozpoznawczych. Problem w tym, że nie istnieje jednoznaczna, prawna definicja czynności operacyjno-rozpoznawczych. W związku z tym są one definiowane np. jako działania operacyjne, praca operacyjna, czynności operacyjne itp. [7] Powstaje więc pole do nadużyć wynikające z niezrozumienia istoty czynności operacyjno-rozpoznawczych.

Co więcej, przepisy dotyczące kwestii kontroli operacyjnej w zdecydowanej większości powstały w czasach, w których nie było jeszcze telefonii komórkowej, ani powszechnie dostępnego, szerokopasmowego Internetu. Zdaniem wielu komentatorów nawet ustawa z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych [8] w niewielkim stopniu zmieniła ten stan rzeczy. Istnieje więc problem, w jaki sposób określić zakres i ramy czasowe kontroli operacyjnej we wniosku do sądu, gdyż szerokie możliwości systemu Pegasus dają służbom specjalnym możliwość sięgania do np. całej historii korespondencji, połączeń, galerii zdjęć czy nawet podsłuchiwania otoczenia urządzenia. Należy ufać w uczciwość funkcjonariuszy, ale trzeba zabezpieczyć się prawnie na wypadek wszelkich nadużyć, np. związanych z przekroczeniem uprawnień. [9] Skoro więc zakres funkcjonalności oferowanych przez oprogramowanie inwigilujące tego typu nie mieści się w obowiązujących ramach prawnych, to muszą powstać odpowiednie regulacje, w tym określające zasady wykorzystania takich narzędzi i stwarzające warunki kontroli ich użycia oraz stosowne procedury prawne.

Centralne Biuro Antykorupcyjne (CBA) na mocy polskiego ustawodawstwa jest służbą specjalną (patrz art. 1 ust. 1 ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym [10]). W powszechnym rozumieniu oznacza to, że CBA prowadząc czynności operacyjno-rozpoznawcze musi mieć możliwości wykorzystania oprogramowania inwigilującego. Mimo tego, część ekspertów i komentatorów podnosi kwestię dookreślenia definicji „służb specjalnych”, czyli tego, które ze służb powinny być w ten sposób określane, co z kolei miałoby przełożyć się na zakres ich uprawnień. Ich zdaniem CBA – pomimo przywołanej ustawy powołującej do życia tę służbę specjalną – jest wyspecjalizowaną służbą policyjną, której charakter i zakres działania wykracza poza sugerowaną definicję służb specjalnych (tutaj często przywoływane są pozostałe służby specjalne odpowiadające za bezpieczeństwo wewnętrzne państwa: Agencja Bezpieczeństwa Wewnętrznego, ABW i Służba Kontrwywiadu Wojskowego, SKW).

Trzeba przyznać, że z punktu widzenia obywatela sprawy zaczynają mocno się komplikować, skoro już w tak elementarnym obszarze, jak kwestie definicji i zakresu odpowiedzialności służb policyjnych i specjalnych, nie ma pełnej zgody. Powstaje więc pytanie, które służby i na jakich zasadach należy wyposażyć w możliwość wykorzystania oprogramowania inwigilującego?

Bartosz Orlicz-Rabiega w artykule-komentarzu pt. „Po co CBA Pegasus?” opublikowanym w branżowym serwisie InfoSecurity24 stwierdza nawet: [9]

Tego rodzaju systemy do operacyjnej penetracji cyberprzestrzeni powstają z myślą i są wykorzystywane przez służby wywiadowcze. Wywiad, który po pierwsze zbiera za granicą informacje o strategicznym znaczeniu politycznym i gospodarczym, a z drugiej strony stanowi pierwszą linię obrony dla państwa (terroryzm), musi w obecnych warunkach poza osobowymi źródłami informacji, korzystać z najnowocześniejszych osiągnięć technicznych.

