Norsk mobilaflytning: Sådan kan det foregå - også i Danmark

Illustration: Virrage Images/Bigstock
Kendskab til mobiltelefonens IMSI-nummer gør det ikke i sig selv muligt at lytte med på linjen, men nummeret kan bidrage til at finde frem til målet for den egentlige aflytning, der med lidt snilde kan ske alle steder.

IMSI-catcher. Ordet er blevet aktuelt i forbindelse med sagen fra Oslo, hvor avisen Aftenbladet har lavet en kortlægning, der angiveligt dokumenterer flere falske basestationer i form af IMSI-catchere rundt om i den norske hovedstad med henblik på overvågning. Men hvordan vil sådan en overvågning i praksis kunne foregå?

Version2 har talt med direktør i Netplan og teleekspert Torben Rune om, hvordan uvedkommende kunne lytte med på linjen uden at have særlig adgang til teleoperatørernes bagvedliggende systemer.

Trods navnet IMSI-catcher er der ikke meget fidus i bare at opfange IMSI-nummeret, hvis målet er aflytning af en mobilsamtale, påpeger Torben Rune.

»I min verden kan jeg ikke se, at nummeret i sig selv er særlig brugbart.«

IMSI står for International Mobile Subscriber Identity og er et nummer, der ofte optræder på simkortet og identificerer abonnenten over for operatørnetværket. Ved at opfange IMSI-nummeret vil det således være muligt at registrere de mobiltelefoner, og dermed typisk også personer, der befinder sig i et givet område, hvilket muligvis også kan være interessant i sig selv. Men for at decideret aflytning af mobilsamtaler i området skal kunne finde sted, er det nødvendigt at få telefonerne til at koble op til en falsk basestation uden kryptering, forklarer Torben Rune.

Femtocelle kan bruges

En basestation er betegnelsen for den slags udstyr, der sammen med antenner befinder sig ved mobilmaster, og som gør det muligt for mobilnetværket at afkode og opfange data fra LTE/4G-, 3G- og 2G-forbindelser. Torben Rune fortæller, at en falsk basestation i princippet kan være en modificeret femtocelle. Altså mobiludstyr af den type, der eksempelvis kan bruges til at sikre indendørsdækning i velisolerede bygninger, hvor mobilsignalerne ellers kan have svært ved at trænge ind.

»En mobiltelefon vælger basalt set basestation ud fra det kraftigste signal i området. Udfordringen, hvis man vil aflytte, er at forhindre telefonen i at koble op til en ægte basestation,« siger Torben Rune.

Den udfordring kan løses ved at placere den falske basestation et sted, hvor signalet fra ægte basestationer er svagt. Hvis personen, man ønsker at aflytte, eksempelvis befinder sig i en velisoleret kontorbygning, så kunne den falske basestation placeres i bygningen overfor, og så ville offerets mobil formentlig kunne lokkes til at koble op til den forkerte basestation, forklarer Torben Rune.

Og i den forbindelse vil det være let at finde et ledigt frekvensområde, som den falske basestation kan anvende, fortæller han. For at undgå radioforstyrrelser er basestationer sat op, så de ikke anvender helt de samme frekvenser, som basestationerne i naboområdet. Så hvis en falsk basestation bliver sat op i et område med de frekvenser, der blive anvendt i et tilstødende dækningsområde, vil der ikke umiddelbart opstå forstyrrelser i forhold til basestationen i det aktuelle dækningsområde.

»Hvis man har en kort rækkevidde med en retningsbestemt antenne, vil man snildt kunne bruge nabocellens frekvens. Det vil ikke skabe forstyrrelser,« siger Torben Rune.

Den rigtige telefon

En ting er at opstille en falsk basestation, som mobiltelefoner uforvarende kobler sig på. Noget andet er at få fat i de rigtige mobiltelefoner i et måske travlt forretningsområde i en europæisk hovedstad som Oslo. Torben Rune fortæller, at den falske basestation måske kun vil kunne håndtere otte samtidige opkoblinger. Og at det derfor langtfra vil være sikkert, at lige den telefon, man ønsker at aflytte, vil være koblet på, selvom den er inden for rækkevidde. Men her kunne kendskab til IMSI-nummeret principielt være en løsning.

