<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Jan 19, 2015 at 7:19 AM, Henry Baker <span dir="ltr"><<a href="mailto:hbaker1@pipeline.com" target="_blank">hbaker1@pipeline.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">FYI -- If DNS is this easy to hack, we're all in big trouble; DNS needs to be secured ASAP.<br>
<br>
"NSA secretly hijacked existing malware to spy on N. Korea, others"</blockquote><div> .....</div><div>
"This in turn tells me two things: no one can assume that a zero-day exploit that's been used is not known by other actors who have similar collection capabilities, and we need DNSSEC to protect ourselves from fraudulent DNS results."</div><div><br></div><div><br></div><div>Yes.</div><div><br></div><div>I am curious what has been done and what can be done with the existing DNS infrastructure.</div><div>I am curious what game routers can play as well.</div><div><br></div><div>At first glance I would cache previous DNS answers and compare and contrast TTL values </div><div>and answers as they change over time from multiple DNS servers.   </div><div><br></div><div>It is troubling to think that I could reach out to an IP address and be routed to a different hostile machine</div><div>by a compromised router.   This could foil an answer from a secure DNS server.</div><div>. </div><div>These all demand additional authentication and communication that </div><div>is durable enough to suffer MITM games as well.</div><div><br></div><div>One obvious solution context is corporate communication where both ends are owned</div><div>by a single entity.    The next is trusted neighbors.... Both need  a "trust but verify"</div><div>protocol.</div><div><br></div><div><br></div><div><br></div><div><br></div></div><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>