Kwestie prawne? Oficer wywiadu prowadzący działania operacyjna [pisownia oryginalna] na terytorium przeciwnika zawsze działa poza prawem. Nie występuje przecież do miejscowego prokuratora czy sędziego o zgodę na włamanie do czyjegoś pokoju hotelowego i skopiowanie zawartości twardego dysku jego laptopa […]

Środki i metody pracy wywiadu różnią się jednak od innych i niewybaczalnym błędem jest przenoszenie ich na teren własnego państwa (poza wszystkim jest niezgodny z naszym prawem – [pisownia oryginalna]).

 

Źródło: https://pixabay.com/pl/photos/sieci-serwer-systemu-infrastruktura-2402637/

 

Powstają też trochę niedopowiedziane w debacie ekspertów kwestie związane np. z praniem pieniędzy i finansowaniem terroryzmu (patrz ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu [11]) oraz bezdyskusyjnego związku tego procederu z korupcją. Tego typu działalność ma charakter transgraniczny i może być ściśle powiązana z podmiotami gospodarczymi funkcjonującymi na terenie naszego kraju. Jednocześnie w naturalny sposób przestępcy i terroryści są obecni w cyberprzestrzeni. Pytanie, która ze służb powinna zająć się tym zagrożeniem? Zarówno CBA jak i ABW mają m.in. zwalczać działalność godzącą w interesy ekonomiczne (CBA) lub w podstawy ekonomiczne państwa (ABW), co określają właściwe tym służbom specjalnym akty prawne, odpowiednio: ustawa z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym [10] i ustawa z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu. [12] Korupcja, pranie pieniędzy i terroryzm to bez wątpienia istotne zagrożenia dla bezpieczeństwa wewnętrznego państwa i to nie tylko w wymiarze ekonomicznym.

Część ekspertów zwraca także uwagę na reformę Kodeksu Postępowania Karnego, która dopuszcza wykorzystanie tzw. „owoców zatrutego drzewa”. W ogólności są to niedozwolone przez prawo czynności podejmowane przez organy ścigania, celem zdobycia dowodów pozwalających na wszczęcie postępowania karnego. Oprogramowanie inwigilujące – bez odpowiednich regulacji prawnych – niesie tutaj ogromny potencjał do nadużyć.

W wypowiedziach komentatorów pojawia się także wątek upolityczniania służb specjalnych. Trzeba jednak przyznać, że taka pokusa może pojawić się w każdym państwie, ryzyko znane jest od zawsze i obecne bez względu na ustrój. Zapobieganie upolitycznieniu służb specjalnych możliwe jest wyłącznie przy istnieniu systemowych i kompletnych regulacji prawnych dotyczących służb specjalnych, policyjnych i wywiadowczych. Z tego względu tworzenie regulacji definiujących zakres, możliwości i zasady wykorzystania przez służby specjalne narzędzi cybernetycznych do realizacji nałożonych na nie ustawowo, ale niedookreślonych znaczeniowo czynności operacyjno-rozpoznawczych, to stanowczo za mało.

Głębszej refleksji wymaga pytanie, czy dysponentem uzyskanych przez oprogramowanie inwigilujące informacji pozostanie wyłącznie polska służba specjalna i instytucje państwowe? Technologie mobilne, w tym tego typu oprogramowanie, korzystają z własnego zaplecza, o którym już wspominaliśmy wcześniej (np. zanonimizowana infrastruktura serwerowa), w tym często z usług chmurowych. Zakładając nawet najwyższy poziom zabezpieczeń i szyfrowania transmitowanych danych (ang. data in transit), danych w stanie spoczynku (ang. data at rest) i danych w użyciu (ang. data in use), nie można stwierdzić jednoznacznie, że nie istnieje ryzyko ich wycieku. Konsekwencje takiego zdarzenia mogłyby być katastrofalne w skutkach i znacznie wykraczać poza utratę wizerunku państwa, jego instytucji i służb na arenie międzynarodowej. Zagrożenie związane z „cichym” gromadzeniem tego typu informacji przez służby wywiadowcze obcych państw wystarczy jedynie zasygnalizować.

