Stieg Larssons efterträdare gjorde allt rätt

lagercrantzmillenium13060736_O_1Läser om den nya boken i Stieg Larssons Millenieserie, ”Det som inte dödar oss”, skriven av David Lagercrantz. Berättelsen om hur den kom till är intressanta ur IT-säkerhetssynpunkt.

  • Boken skrevs på en dator utan anslutning till internet.
  • Faktakoll och intervjuer fick inte göras via e-post. Bara över telefon.

Syftet med den stränga säkerheten är såklart att inget av boken ska komma ut innan den finns i handeln. Därmed behåller författaren och förlaget hela kontrollen över den kommande produkten. Intresset för den nya boken är globalt, så det finns gott om resursstarka medier som säkert hade kunnat leka Salander och avläsa produktionsprocessen.

Jag skriver emellanåt om säkerhet i olika medier, och också här på Merafakta.nu, t ex Metod som gör journalisthacking meningslöst. Det kan gälla även författare.

Att skriva utan internetkoppling är ett val som många skulle tycka vara konstigt och istället hänvisa till kryptering och hemliga nätverkstunnlar, VPN. Men faktum är, som jag har påpekat tidigare, att svagheten i alla kryptering är dels att texten finns i klartext på någon dator, någon gång. Är en sådan dator komprometterad är krypteringen meningslös. Och dels att de som ska hantera krypteringen måste veta exakt vad de gör, samt följa med i teknikutvecklingen på området, för att säkerställa att det är säkert över tid. Det räcker inte att det är säkert den dagen man startar med kryptering och VPN.

Därför är valet klokt att använda en dator helt utan internetuppkoppling. Den är då galvaniskt totalt oåtkomlig för utomstående.

MEN, det vill också till att datorn i sig fysiskt skyddas av ett säkert skalskydd. Polis och militär löser detta genom att ha löstagbara hårddiskar de låser in i kassaskåp när datorn inte används. Hur Lagercrantz har löst detta framgår inte av reportagen.

En dator som lämnas utan uppsikt kan komprometteras på olika sätt. En möjlighet är att tanka ur innehåll med hjälp av ett flashminne på en USB-sticka. En annan möjlighet är att sätta diskreta keyloggers på kablar mellan dator och skärm eller tangentbord. En sådan manick sänder allt som skrivs eller visas på datorn via radio till en närbelägen mottagare, t ex i en bil utanför.

Att inte använda e-post är en logisk följd. Faktakoll med experter via e-post innebär ju att också låta delar av bokens innehåll färdas över internet och därmed bli avlyssningsbart. Vid en normal faktakoll tar man textstycken och skickar till en expert för granskning. I det här fallet hade alltså text behövt flyttas från en dator utan internetuppkoppling till en som har det.

För riktigt hög säkerhet vore såklart telefonanvändning inte heller möjligt. Den kan avlyssnas och spåras. I det här fallet kan man då resonera att med en dedikerad telefon just för dessa samtal, är risken mindre. I vart fall finns det en gräns för hur mycket opraktiskt handhavande man orkar med. Det är ju i detta fallet bara en fråga om pengar och inte om liv.

© Tomas Carlsson 2015-09-10

PS. Hur Lagercrantz löste problematiken med säkerhetskopiering har inte framkommit, men det är såklart en sak som en författare måste vara verkligt noga med.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.