By the logic that some countries use for fighting against the use of encryption.  I'm starting to wonder how long that it will be before having a one on one conversation in a closed door room is illegal.<div><br></div>
<div>I've heard that RIM only gave the encryption keys for their BIS not their BES as the countries involved in the investigations would have to subpoena the corporation running the BES for that information so basically from what I've been informed the blackberry security hasn't been compromised within your BES anyways.  So theoretically if you wished you could have your own micro darknet with the free version of Blackberry Enterprise Server if you so desired still and the gov't would still need to speak with your admin personally to aquire that encryption key.</div>
<div><br></div><div>I read somewhere that Google's Gmail fully encrypts your emails in transit as long as it stays within the gmail system by default without you having a choice.  Just food for thought.  I realize that a MITM attack between Gmail servers and you is a major risk at this point.  But it is again food for thought so basically if we can convince google that its profitable to give us a free vpn service to their servers than were good there :P.</div>
<div><br></div><div>Anyways I feel like i'm trolling with this response so i'll stop.<br><br><div class="gmail_quote">On Sun, Aug 14, 2011 at 2:44 AM, unsolicited <span dir="ltr"><<a href="mailto:unsolicited@swiz.ca">unsolicited@swiz.ca</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">There are a number of answers to that - some are:<br>
<br>
Recognizing that:<br>
- not( everybody will be satisfied with all things)<br>
- new users will be most at risk, not having gained a sense of when things don't feel right.<br>
<br>
- You can't actually trust anything now, nothing coming will change that.<br>
- Most browsing is read only.<br>
- Frequently you must make arrangements in some other manner to gain access, including the provisioning of a password. When that password doesn't work, spidey senses should go off.<br>
- E-mail confirmations received, or not, granting access to the site.<br>
(- Theoretically, initially entering credentials to bogus sites won't achieve the desired effect. Signing into your [bogus] bank for the first time didn't actually transfer money between your accounts.)<br>
- Most of the people most of the time will be all right.<br>
  - I suspect this doesn't change from current circumstances. There currently aren't any guarantees, anyways. Witness Chris' earlier reminder that not all CA's have proven to be trustworthy.<br>
- Did you see my post on your facebook wall? No. Spidey senses go off.<br>
- I suspect if enough things get botched, enough people will raise a stink, and nefarious behaviour will be somewhat moderated. I'm not holding my breath. Witness the migration from UBB ISP's elsewhere - not saying that's speedy, but I expect it's happening faster this year than 2 years ago.<br>

- Whatever it is we're doing now, feel safe with, won't change much beyond what we're doing now. Just because I'm paranoid, doesn't mean I'm wrong.<br>
- We don't know that we're not being sniffed, now.<br>
- It doesn't matter if we're sniffed, it only matters what they do with it?<br>
- Necessity is the mother of invention - detections and workarounds will emerge.<br>
- If the perceived benefit is greater than the experienced risk, people will go ahead anyways. You rolls the dice, you takes your chances / You can pay now, or later, your choice?<br>
<br>
<br>
Bob Jonkman wrote, On 08/14/2011 2:12 AM:<div><div></div><div class="h5"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Largely, we only care that the traffic of this conversation not be sniffable by the ISP. Getting into the, are we really on the site it says it is, is a whole 'nuther thread. <br>
</blockquote>
<br>
OK, but if we can't verify that we're really on the site it says it is, how do we know we're not secretly on the ISP's site, who's now sniffing all our traffic?<br>
<br>
--Bob.<br>
<br>
On Sat 13 Aug 2011 04:30:39 PM EDT  unsolicited wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
Chris Irwin wrote, On 08/13/2011 2:31 PM:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Fri, Aug 12, 2011 at 06:30:27PM -0400, unsolicited wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Mind you ... you're right ... with ssl (https) ... isn't listening<br>
in at the ISP all but pointless?<br>
</blockquote>
<br>
Not really. Most of the difficulty of executing a man-in-the-middle<br>
attack is getting in the middle, a non-issue for your ISP.<br>
</blockquote>
<br>
OK, fair enough, I wasn't considering MITM, but I saw nothing in the articles discussing that. OTOH, I do wonder if we haven't just stepped into a form of digital lock breaking, which then becomes state sponsorship of it. Truth stranger than fiction, again.<br>

<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
There was a presentation a BlackHat 2009 using a MITM attack to rewrite<br>
'https://..." urls to "http://..." urls, ...<br>
</blockquote>
<br>
I remember that discussion coming up in the (our) lug.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Even if you trusted every certificate vendor in your browser (or removed those you don't), can you trust their infrastructure?<br>
<br>
    CA hacked to provide fraudulent certificates.<br>
    <a href="https://www.eff.org/deeplinks/2011/03/iranian-hackers-obtain-fraudulent-https" target="_blank">https://www.eff.org/deeplinks/<u></u>2011/03/iranian-hackers-<u></u>obtain-fraudulent-https</a> <br>
</blockquote>
<br>
OK, but, for the purposes of this thread, we largely don't care.<br>
<br>
Largely, we only care that the traffic of this conversation not be sniffable by the ISP. Getting into the, are we really on the site it says it is, is a whole 'nuther thread.<br>
<br>
And ... how many of us have turned off the browser warnings about mixed un/encrypted pages. So, again, we're not paying as much attention as we probably should that the site really is the site, and the signer itself is trustable. Score another for marketing and VeriSign, I suppose. (I wonder how much budget they put towards just maintaining their credibility, proper use of logos on sites, etc.)<br>

<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Thinking of the English riots, talk of BlackBerry sniffing whatever<br>
... just having a sense of the preponderance of data going<br>
somewhere, like a facebook site, and the ability to get to that site<br>
directly oneself, seems sufficient. No need to crack the data<br>
itself, just, where it's going. And if you see bad stuff (facebook),<br>
then you're listening for what's headed that way.<br>
</blockquote>
<br>
Anybody remember when Blackberry told (I believe) India and UAE that it<br>
was absolutely impossible to allow snooping on blackberry traffic, and there was a possible risk of blackberries being blacklisted in the country due to that? Now they are willing to co-operate fully. Hmm.<br>
</blockquote>
<br>
Right, but my expectation was that RIM would open up the ability to plain text see the traffic at the BES point. In very specific circumstances. Is that how it went down?<br>
<br>
Given the Google / China experience, I don't expect RIM had much choice, shareholder wise.<br>
<br>
I will wonder, however, if that episode will lead to the eventual demise of the BB. In essence, they showed their security is not absolute in all cases, and with SSL end to end on PDA's (I presume) showing that alternate security strategies take you to the same place, the BB competitive advantage isn't as strong as it was - making i<thing> / Android viable choices even on the security front.<br>

<br>
Anyways, the debate point here, for England / riots is ... slippery slope.<br>
<br>
______________________________<u></u>_________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/<u></u>listinfo/kwlug-disc_kwlug.org</a><br>
</blockquote>
<br>
______________________________<u></u>_________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/<u></u>listinfo/kwlug-disc_kwlug.org</a><br>
<br>
</blockquote>
<br>
______________________________<u></u>_________________<br>
kwlug-disc mailing list<br>
<a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/<u></u>listinfo/kwlug-disc_kwlug.org</a><br>
</div></div></blockquote></div><br></div>