Ponadto, czy służby specjalne powinny ujawniać metody i narzędzia, jakimi realizują czynności operacyjno-rozpoznawcze? Czy tego typu informacje, przekazywane opinii publicznej, nie wzmacniają świadomości przestępców, co do tego, w jaki sposób skutecznie mylić trop i zacierać ślady swojej działalności?

 

Podsumowanie

Ostatecznie powstaje pytanie natury etycznej: na ile jesteśmy w stanie zrezygnować z własnej prywatności w zamian za obietnicę bezpieczeństwa? Jeszcze raz podkreślmy, że oprogramowanie inwigilujące przeznaczone dla służb specjalnych nie ma na celu masowej inwigilacji. Trzeba jednak liczyć się z faktem, że każdy obywatel może znaleźć się w polu zainteresowania służb specjalnych realizujących swoje ustawowe obowiązki (i to niekoniecznie przekraczających uprawnienia, przed czym przestrzega nas część ekspertów). Zasygnalizowane wcześniej ryzyka, w tym ryzyko wycieku danych osobowych, włączając szczególne kategorie danych osobowych, mogą więc dotyczyć każdego z nas.

Pozostaje mieć nadzieję, że szerokie komentarze i dyskusje wokół narzędzi służących do inwigilacji figurantów, doprowadzą do powstania doskonalszych regulacji prawnych. W przeciwnym wypadku pozornie najprostsze rozwiązanie, polegające na rozluźnieniu reżimu prawnego na rzecz skuteczniejszego zwalczania przestępczości, może doprowadzić do poważnego kryzysu i wcale nie przełoży się na wzrost poczucia bezpieczeństwa w społeczeństwie.

 

 

Źródła:
[1] „Inwigilacja”, https://sjp.pl/inwigilacja, stan z dn. 15 września 2019.
[2] „Szpiegowanie”, https://sjp.pl/szpiegowanie, stan z dn. 15 września 2019.
[3] „CBA wydało 250 000 EURO na konie trojańskie od Hacking Team”, https://zaufanatrzeciastrona.pl/post/cba-wydalo-200-000-euro-na-konie-trojanskie-od-hacking-team/, stan z dn. 15 września 2019.
[4] „CBA wydało 250 000 EUR na oprogramowanie szpiegowskie do inwigilacji smartphonów”, https://niebezpiecznik.pl/post/hacking-team-hacked/, stan z dn. 15 września 2019.
[5] J. Snow, „Pegasus: program szpiegujący dla platformy iOS i Android”, https://plblog.kaspersky.com/pegasus-spyware/6551/, stan z dn. 15 września 2019.
[6] „Amnesty International Among Targets of NSO-powered Campaign”, https://www.amnesty.org/en/latest/research/2018/08/amnesty-international-among-targets-of-nso-powered-campaign/, stan z dn. 15 września 2019.
[7] K. Horosiewicz, „Wybrane elementy taktyki werbowania i współpracy z osobowymi źródłami informacji”, Szczytno 2019, s. 57.
[8] Ustawa z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych, Dz.U. 2016 poz. 904, http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20160000904, stan z dn. 16 września 2019.
[9] B. Orlicz-Rabiega, „Po co CBA Pegasus? [KOMENATRZ]”, https://www.infosecurity24.pl/po-co-cba-pegasus-komenatrz, stan z dn. 15 września 2019.
[10] Ustawa z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym, Dz. U. 2006 Nr 104 poz. 708, http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20061040708, stan z dn. 15 września 2019.
[11] Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, Dz.U. 2018 poz. 723, http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180000723, stan z dn. 15 września 2019.
[12] Ustawa z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, Dz.U. 2002 nr 74 poz. 676, http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20020740676, stan z dn. 15 września 2019.