<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jan 25, 2019 at 2:31 PM Lee Neubecker <<a href="mailto:lee.neubecker@greatlakesforensics.com">lee.neubecker@greatlakesforensics.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div bgcolor="#FFFFFF">
I wanted to make sure you were all aware of several notices issued which
 came just before and after the root key change over for DNS. Bad actors
 with access to the older private key root (if compromised) may have 
been motivated to strike before the key change over.<br>
  <br>
<a class="gmail-m_4850006658092492932moz-txt-link-freetext" href="https://www.cyberscoop.com/dhs-dns-directive-government-shutdown/" target="_blank">https://www.cyberscoop.com/dhs-dns-directive-government-shutdown/</a><br>
  <br>
This alert went out the day before change over on January 10th, 2019. 
<a class="gmail-m_4850006658092492932moz-txt-link-freetext" href="https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS-Infrastructure-Hijacking-Campaign" target="_blank">https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS-Infrastructure-Hijacking-Campaign</a></div></blockquote><div><br></div><div><br></div><div><div class="gmail_default" style="font-family:verdana,sans-serif">Nope, these are unrelated -- the attacks above are simply attackers logging into registrar / DNS provider accounts using the victims credentials (either collected through phishing, brute-forcing, or, most likely because the registrants used the same credentials elsewhere) and changing the nameservers / address records to point at nameservers which they control. This isn't a DNSSEC related attack at all -- if attackers had the old key and could still use it they would use it inline, and not fiddle with other systems. </div></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div bgcolor="#FFFFFF"><br>
  <br>
This alert on January 22nd, 2019 <a class="gmail-m_4850006658092492932moz-txt-link-freetext" href="https://cyber.dhs.gov/ed/19-01/" target="_blank">https://cyber.dhs.gov/ed/19-01/</a><br>
  <br>
This alert was issued yesterday 
<a class="gmail-m_4850006658092492932moz-txt-link-freetext" href="https://www.us-cert.gov/ncas/alerts/AA19-024A" target="_blank">https://www.us-cert.gov/ncas/alerts/AA19-024A</a><br>
  <br>
The timing of this change over taking place roughly 2+ weeks after the 
U.S. Government Shutdown is a little unfortunate, since the switch over 
date may have encouraged attacks before the old key was revoked.  I do 
think the re-key is a good idea, and agree with Tony Finch on the 
concept of <br>
  <pre style="white-space:pre-wrap;color:rgb(0,0,0);font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;word-spacing:0px;text-decoration-style:initial;text-decoration-color:initial">"[I favour annual rollovers, with keys generated and promulgated out
of band a few years in advance, and at most two KSKs in the root zone at
any time.]"</pre>
I welcome any comments.<br>
  <br></div></blockquote><div><br></div><div><div class="gmail_default" style="font-family:verdana,sans-serif">We (currently, and until proven otherwise) don't believe that the old key was compromised / factored -- rolling is simply good hygiene.</div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div bgcolor="#FFFFFF">
  <div class="gmail-m_4850006658092492932moz-signature">Lee Neubecker, CISSP<br>
President & CEO<br>
GreatLakesForensics.com<br>
<br>
65 W. Jackson Blvd., Suite 101<br>
Chicago, IL  60604<br>
Toll Free/Fax: 888-503-0665<br>
<a class="gmail-m_4850006658092492932moz-txt-link-freetext" href="https://greatlakesforensics.com" target="_blank">https://greatlakesforensics.com</a><br>
<br>
Computer Forensics · Cyber Security Readiness & Response · Online 
Identity Investigations<br>
Check out my security blog at <a class="gmail-m_4850006658092492932moz-txt-link-freetext" href="https://leeneubecker.com" target="_blank">https://leeneubecker.com</a></div>
</div>

_______________________________________________<br>
ksk-rollover mailing list<br>
<a href="mailto:ksk-rollover@icann.org" target="_blank">ksk-rollover@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/ksk-rollover" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/listinfo/ksk-rollover</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">I don't think the execution is relevant when it was obviously a bad idea in the first place.<br>This is like putting rabid weasels in your pants, and later expressing regret at having chosen those particular rabid weasels and that pair of pants.<br>   ---maf</div></div>