Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
USAs nya system för att få in info om dig » Kryptoblog

USAs nya system för att få in info om dig

July 30th, 2008 by Joachim Strömbergson Leave a reply »

SvD skriver om USAs nya elektroniska system Electronic System for Travel Authority (ESTA).

ESTAs logga.

Enligt SvD:s artikel är ESTA ett nytt system för att samla in information om de personer som avser att resa in i USA. Mer exakt kräver USA att få in information om:


sin mentala och fysiska hälsa, kriminella belastning, droghistoria och andra mer eller mindre känsliga data

Som Bruce Schneier brukar skriva – det intressanta med ett säkerhetssystem är inte när det fungerar, utan vad som händer när det inte fungerar. Vilka typer av informationsläckage och skador kan uppstå när systemet skiter sig?

Enligt artikeln handlar det väsentligen om samma sorts information som man i dag fyller i när man sitter i luften över Atlanten på konstiga gröna lappar med staketrutor. (Jag brukar alltid hamna halvvägs in i min mammas förnamn eftersom blanketterna inte precis är anpassade för personer med många och långa namn.) Men nu får systemet alltså ett publikt webbgränssnitt.

Även om ESTA initierats av Department of Homeland Security (DHS) och sköts av en avdelning kallad Customs and Border Protection (CPB). På CPB finns en presentation med mer information om ESTA.

I presentationen finns bilder på hur webbplatsen kommer att se ut och vilka fält som man kommer att vara tvungen att fylla i. En liten detalj är att att webbplatsen ser ut att använda en relativt simpel CAPTCHA för att skydda mot automatiserade registreringar. Vad skulle hända om ESTA utsattes för en DDoS-attack? Eller blev fylld med berg av snarlika registreringar?

Vidare finns den webbplats som det är tänkt att du som passagerare skall besöka för att lämna känslig information om dig själv.

Jag gjorde ett försök – och hoppsan vad Firefox protesterade!


Säker anslutning misslyckades

esta.cbp.dhs.gov använder ett ogiltigt säkerhetscertifikat.

Certifikatet är inte betrott eftersom utfärdarcertifikatet är okänt.

(Felkod: sec_error_unknown_issuer)

En liten titt på certifikatet visar att det är utställt av organisationen… CPB! Självsignerat certifikat allstå – extremt pålitligt. Dessutom pekar kontaktinformationen för certifikatetet på en användare hos en helt annan organisation nämligen National Technical Information Service (NTIS), en organisation som hävdar att dom är:


the largest central resource for government-funded scientific, technical, engineering, and business related information available today. For more than 60 years NTIS has assured businesses, universities, and the public timely access to approximately 3 million publications covering over 350 subject areas.

Vad f-n har det med certifikat för utländska medborgares privata information att göra?

Vad gäller val av kryptering för att skydda en session mot ESTAs webbplats får jag när jag testar RC4-128, men jag tillåter å andra sidan inte FF att använda svagare krypton.

Är du säker på att du litar på att ESTA tar väl hand om din privata information? (Skall man vara helt ärlig är nuvarande hanteringen av privat information, där kabinpersonalen springer omkring med papperslapparna rätt usel den också.)

JanJ tog i en diskussion upp den mycket intressanta frågan om vad man som anställd kan tvingas att göra för att utföra sitt uppdrag. Om du i ditt jobb blir beordrad att flyga till USA, måste du i och med ESTA som en konsekvens lämna över privat information till en tredje part. Jag är ingen jurist, men det låter som att detta är något som borde regleras i anställningsavtal. Vad händer om jag som anställd vägrar att resa till USA med hänvisning till ESTA?

Enligt SvDs artikel har EU försökt bråka med USA för att medborgare i EU skall slippa att lämna över information. Tydligen har man bla hotat med att USAs medborgare skulle behöva lämna över motsvarande information när de flyger till EU.

Ryggmärgen säger att det vore bra att tvinga USAs medborgare att hosta upp info dom också. Men det är egentligen inte en bra lösning. Mer privat information som skickas runt över världen kan knappast förbättra situationen. Lösningen måste vara att få stopp på denna informationsinsamlings- och kontrolliver.

Och bara för att förtydliga. Japp, detta gäller Svenska resenärer från årsskiftet. Skall du till USA skall du senast 72 timmar innan logga in och hosta upp info om dig själv. Lycka till.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

2 comments

  1. jorgenl says:

    Hur säkert är för övrigt SSL med 128 bitars nycklar egentligen? Jag har försökt hitta någon källa med auktoritet men har inte riktigt lyckats. Vad talar vi om för säkerhet om man betänker FRA’s allmänna avlyssning?

Leave a Reply

You must be logged in to post a comment.