Torben Rune fortæller, at hvis man kender numrene på den eller de personer, man vil aflytte i et givet område, er det teknisk muligt at føje dem til en whitelist ved den falske basestation, som så kun ville tillade opkald fra numrene på listen. Og dermed også kun opkald fra de personer, som nogen måtte have interesse i at aflytte. Torben Rune understreger, at han ikke ved konkret, hvorvidt en sådan metode bliver brugt i praksis, men teknisk vil det altså kunne lade sig gøre.

Det er dog ikke i sig selv nok at få offerets mobiltelefon til at koble til den falske basestation. Opkoblingen skal ske via GSM, altså 2G. I standarden er det nemlig kun mobiltelefonen, der skal identificere sig over for netværket og ikke den anden vej rundt. Basestationen skal altså ikke godkendes af mobiltelefonen. Derudover er det muligt på en 2G-forbindelse helt at slå kryptering fra.

Ingen kryptering

Torben Rune fortæller, at historisk set understøtter GSM-standarden forbindelser helt uden kryptering, fordi det visse steder i verden slet ikke er lovligt at bruge kryptering. Og også nye mobiltelefoner understøtter 2G, der eksempelvis bliver anvendt til taleopkald - også i Danmark. Derfor er det muligt at sætte en basestation op, så den fortæller mobiltelefoner, der kobler op til den, at telefonerne ikke skal bruge kryptering. Og når der ikke bliver brugt kryptering, er det muligt at lytte med på opkaldet.

Men udfordringerne i en aflytningssituation stopper dog ikke her. Opkaldet til den falske basestation skal sendes videre ind i den rigtige operatørs netværk, før det giver mening at tale om aflytning af opkaldet. Det kan klares via en gateway til IP-telefoni eller andet og er ikke i sig selv videre vanskeligt. Men hvis der ikke konsekvent skal stå hemmeligt nummer eller andet usædvanligt i displayet hos modtageren af opkaldet, så skal der være en aftale på plads.

»Hvis man har et meget avanceret setup, så kan man have en aftale med en operatør, som lader telefonnummeret fra opkaldet gå med videre gennem gatewayen,« siger Torben Rune.

En sådan aftale behøver man dog ikke at være efterretningstjeneste for at få. Private virksomheder, eksempelvis inden for IP-telefoni, kan sagtens have den slags aftaler med teleoperatørerne, så telefonnumre netop bliver sendt med videre i nettet, når opkaldet sker via de private virksomheders løsninger.

Næppe handover

Nu er offerets telefon altså koblet til den falske basestation via en ukrypteret GSM-forbindelse, som bliver sendt - sammen med ofrets telefonnummer - ind i de ægte operatørnetværk og en egentlig aflytning kan finde sted. Dog med måde. Torben Rune tvivler nemlig på, at det vil være muligt at foretage handover mellem den falske basestation og de ægte. Det vil sige situationen, hvor en person bevæger sig fysisk mellem flere master. I sådanne tilfælde vil opkaldet blive mistet. Det vil dog næppe give anledning til løftede øjenbryn, vurderer Torben Rune.

»Jeg har ofte selv oplevet, at opkald falder ud, uden jeg af den grund har haft mistanke om, at jeg bliver aflyttet.«

I kølvandet på aflytningssagen fra nabolandet Norge er der et helt naturligt spørgsmål, der melder sig. Vil mobilovervågning og aflytning kunne finde sted i København?

»Det vil kunne finde sted alle steder, spørgsmålet er, om det gør det,« siger Torben Rune.

Det kunne dog godt finde sted i København, uden at nogen ville opdage det, vurderer han. For at den slags udstyr skulle findes, ville det kræve, at nogen scannede aktivt efter det.

