SvD skriver om USAs nya elektroniska system Electronic System for Travel Authority (ESTA).
Enligt SvD:s artikel är ESTA ett nytt system för att samla in information om de personer som avser att resa in i USA. Mer exakt kräver USA att få in information om:
sin mentala och fysiska hälsa, kriminella belastning, droghistoria och andra mer eller mindre känsliga data
Som Bruce Schneier brukar skriva – det intressanta med ett säkerhetssystem är inte när det fungerar, utan vad som händer när det inte fungerar. Vilka typer av informationsläckage och skador kan uppstÃ¥ när systemet skiter sig?
Enligt artikeln handlar det väsentligen om samma sorts information som man i dag fyller i när man sitter i luften över Atlanten på konstiga gröna lappar med staketrutor. (Jag brukar alltid hamna halvvägs in i min mammas förnamn eftersom blanketterna inte precis är anpassade för personer med många och långa namn.) Men nu får systemet alltså ett publikt webbgränssnitt.
Även om ESTA initierats av Department of Homeland Security (DHS) och sköts av en avdelning kallad Customs and Border Protection (CPB). På CPB finns en presentation med mer information om ESTA.
I presentationen finns bilder på hur webbplatsen kommer att se ut och vilka fält som man kommer att vara tvungen att fylla i. En liten detalj är att att webbplatsen ser ut att använda en relativt simpel CAPTCHA för att skydda mot automatiserade registreringar. Vad skulle hända om ESTA utsattes för en DDoS-attack? Eller blev fylld med berg av snarlika registreringar?
Vidare finns den webbplats som det är tänkt att du som passagerare skall besöka för att lämna känslig information om dig själv.
Jag gjorde ett försök – och hoppsan vad Firefox protesterade!
Säker anslutning misslyckadesesta.cbp.dhs.gov använder ett ogiltigt säkerhetscertifikat.
Certifikatet är inte betrott eftersom utfärdarcertifikatet är okänt.
(Felkod: sec_error_unknown_issuer)
En liten titt pÃ¥ certifikatet visar att det är utställt av organisationen… CPB! Självsignerat certifikat allstÃ¥ – extremt pÃ¥litligt. Dessutom pekar kontaktinformationen för certifikatetet pÃ¥ en användare hos en helt annan organisation nämligen National Technical Information Service (NTIS), en organisation som hävdar att dom är:
the largest central resource for government-funded scientific, technical, engineering, and business related information available today. For more than 60 years NTIS has assured businesses, universities, and the public timely access to approximately 3 million publications covering over 350 subject areas.
Vad f-n har det med certifikat för utländska medborgares privata information att göra?
Vad gäller val av kryptering för att skydda en session mot ESTAs webbplats får jag när jag testar RC4-128, men jag tillåter å andra sidan inte FF att använda svagare krypton.
Är du säker på att du litar på att ESTA tar väl hand om din privata information? (Skall man vara helt ärlig är nuvarande hanteringen av privat information, där kabinpersonalen springer omkring med papperslapparna rätt usel den också.)
JanJ tog i en diskussion upp den mycket intressanta frågan om vad man som anställd kan tvingas att göra för att utföra sitt uppdrag. Om du i ditt jobb blir beordrad att flyga till USA, måste du i och med ESTA som en konsekvens lämna över privat information till en tredje part. Jag är ingen jurist, men det låter som att detta är något som borde regleras i anställningsavtal. Vad händer om jag som anställd vägrar att resa till USA med hänvisning till ESTA?
Enligt SvDs artikel har EU försökt bråka med USA för att medborgare i EU skall slippa att lämna över information. Tydligen har man bla hotat med att USAs medborgare skulle behöva lämna över motsvarande information när de flyger till EU.
Ryggmärgen säger att det vore bra att tvinga USAs medborgare att hosta upp info dom också. Men det är egentligen inte en bra lösning. Mer privat information som skickas runt över världen kan knappast förbättra situationen. Lösningen måste vara att få stopp på denna informationsinsamlings- och kontrolliver.
Och bara för att förtydliga. Japp, detta gäller Svenska resenärer från årsskiftet. Skall du till USA skall du senast 72 timmar innan logga in och hosta upp info om dig själv. Lycka till.