FCC合規或可導致Wi-Fi路由器安全問(wèn)題？

　　最近，幾百名互聯(lián)網(wǎng)專(zhuān)業(yè)人士聯(lián)名致信美國聯(lián)邦通信委員會(huì )(FCC)，反對該機構新提出的Wi-Fi無(wú)線(xiàn)電射頻合規要求，該要求不允許對5GHz頻段運行的Wi-Fi路由器進(jìn)行未經(jīng)授權的更新。為了更好地控制即將到來(lái)的物聯(lián)網(wǎng)發(fā)展，FCC建議規章制定通知(NoticeofProposedRule)通告如下：

　　“在5.15-5.35GHz和5.47-5.85GHz頻段U-NII設備認證的申請必須包括對安全程序的詳細運作說(shuō)明，這些安全程序應可控制無(wú)線(xiàn)電射頻運行參數以及確保無(wú)法進(jìn)行未經(jīng)授權的修改。”

　　而由DaveT?ht和VintCerf領(lǐng)導的這組人員反對這些變更，他們聲稱(chēng)，如果FCC提議通過(guò)，這將會(huì )扼殺創(chuàng )新，并限制對Wi-Fi路由器中固件的升級或阻礙使用開(kāi)源組件(例如OpenWrt、DD-WRT等)，這樣做弊大于利。這種方法還會(huì )給安全、FCC合規帶來(lái)問(wèn)題以及與擁有和管理Wi-Fi路由器相關(guān)的問(wèn)題。與此同時(shí)，該小組提出了另一種方法來(lái)確保Wi-Fi路由器安全和FCC合規，包括以下幾點(diǎn)：

　　1.“所有SDR(軟件定義無(wú)線(xiàn)電)、無(wú)線(xiàn)或Wi-Fi無(wú)線(xiàn)電供應商必須公布設備驅動(dòng)程序和無(wú)線(xiàn)電固件的完整源代碼，以保持FCC合規性。這些源代碼應該放在互聯(lián)網(wǎng)中可構建的變更受控制的源代碼庫中，可供所有人審查和改進(jìn)。”

　　2.“供應商必須確保出廠(chǎng)時(shí)固件的安全升級，并且，設備所有者擁有對更新流的最終控制權。然后，合規問(wèn)題就可以由路由器法律負責人來(lái)解決。”

　　3.“在產(chǎn)品的保質(zhì)期，供應商的業(yè)務(wù)周期或者在最后一次客戶(hù)出貨的5年內(以較長(cháng)者為準)，供應商必須持續提供源代碼流和二進(jìn)制更新，對違法法規以及常見(jiàn)漏洞和披露報告(CVE)在披露45天內做出響應。”

　　4.不遵守這些規定的產(chǎn)品FCC將取消認證，在嚴重的情況下，該供應商的新產(chǎn)品都無(wú)法獲得FCC認證。

　　5.“此外，我們要求FCC審查和撤銷(xiāo)任何與開(kāi)源最佳做法沖突的規定，包括生產(chǎn)不可維護的硬件或者導致供應商相信他們只能推出無(wú)正式文件的編譯代碼的“二進(jìn)制對象”或使用禁止用戶(hù)修復的鎖定機制。對于致力于最佳做法變更控制和安全關(guān)鍵系統糾錯的互聯(lián)網(wǎng)社區，這是一直存在的問(wèn)題。”

　　這個(gè)建議是有道理的，從技術(shù)上來(lái)講，因為這些建議有利于開(kāi)源社區和整個(gè)信息安全。在另一方面，FCC對控制RF設備固件的修改進(jìn)行限制也是可以理解，因為這些設備上的攻擊可能非常具有破壞性。然而，FCC這樣的政府機構無(wú)法看到大局觀(guān)以及這種法規可能帶來(lái)的意想不到的后果，這也并不奇怪。

　　這里還有很多政治復雜因素。嚴格地從安全角度來(lái)看，通過(guò)防止未經(jīng)授權的修改來(lái)限制對5GHz頻帶Wi-Fi路由器的使用，似乎不是一個(gè)好方法，因為這樣的修改通常會(huì )在制造商的固件更新之前解決漏洞。在Wi-Fi路由器安全方面，這只會(huì )讓問(wèn)題變得更加嚴重。

　　當然，在理論上，大部分安全責任被放在Wi-Fi路由器制造商身上。但是，對于這種低成本且隨即可拋掉的設備，供應商哪里有動(dòng)力來(lái)維持其安全性?所有使用過(guò)消費類(lèi)Wi-Fi路由器的人都知道很少有固件更新，即使是臨時(shí)的安全修復也很少見(jiàn)，這導致存在一些廣為人知的無(wú)線(xiàn)路由器漏洞。此外，依靠最終用戶(hù)來(lái)主動(dòng)鎖定設備也不太實(shí)際，我們需要有合理的方式來(lái)保持WiFi路由器得到安全檢查。如果這不能從供應商開(kāi)始或者在用戶(hù)處結束，那么，這可能需要依靠第三方修復，正如上文所述，還需要結合合理的標準和政策。

　　企業(yè)應該怎樣做以幫助減小Wi-Fi路由器帶來(lái)的風(fēng)險呢?在當今世界，政治家和官僚推行起反作用的技術(shù)議程，如果只是告知和教育人們去做正確的事情，這是不夠的，還應該提供支持以及利用第三方，無(wú)線(xiàn)領(lǐng)域的開(kāi)源固件修復可能是更好的方法。另外，遠程控制用戶(hù)的行為變得越來(lái)越困難，所以可能沒(méi)有一個(gè)很好的答案。無(wú)論如何，這都是值得關(guān)注的問(wèn)題。企業(yè)應該跟進(jìn)FCC的這種決定對企業(yè)安全的影響。與此同時(shí)，企業(yè)應該商定標準化Wi-Fi路由器安全控制或審查現有標準，然后想想如何在遠程地點(diǎn)執行這些標準，特別是在用戶(hù)家里。