致美國聯邦通信委員會(FCC)的關于強制Wi-Fi設備安全性和可更新的請愿書
在提交給美國聯邦通信委員會(FCC)的請愿書中,Dave T ht (Bufferbloat項目的聯合創始人),Vinton Cerf博士(互聯網之父之一),以及260多個全球網絡和網絡安全專家,針對射頻設備如Wi-Fi路由器的ET Docket編號15-170中新提出FCC規范做出響應,提出一種新的方法以提高這些設備的安全性,確保更快,更好,更安全的互聯網。
這一請愿書是在對這一問題的公眾意見征詢期提交的。
聯邦通訊委員會的前首席技術專家Dave Farber,對這種新方法表示支持,并指出,“今天全球有數以億計的存在嚴重軟件缺陷的Wi-Fi路由器部署在住宅和辦公室,這些路由器很容易被犯罪分子利用。雖然我們同意FCC的管理這些設備的規范需要更新,但我們認為,由FCC擬定的方案缺乏對設備制造商的關鍵問責制。“
“我們不能承受互聯網的任何基礎設施崩塌。我們提出這個建議是因為無線頻譜不僅要負責任地分配,同時也要負責任地使用。通過要求在互聯網邊緣的技術上的最低限度的開放性,我們將確保在早期就發現和快速修復任何錯誤或欺騙,“互聯網之父(TCP/IP共同發明人),google高級副總裁兼首席互聯網顧問 Vinton Cerf博士指出。
為了顯著改進問責制,同時保持規定的原有目的,Dr. Paul Vixie, Dr. Sascha Meinrath, Dr. Nick Feamster, Jim Gettys, Dr. David P. Reed, Dr. Andreas Petlund, Jeff Osborn和其他知名的行業專家共同簽署,建議FCC啟動以下行動:
1.軟件定義無線電(SDR),無線或Wi-Fi的任何供應商必須公開完整和可維護的設備驅動程序和無線電固件的源代碼,以保持FCC合規性。源代碼應該是放在一個可持續構建,可追蹤變更(buildable, change-controlled)的代碼庫上,并在互聯網上供所有人查看和改進。
2.設備供應商必須保證設備在出廠前,其固件能得到安全升級,并且設備的所有者有更新流的最終控制權。從而,合規性問題就可以通過對于路由器合規性進行負責的人來進行修復。
3.供應商必須提供持續的源代碼和二進制更新流,必須在45天內對披露的監管違反和常見漏洞報告作出回應。并在產品的生命周期內或者最終用戶拿到產品后的五年內(以較長時間為準),提供質保。
4.不遵守這些規定應導致現有產品的FCC認證失效,并在嚴重的情況下,不考慮這些供應商新產品的認證。
5.此外,我們請求FCC審查和撤銷以下的規定:與開放源代碼的實踐相沖突;產生不可維護的硬件;或讓供應商相信他們必須提供無記錄“binary blobs”的編譯代碼,或使用鎖定機制禁止用戶打補丁。這是互聯網界致力于對安全關鍵系統進行變更控制和糾錯的實踐時一直存在的問題。
有關完整的請愿信和支持者的完整列表,請訪問這里:
http://huchra.bufferbloat.net/~d/fcc_saner_software_practices.pdf
“我們對自由和開放的互聯網的奮斗遠遠早于基于開源軟件的WiFi家用路由器的發明和廣泛使用。我們正處在互聯網歷史上的一個重要轉折點。美國聯邦通信委員會(FCC)有機會采取積極的行動,不僅提高這些設備的安全性和性能,而且也影響廠商如何開發安全物聯網,同時保持一個開放的互聯網“,Bufferbloat項目的主席Jim Gettys如是說。
普林斯頓大學信息技術政策中心代理主任Nick Feamster博士提到,“網絡研究與創新在根本上取決于修改客戶端設備(CPE)的固件,并在家庭網絡實際環境中對其進行部署的能力。”
“現在,互聯網基本上已經形成了一個戰場,最終用戶、雇主、學校和供應商是我們的盟友,而政府和有組織的犯罪是我們的敵人。我們的家庭網關通常是被我們的對手改造為針對我們的武器,因為這些小巧而廉價的塑料盒是無法打補丁的,是被其制造商拋棄的、是完全不透明的。這些設備是目前互聯網的頭號公敵。這項提議將能顯著凈化我們的技術供應鏈。“Farsight Security公司首席執行官Paul Vixie博士說。
“文檔中的建議將大大有助于確保一個具有高性能,安全和符合監管標準的互聯網走的更遠,” LWN.net執行編輯Jonathan Corbet說。
“隨著對”Moon Worm“,”DNSchanger,’和’Misfortune
Cookie“,再到現在的大眾丑聞的揭露,都說明秘密的、鎖定的固件是對互聯網的安全性的一個明確而現實的威脅。”IETF領域總監Ted Lemo說。
“如果我們提高固件代碼質量,以及維護和升級的標準,我們就可以完成bufferbloat,特別是在無線網絡連接,更快的部署IPv6,提高安全性,并為所有人建立一個好得多的互聯網,”CeroWrt構架師,Bufferbloat項目聯合創始人Dave T ht表示。
如果您關心這個重要問題并同意我們的做法,請與其他人分享這一請愿信。對于媒體的采訪要求或其他問題,請聯系[email protected]。
關于Bufferbloat項目
Bufferbloat項目是一個由獨立個人加盟組成的國際聯盟。這些人中很多是有助于推動互聯網和WiFi的開發的,他們深切關注未來的健康,速度,以及安全的互聯網邊緣。在5年的運營中以及相當長時間的第三方固件開發維護中,Bufferbloat開創了新的算法,提高了安全和保障,幫助制定新的標準,并努力使盡可能多的新理論和代碼的能為所有人使用。更多信息可訪問 http://www.bufferbloat.net 。Bufferbloat項目聯系方式: Karen Burke,+1 650-814-3764
京公網安備 11010502049343號