HØYRES HUS (digi.no): Medgründeren og teknologidirektøren i sikkerhetsselskapet Rosberg System holdt i dag et foredrag for fulle hus på HackCon-konferansen.
Han er en av IT-ekspertene Aftenposten brukte til å gå gjennom dataene i den mye omtalte artikkelserien avisen hadde med avsløring av falske basestasjoner eller IMSI-fangere i hovedstaden.
Rosberg talte PST midt imot da han i fjor sommer konkluderte med at såkalte IMSI-fangere «etter all sannsynlighet» var i drift i Oslo sentrum.
_logo.svg.png){kind=logo}
Nå er han ikke i tvil.
– I går skjedde det noe. Alarmen gikk på mobiltelefonen min. Jeg oppdaget en falsk basestasjon her utenfor Høyres hus klokken 12.15. I motsetning til Aftenpostens data hvor vi sa med all sannsynlighet, kan jeg med bakgrunn i mine data si at det med sikkerhet var en falsk basestasjon her, sier Odd Helge Rosberg.
Signalene var ifølge ham synlig i rundt fem minutter onsdag. I de to dagene rogalendingen har vært i byen er dette det eneste sporet.
Funnet ble gjort med en egen Android-basert mobilapplikasjon, han kaller det en test-app, som angivelig kan avdekke falske basestasjoner.
Appen er utviklet for intern bruk og selges ikke.
Samtidig brukte Rosberg rikelig med tid under foredraget til å markedsføre tilsvarende funksjonalitet som de selger kommersielt i et samarbeid med Evry.
Basert på erfaringene de gjorde med Aftenposten har Rosberg System utviklet en IMSI-fanger eller Stingray-oppdager.
– Vi har tilgang til alle aktive mobiltårn i Norge, både fra Ice, Netcom og Telenor. Her inngår blant annet en hvitelistefunksjon som oppdateres kontinuerlig, men du må også eliminere falske positive, sa Odd Helge Rosberg.
- Var i fritt salg i Norge: IMSI-fangere har vært brukt i mange år
Flere «unknown»
Et skjermbilde han delte i et lysbilde stammer fra testappens alarm. Bildet beskriver en rekke tekniske parametere den mistenkelige senderen gir fra seg. Med data IT-eksperten aldri før har kommet over.
– Cell status «unknown» betyr at appen har sjekket om det er et lovlig mobiltårn fra Telenor. Det er det ikke. ID-en er ikke listet opp. Network type er også unknown. Det skal ikke kunne skje. Her skulle det stått 4G, 3G, HSDPA, Edge eller lignende.
Etter foredraget fikk digi.no en kort prat med teknologidirektør Rosberg:
– Det virker kanskje litt beleilig at du fant en IMSI-fanger akkurat her og nå. Fortell om omstendighetene rundt funnet.
– Omstendighetene er at jeg var midt i en telefon. Da begynte alarmen å gå. Dermed fikk jeg ingen sjanse til å se på det før samtalen var ferdig. Når jeg senere sjekket, ser vi først på muligheten for at det kan være en falsk positiv, det skjer av og til ting hos operatørene. Men det var så tydelige tegn at dette ikke var normal operatør-oppførsel.
- Varslet ikke: – Politets mobilovervåking i strid med loven
– Titusener av målinger
Ifølge ham har de foretatt flere titusen målinger tidligere. Bare én gang tidligere har den indikert funn i Oslo, men det funnet var ikke på nivå med gårsdagens.
Han ønsker ikke å spekulere i hvem som eventuelt kan stå bak den falske basestasjonen han mener å ha påvist.
– Jeg må forholde meg til de dataene jeg ser. Dataene viser at det er noen som gjør noe, men hvem som står bak eller hvorfor, finnes det ingen holdepunkter i dataene til å si noe som helst om.
– Hva er den store forskjellen på gårsdagens funn og da du tok et forbehold overfor Aftenposten i fjor?
– En av tingene vi kritiserte var at Aftenpostens målinger var gjort over relativt kort tid. Det betyr at du kan ikke se om dette var en sender som kom tilbake igjen. I og med at jeg er her er målingene nå egentlig gjort over to dager. Og den senderen var tilgjengelig i bare cirka fem minutter. Så var den borte vekk. Den ble aldri sett igjen. Det andre er i forhold til hastighet, det at det står «unknown». Vi har utført titusenvis av målinger, men det er første gang jeg har sett unknown som indikator. Det er noe som senderen bestemmer.
– Det er appen din som ikke kjenner igjen noe mønster her?
– Det er korrekt. Vi har en del ganske avanserte mekanismer for å detektere senderens oppførsel.
– Vil dere gi ut disse dataene, slik at det kan være etterprøvbart av andre?
– Jeg kan gjerne samarbeide med instanser som vil etterprøve dette, men å gi det ut offentlig vet jeg ikke om vi vil.
- Justisministeren i fjor: – Vi må erkjenne at vi kan bli overvåket
Vanskelig å avdekke
Dekningsdirektør Bjørn Amundsen sier det er umulig å kommentere Rosbergs påståtte funn.
– Telenor leier frekvensene av Nasjonal kommunikasjonsmyndighet (Nkom). Det er de som har ansvar for hva slags kommunikasjon som går i nettet. Det kan også være en lovlig sak, noe politiet gjør, uten at jeg kjenner til det. Det er ikke gitt at vi kan se en falsk basestasjon uten videre, sier Amundsen.
Før han sender ballen videre til Nkom peker Telenors dekningsdirektør på et annet, helt konkret problem for mobiloperatørene. Nemlig støy og forstyrrelser fra ulovlig oppsatte repeatere.
– Det er grunn til å tro at det finnet et høyt antall ulovlige repeatere i nettet vårt. De lager støy tilbake til basestasjonene våre. Nkom bøtelegger de som setter opp dette. Det er også veldig vanskelig å avdekke. Falske basestasjoner er litt av det samme. Det er umulig å si om en forstyrrelse skyldes A eller B, sier dekningsdirektør Amundsen i Telenor.
Nkom vurderer måleutstyr
John-Eivind Velure er frekvensdirektør i Nkom. Heller ikke han kan si noe konkret om funnet til Rosberg.
– Har det noen gang vært påvist falske basestasjoner i Norge, slik Nkom ser det?
– Her viser jeg til etterforskningen i fjor. Etter hvert blir også vi i stand til å gjøre våre egne undersøkelser. Men her må Nkom følge det offentlige regelverket for anskaffelser, så dette tar noe tid. Vi er nå på det stadiet at vi vurderer leverandører av profesjonelt utstyr, som kan fange opp for eksempel IMSI-fangere, sier Velure.
Han bekrefter derimot at ulovlige repeatere er en gjenganger de møter ofte. Da går myndigheten inn og bøtelegger for ulovlig frekvensbruk. Det har ifølge ham skjedd mange titalls ganger de siste årene.
Samtidig virker det lite trolig at dataene Rosberg fanget opp kan stamme fra en ulovlig repeater. Det er bare en dum boks som forsterker eksisterende signaler i mobilnettet.
