Saksynt - Gunnar Tjomlid

Strømnettet avslører deg

Dette synes jeg er litt fascinerende: “Electric Network Frequency Analysis“.

Kort sagt fungerer dette slik. Strømnettet vårt leverer vekselstrøm med en frekvens på 50 Hz. Denne frekvensen er stabil, men har små avvik over tid. Hvis man analyserer disse små variasjonene i frekvensen vil man sitte med et slags fingeravtrykk eller signatur av strømnettet på et gitt sted og til en gitt tid.

Hvis man så gjør et lyd- eller videoopptak med en enhet koblet til strømnettet, for eksempel telefonsvarer, overvåkingskamera, webkamera, båndopptaker, videokamera, DAT-spiller etc, vil man kunne spore denne frekvensen i lydopptaket. Ja, selv batteridrevede enheter, for eksempel din mobiltelefon, kan teoretisk sett plukke opp denne frekvensen fra strømnettet i nærheten og er derfor heller ikke immune mot å inneholde en slik frekvens-signatur. Ved å sammenligne frekvensen i et lydopptak med en logg over frekvensendringene i strømnettet på ulike steder, vil man kunne finne ut når og hvor et lydopptak ble gjort. Dette kan og brukes til å sjekke om et lydopptak er endret, det vil si om det er klippet og limt sammen, fordi da vil ikke frekvens-fingeravtrykket lenger stemme overens med strømnettets loggede variasjoner på et gitt tidspunkt.

Metoden fungerer best med digitale opptak da disse er tidsmessig veldig jevne og presise. Analoge opptakere vil som regel variere litt i hastighet over tid, og krever derfor mer lydbearbeidelse for å kunne få et godt fingeravtrykk å sammenligne mot.

Et eksempel:

In a recent forensic case I was asked to analyse a digital recording brought to the court as evidence, to establish the authenticity of the recording and its originality. The evidence was an audio file on a CD, WAV PCM format, 16 bit, sampled at 8 KHz, containing more than three hours of conversation between two persons (speaker A and B) and it was made using a recording system installed in a room in an office building. I found that the system allows the audio signal to be picked-up from the room with a small electret microphone, amplified and saved in a WAV PCM format (no compression), 16 bit, 8 KHz, on the hard-disk of a notebook. Speaker A, who had previously been recorded by speaker B with this system, claimed that the recording was altered and that the claimed date of recording was not correct; he indicated another date. Information on both dates was given to the investigator.

I established the period of time on which to verify the ENF and tested whether there were any differences in the frequency variations between the ENF reference monitoring system and the frequency variations measured in the company’s buiding. I asked the electricity company if there was any break in the network over the last couple of months and I checked whether the building used it’s own private power supply or was connected to the network. I started by comparing the evidence with my ENF database to see if there was any match.

[…]

The conclusion is that the evidence had not been recorded on the date claimed by speaker B and there were matches with the date and time claimed by speaker A. I also checked the evidence’s ENF continuity and I discovered more than ten major discontinuities. I asked speaker A to listen to the evidence, to indicate in the transcription where there are any irregularities and to write down what the original wording was. He indicated more than twenty deletions of words and expressions. The discontinuities in ENF that I had discovered matched his indications.

Metoden er brukt i flere kriminalsaker i England allerede, og jeg kjenner selv en norsk ekspert på lyd som jobber en del for Kripos og som sier metoden også benyttes her i landet. Det interessante med dette er at det står utstyr i ulike land som til enhver tid logger denne frekvens-signaturen fra strømnettet slik at man har noe å sammenligne lyd- og videoopptak med.

Å bruke denne frekvens-signaturen til å bestemme hvor et opptak er gjort, er likevel relativt begrenset. Strømnettene er i stor grad synkroniserte på tvers av landegrensene, og eksempelvis kjører Norge, Finland og Sverige et synkronisert strømnett. Storbritannia er isolert, Irland kjører for seg selv, det samme gjør Island, mens resten av Europa har samkjørt frekvens i strømmnettet sitt.

700px ElectricityUCTE

Dette gjør at et opptak sånn sett bare kan lokaliseres til en del av verden, sjelden et spesifikt land, og aldri en by eller enda mindre en bygning. Den viktigste bruken av denne frekvens-signaturen er altså å kunne sjekke når et opptak er gjort, og om det er blitt endret på i ettertid.

Hvis man kjenner til dette fenomenet kan det også manipuleres for å forfalske et lyd- eller videoopptak. Med litt planlegging i forkant hvor man selv logger frekvenssignaturen fra strømnettet, eller med tilgang på loggede frekvensdata fra E-verk eller myndighetenes egne logger, kan man relativt enkelt endre eller legge inn en falsk frekvenssignatur i et eksisterende opptak. Dette vil da gjøre at man kan overskrive eventuelle redigeringsbrudd eller flytte opptakets tilsynelatende tidspunkt til noe helt annet enn det faktiske.

Man kan også unngå denne frekvenssignaturen i opptak man gjør ved å sørge for at opptaksenheten får strøm fra en kilde som ikke er koblet til strømnettet, for eksempel batteri eller solcellepanel, og at man er langt nok unna strømnettet, eller isolert i et Faradaybur, slik at dette ikke kan virke inn på avstand. Det skal også være mulig å koble en enhet som forstyrrer frekvensen i strømnettet inn i strømkursen man bruker, for på den måten å forstyrre signalet og gjøre det ugjenkjennelig.

