新聞中心

EEPW首頁(yè) > 手機(jī)與無(wú)線(xiàn)通信 > 業(yè)界動(dòng)態(tài) > FCC合規(guī)或可導(dǎo)致Wi-Fi路由器安全問(wèn)題?

FCC合規(guī)或可導(dǎo)致Wi-Fi路由器安全問(wèn)題?

作者: 時(shí)間:2016-01-19 來(lái)源:TechTarget 收藏

  最近,幾百名互聯(lián)網(wǎng)專(zhuān)業(yè)人士聯(lián)名致信美國(guó)聯(lián)邦通信委員會(huì)(),反對(duì)該機(jī)構(gòu)新提出的無(wú)線(xiàn)電射頻合規(guī)要求,該要求不允許對(duì)5GHz頻段運(yùn)行的路由器進(jìn)行未經(jīng)授權(quán)的更新。為了更好地控制即將到來(lái)的物聯(lián)網(wǎng)發(fā)展,建議規(guī)章制定通知(NoticeofProposedRule)通告如下:

本文引用地址:http://m.butianyuan.cn/article/201601/285943.htm

  “在5.15-5.35GHz和5.47-5.85GHz頻段U-NII設(shè)備認(rèn)證的申請(qǐng)必須包括對(duì)安全程序的詳細(xì)運(yùn)作說(shuō)明,這些安全程序應(yīng)可控制無(wú)線(xiàn)電射頻運(yùn)行參數(shù)以及確保無(wú)法進(jìn)行未經(jīng)授權(quán)的修改。”

  而由DaveT?ht和VintCerf領(lǐng)導(dǎo)的這組人員反對(duì)這些變更,他們聲稱(chēng),如果提議通過(guò),這將會(huì)扼殺創(chuàng)新,并限制對(duì)路由器中固件的升級(jí)或阻礙使用開(kāi)源組件(例如OpenWrt、DD-WRT等),這樣做弊大于利。這種方法還會(huì)給安全、FCC合規(guī)帶來(lái)問(wèn)題以及與擁有和管理Wi-Fi路由器相關(guān)的問(wèn)題。與此同時(shí),該小組提出了另一種方法來(lái)確保Wi-Fi路由器安全和FCC合規(guī),包括以下幾點(diǎn):

  1.“所有SDR(軟件定義無(wú)線(xiàn)電)、無(wú)線(xiàn)或Wi-Fi無(wú)線(xiàn)電供應(yīng)商必須公布設(shè)備驅(qū)動(dòng)程序和無(wú)線(xiàn)電固件的完整源代碼,以保持FCC合規(guī)性。這些源代碼應(yīng)該放在互聯(lián)網(wǎng)中可構(gòu)建的變更受控制的源代碼庫(kù)中,可供所有人審查和改進(jìn)。”

  2.“供應(yīng)商必須確保出廠時(shí)固件的安全升級(jí),并且,設(shè)備所有者擁有對(duì)更新流的最終控制權(quán)。然后,合規(guī)問(wèn)題就可以由路由器法律負(fù)責(zé)人來(lái)解決。”

  3.“在產(chǎn)品的保質(zhì)期,供應(yīng)商的業(yè)務(wù)周期或者在最后一次客戶(hù)出貨的5年內(nèi)(以較長(zhǎng)者為準(zhǔn)),供應(yīng)商必須持續(xù)提供源代碼流和二進(jìn)制更新,對(duì)違法法規(guī)以及常見(jiàn)漏洞和披露報(bào)告(CVE)在披露45天內(nèi)做出響應(yīng)。”

  4.不遵守這些規(guī)定的產(chǎn)品FCC將取消認(rèn)證,在嚴(yán)重的情況下,該供應(yīng)商的新產(chǎn)品都無(wú)法獲得FCC認(rèn)證。

