Inglaterra questiona segurança do TCP/IP

Esse alerta foi dado pelo Centre for Protection of the National Infrastructure (CPNI), órgão do governo britânico que se ocupa de segurança digital. O CPNI publicou um relatório no qual

O CPNI ressalta que o protocolo TCP/IP está em atividade desde 1983, e nem todas as técnicas nele utilizadas são seguras. Para a agência do governo, dada a época em que foram concebidas, “muitas especificações de protocolos põem o foco apenas nos aspectos operacionais e deixam de lado as implicações de segurança”.

Ao longo do tempo vulnerabilidades foram descobertas e corrigidas. Mas o CPNI vê com reservas até mesmo a essas correções.  “Em muitos casos, os fornecedores implementam correções rápidas ao protocolo sem fazer uma análise cuidadosa de sua efetividade e de seu impacto sobre a interoperabilidade”, aponta o relatório.

“Em conseqüência”, conclui o relatório, “qualquer sistema construído no futuro de acordo com as especificações oficiais do TCP/IP pode ressuscitar falhas de segurança que já haviam afetados nos sistemas de comunicação no passado”.

O alerta do órgão de segurança digital do governo inglês é feito no mesmo momento em que dois pesquisadores na Suécia descobriram uma falha grave no protocolo TCP (veja nota sobre o assunto). Os pesquisadores expressaram certa dificuldade em chamar a atenção dos fornecedores para o problema. Talvez o alerta oficial do CPNI reforce a idéia.

O relatório apresenta uma série de recomendações sobre como trabalhar com segurança usando o protocolo TCP/IP, mas não chega a propor uma solução radical para o problema. Supostamente, uma solução para valer exigiria o desenvolvimento de nova versão dos protocolos. Mas isso é algo bastante complicado, tendo em vista a extraordinária difusão do TCP/IP, hoje usado universalmente tanto na internet como em redes internas.

Um resumo do relatório do CPNI está neste endereço: http://www.cpni.gov.uk/WhatsNew/3680.aspx