I disse DLD-tider er det nok få av oss som tenker over at selv et uskyldig anonymisert videoopptak gjort på vårt eget webkamera altså kan analyseres for å avgjøre nøyaktig når opptaket ble gjort, og til en viss grad også hvor i verden opptaket skjedde.

Fascinerende, og bittelitt skremmende.

  • http://www.ertzgaard.net/geir Geir

    Når forskerne kan se ut ut fra en centimenterlang beinrest om det er en kvinnelig 19 år gammel Homo Erectus fra -100045450 eller en orangutang fra Borneo på 1400-tallet, så er vel dette ikke så er det kanskje det likevel.

    Enig i at dette er fascinerende, men så lenge jeg ikke finner på noe gæli, skal jeg ikke klage hvis dette kan brukes til å fakke skurker.

  • Daniel Øyan

    Spørsmålet er vel om man har får en ennå tydeligere signatur hvis man prøver å unngå strømnettsignaturen. Regner da med at et solcellepanel eller dieselaggregat også lager en signatur, og at denne kan være vel så spesifikk for et bestemt utstyr, selv om den ikke kan si noe om tidspunkt.

  • http://blog.tjomlid.com Gunnar Roland Tjomlid

    @ Daniel Øyan:

    Det er nok sant, selv om slikt utstyr burde være enkelt å kvitte seg med etter bruk om man virkelig går grundig til verks.

    Din innvendig forutsetter også at man på forhånd har en mistenkt og har tilgang på utstyret for å kunne sammenligne frekvenssignaturen.

    Men ja, det kan vel slå begge veier :-)

  • Bjarne

    @ Geir:
    Hva om det brukes mot deg når du gjør noe riktig, for eksempel om du varsler tilsynsførende instanser om ulovlige forhold i Politiet, E-tjenesten, eller en teknologibedrift.

    Tenke sjæl.

  • IvarE

    Njaaa, skeptisk… :)

    Dvs. ikke egentlig skeptisk til at det lar seg gjøre, men skeptisk til nytteverdien i de aller fleste tilfeller. Manipulasjon kan som oftest avsløres mye lettere enn dette, og spørsmålet om når og hvor får nok forsvinnende liten betydning.
    De fleste bygg av noen størrelse har nemlig utstyr som effektivt skjermer strømforsyningen internt i bygget fra fluktuasjoner i spenning og frekvens eksternt. Og det samme gjelder ved enhver transformatorstasjon av betydning rundt om i landet / landene. Så skal du finne hvor og når, så må du ha detaljerte logger fra nær sagt hver eneste bygning bortetter. Evt. kunne utlede slike logger fra annet kjent materiale innspilt til angjeldende tid på angjeldende sted.

  • http://blog.tjomlid.com Gunnar Roland Tjomlid

    @ IvarE:

    Dette er jeg ingen ekspert på, men ut fra de studiene jeg leste om emnet så er det testet og målt at man finner samme frekvens-signatur på helt ulike steder i samme land. I Storbritannia fant man samme signatur i Glascow som i London eksempelvis.

    At the Metropolitan Police’s digital forensics lab in Penge, south London, scientists have created a database that has recorded these deviations once every one and a half seconds for the last five years. Over a short period they form a unique signature of the electrical frequency at that time, which research has shown is the same in London as it is in Glasgow.

    Britisk politi sier også:

    The Met emphasised that ENF analysis is in its infancy as a practical tool, having been used in only around five cases to date. Proponents are optimistic about its uses in counter-terrorism investigations, for example to establish when suspects made reconnaissance videos of their targets, or to uncover editing in propaganda videos.

    Dr Alan Cooper, the leader of the Met’s ENF project, said the technique is proving invaluable in serious cases, where audio and video evidence and its authenticity is often questioned.

    Nytteverdien av metoden faller veldig hvis opptaket er kort. Det kan tyde på at det bare er opptak på over 10 minutter, gjerne minst en time lange opptak, som kan identifiseres presist nok med denne metoden:

    http://www.forensic.to/ENF%20processed.pdf

    Jeg har lest mange diskusjoner om dette og har ikke sett noen hevde det du hevder, altså at hver bygning eller transformatorstasjon har en lokal frekvens skjermet fra det nasjonale strømnettet? PÅ serverrommet vårt får serverne all strøm fra en kraftig UPS, og her vil vel kanskje frekvensen være isolert da (så vidt jeg har fostått) vekselstrømmen gjøres om til likestrøm og så tilbake til vekselstrøm før den serveres til serverne (for å gi en mest mulig ren og uforstyrret strøm). Men hvor mange bygninger har slikt utstyr?

    Selv om teknikken er interessant ser jeg heller ikke så mange nytteområder for dette, men muligheten finnes jo altså…

  • Frank

    Nja, en transformator skulle ikke ha noen innvirkning på frekvenssignaturen. Hele funksjonen til en transformator er basert på et varierende e-felt som induserer et varierende magnetfelt som igjen induserer et nytt e-felt. Alt svinger med samme frekvens.