  5.“此外,我們要求FCC審查和撤銷(xiāo)任何與開(kāi)源最佳做法沖突的規(guī)定,包括生產(chǎn)不可維護(hù)的硬件或者導(dǎo)致供應(yīng)商相信他們只能推出無(wú)正式文件的編譯代碼的“二進(jìn)制對(duì)象”或使用禁止用戶(hù)修復(fù)的鎖定機(jī)制。對(duì)于致力于最佳做法變更控制和安全關(guān)鍵系統(tǒng)糾錯(cuò)的互聯(lián)網(wǎng)社區(qū),這是一直存在的問(wèn)題。”

  這個(gè)建議是有道理的,從技術(shù)上來(lái)講,因?yàn)檫@些建議有利于開(kāi)源社區(qū)和整個(gè)信息安全。在另一方面,F(xiàn)CC對(duì)控制RF設(shè)備固件的修改進(jìn)行限制也是可以理解,因?yàn)檫@些設(shè)備上的攻擊可能非常具有破壞性。然而,F(xiàn)CC這樣的政府機(jī)構(gòu)無(wú)法看到大局觀以及這種法規(guī)可能帶來(lái)的意想不到的后果,這也并不奇怪。

  這里還有很多政治復(fù)雜因素。嚴(yán)格地從安全角度來(lái)看,通過(guò)防止未經(jīng)授權(quán)的修改來(lái)限制對(duì)5GHz頻帶Wi-Fi路由器的使用,似乎不是一個(gè)好方法,因?yàn)檫@樣的修改通常會(huì)在制造商的固件更新之前解決漏洞。在Wi-Fi路由器安全方面,這只會(huì)讓問(wèn)題變得更加嚴(yán)重。

  當(dāng)然,在理論上,大部分安全責(zé)任被放在Wi-Fi路由器制造商身上。但是,對(duì)于這種低成本且隨即可拋掉的設(shè)備,供應(yīng)商哪里有動(dòng)力來(lái)維持其安全性?所有使用過(guò)消費(fèi)類(lèi)Wi-Fi路由器的人都知道很少有固件更新,即使是臨時(shí)的安全修復(fù)也很少見(jiàn),這導(dǎo)致存在一些廣為人知的無(wú)線(xiàn)路由器漏洞。此外,依靠最終用戶(hù)來(lái)主動(dòng)鎖定設(shè)備也不太實(shí)際,我們需要有合理的方式來(lái)保持WiFi路由器得到安全檢查。如果這不能從供應(yīng)商開(kāi)始或者在用戶(hù)處結(jié)束,那么,這可能需要依靠第三方修復(fù),正如上文所述,還需要結(jié)合合理的標(biāo)準(zhǔn)和政策。

  企業(yè)應(yīng)該怎樣做以幫助減小Wi-Fi路由器帶來(lái)的風(fēng)險(xiǎn)呢?在當(dāng)今世界,政治家和官僚推行起反作用的技術(shù)議程,如果只是告知和教育人們?nèi)プ稣_的事情,這是不夠的,還應(yīng)該提供支持以及利用第三方,無(wú)線(xiàn)領(lǐng)域的開(kāi)源固件修復(fù)可能是更好的方法。另外,遠(yuǎn)程控制用戶(hù)的行為變得越來(lái)越困難,所以可能沒(méi)有一個(gè)很好的答案。無(wú)論如何,這都是值得關(guān)注的問(wèn)題。企業(yè)應(yīng)該跟進(jìn)FCC的這種決定對(duì)企業(yè)安全的影響。與此同時(shí),企業(yè)應(yīng)該商定標(biāo)準(zhǔn)化Wi-Fi路由器安全控制或?qū)彶楝F(xiàn)有標(biāo)準(zhǔn),然后想想如何在遠(yuǎn)程地點(diǎn)執(zhí)行這些標(biāo)準(zhǔn),特別是在用戶(hù)家里。



關(guān)鍵詞: FCC Wi-Fi

評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