Protokollerne, der anvendes til at transportere data rundt på internettet er slet ikke så sikre, som folk går rundt og tror.
"Mens mange bøger og artikler har skabt den myte, at Internet Protokollerne (IP) var designet til anvendelse i krigslignende miljøer, så var det ultimative mål for DARPA Internet Programmet delingen af store maskiner på ARPANET [Clark, 1988].
Resultatet er, at mange protokolspecifikationer udelukkende fokuserer på de operationelle aspekter af protokollerne og overser de sikkerhedsmæssige implikationer."
Sådan lyder det i den 63-sider lange rapport "Security Assessment of the Internet Protocol" fra det britiske regeringsorgan Centre for the Protection of National Infrastructure (CPNI).
Kendte sårbarheder dukker op igen
Rapporten nævner, at mange af sårbarhederne i TCP/IP-protokollerne har været kendt i mange år, og at sikkerhedseksperter i samarbejde med leverandører forsøger at mindske effekten af sårbarhederne med forskellige workarounds.
Da sårbarhederne imidlertid ikke nævnes i de officielle protokolspecifikationer, kan allerede erkendte sårbarheder risikere at blive implementeret af leverandører.
"Meget af det arbejde som sikkerhedsmiljøet har lagt i sikring af Internetprotokollerne bliver ikke medtaget i de officielle dokumenter (RFCs) som bliver udsendt af IETF (Internet Engineering Task Force)
hvilket har ført til at "kendte" sikkerhedsproblemer ikke altid bliver adresseret af alle leverandører.
Resultatet er, at et system der i fremtiden bygges efter de officielle TCP/IP specificationer kan have sikkerhedsbrist som allerede har ramt vores systemer førhen."
Ifølge CPNI, der rådgiver den engelske regering og private virksomheder om sikring af den britiske infrastruktur, så er det meget svært at lave en sikker TCP/IP-implementering i dag.
"At lave en sikker TCP/IP implementering i dag er en meget besværlig opgave, fordi der ikke eksisterer et enkelt dokument, der kan fungere som sikkerhedsroadmap for protokollerne," vurderer CPNI.