»Og man skal scanne meget efter det. Det er jo ikke sikkert, udstyret er tændt hele tiden. Og hvis det er i et begrænset område, med retningsbestemte antenner i 4. sals højde rettet mod et bestemt mål, så er det vanvittig svært at finde frem til.«

Endelig er der spørgsmålet om prisen på den slags aflytningsudstyr. Her har alt fra tusindvis af norske kroner for en IMSI-catcher til flere millioner været nævnt i forhold til den konkrete sag fra Oslo. Torben Rune mener, at det i sidste ende handler om knowhow:

»Hvis du virkeligt var inde i det område, så vil man nærmest kunne ombygge en almindelig mobiltelefon til at kunne det her.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Ritsholm

I pkt 29 i anti-terrorpakke 2 foreslog man, at telefonskanning blev et lovligt redskab for politiet:

”29. Arbejdsgruppen anbefaler, at der skabes den fornødne hjemmel i retsplejeloven til, at politiet i ganske særlige situationer må foretage scanning af indholdet af telefonsamtaler eller anden tilsvarende kommunikation inden for et nærmere angivet område.”

Der er således også tale om aflytning i dette forslag, der dog krævede teleselskabernes medvirken.

Man kan læse sagen og dens udfald i strafferetsplejeudvalgets rapport fra september 2006.

  • 3
  • 0
Jacob Havskov Lauritsen

Selv hvis en ukrypteret forbindelse ikke er understøttet er det snildt muligt at bryde en A5/1 kryptering.

Det åbner også op for passiv tracking, der ikke kan detectes. Hvis IMSI nummeret på et "offer" kendes, skal man bare intercepte handshaket med det ægte celle-tårn, hvorfra man kan udlede TMSI (en afledt midlertidig identitet), og så fange alt trafik til/fra det TMSI, hvorefter det kan dekrypteres.

Med moderne SDR kan det endda lade sig gøre at lytte på hele GSM båndet på samme tid, så alt trafik kan logges, og efterfølgende kan man pille de data ud man gerne vil dekryptere.

GSM er ødelagt, set fra et sikkerhedsmæssigt synspunkt, og SMS og teleopkald svarer effektivt til at sende et postkort (og har gjort det i mange år).

  • 3
  • 1
Mogens Ritsholm

I ovennævnte rapport skriver PET følgende om en falsk basisstation, der ikke kræver medvirken fra teleselskaber:

"Det er i dag ikke teknisk muligt ved brug af ovennævnte udstyr at aflytte (og optage) mere end én telefonsamtale ad gangen. Udvælgelsen af den eller de samtaler, som aflyttes, må derfor ske på grundlag af de oplysninger, som i øvrigt foreligger i sagen. Foreligger der ingen relevante oplysninger i sagen, må samtalerne aflyttes én efter én. Den teknologiske udvikling vil givetvis medføre, at det inden for kortere tid vil blive muligt at aflytte flere samtaler på samme tid simultanaflytning)."

Det var i 2006 og jeg ved ikke, om det er rigtigt. Men påstanden dengang var altså, at man kunne aflytte 1 samtale i sand tid.

Det er sandelig betryggende, at de myndigheder (FE), der målrettet søger at bryde sikkerheden nu også er ansvarlige for tilsyn med teleselskabernes sikkerhed.

Det er næsten en rigtig molbohistorie.

  • 5
  • 0
Rune Larsen

Man kan bygge sig en IMSI catcher for ca. 10.000 kr og lytte med på alle telefonsamtaler i nærheden. Man kan også bare købe en håndbåren enhed til samme formål: www.septier.com/368.html
Efter sigende er de meget brugt af såvel politi som krimielle.

Artiklen glemmer at fortælle, at den normale, "stærke" GSM kryptering A5/1 har været brudt i 5 år, så man nu relativt nemt kan afkode GSM kommunkationen realtime uden at tvinge telefonen til at køre ukrypteret (A5/0). 3G kryperingen (A5/3 aka. KASUMI) er endnu ikke brudt, men hvad hjælper det, når telefonerne trivielt lader sig overbevise om at de skal køre 2G.

Hvis du føler dig skræmt, så overvej denne app:
https://secupwn.github.io/Android-IMSI-Catcher-Detector

  • 1
  • 1
Log ind eller Opret konto for at kommentere