針對 FCC 新提出,用來規範射頻設備如 Wi-Fi 路由器的 ET Docket No. 15-170 提案,Dave Täht(Bufferbloat 計畫 的聯合創始人)、Vinton Cerf 博士(網際網路共同發明人),以及全球 260 多名網路和資訊安全專家,在提交給美國聯邦通信委員會(FCC)的請願書中,揭示一種新的方法以提高這些設備的安全性,確保更快、更好、更安全的網際網路。
這一份請願書是在對這一問題的公眾意見徵詢期程提交。
聯邦通訊委員會的前首席技術專家 Dave Farber 支持這一種新方式,他指出:「今天全球有數以億計安裝在住家或辦公室的 Wi-Fi 路由器存在嚴重軟體漏洞,很容易被犯罪分子利用。雖然我們同意 FCC 對這些設備的規範需要更新,我們相信 FCC 擬定的規則欠缺對設備製造商關鍵的課責機制。」
網際網路之父(TCP/IP 共同發明人),Google 高級副總裁兼首席網際網路技術傳教士 Vinton Cerf 博士表示:「我們無法承擔網路架構中的任何地方潰爛的代價。我們會提出這個建議,是因為無線頻譜不僅要負責任地分配,也要負責任地使用。透過要求在網路基礎建設上最起碼的開放性,我們能確保在早期就可以發現、修正任何錯誤或作弊行為。」
為了明顯改進課責機制,同時保持規定的原有目的,Dr. Paul Vixie、Dr. Sascha Meinrath、Dr. Nick Feamster、Jim Gettys、Dr. David P. Reed、Dr. Andreas Petlund、Jeff Osborn 和其他知名的產業專家連署,建議 FCC 啓動以下行動:
- 軟體定義無線電(SDR),無線或 Wi-Fi 的任何供應商必須公開完整、可維護的設備驅動程式和無線電韌體的原始碼,以確保符合 FCC 規範。原始碼應放在一個可建構、可追蹤變更(buildable, change-controlled)的原碼庫上,供所有人檢視與改進。
- 設備供應商必須保證設備在出廠時,其韌體的安全升級可以使用,並且設備的所有者有更新的最終控制權。進而透過將硬體符合規範的要求歸於使用者上,來解決規範相關的問題。
- 在產品的生命週期內或最後用戶拿到產品後的五年內(以較長時間為準),供應商必須提供持續提供原始碼和二進位更新,且必須在揭露後的 45 天內因應違規和 CVE 漏洞報告。
- 不遵守這些規定應導致現有產品的 FCC 認證失效,並在嚴重的情況下,不提供這些供應商新產品的認證。
- 此外,我們請求 FCC 審查和撤銷以下規定:與開放原始碼的實踐相衝突;產生不可維護的硬體;讓供應商相信他們只能提供沒有文件、編譯過的二進位韌體檔(binary blobs);使用上鎖機制禁止用戶上補丁。這是網際網路社群致力於對安全關鍵系統進行變更控制和糾錯的實踐時一直存在的問題。
完整的請願信和支持者列表請點此連結。
Bufferbloat 計畫的主席 Jim Gettys 表示:「我們對自由和開放的網際網路的奮鬥,遠早於廠商基於開源軟體的 Wi-Fi 家用路由器的發明和廣泛使用。我們正處在網際網路歷史上的一個重要轉捩點。FCC 有機會採取積極的行動,不只能提高這些設備的安全性和性能,也能影響廠商開發安全物聯網的方式,同時保持一個開放的網際網路。」
普林斯頓大學資訊技術政策中心代理主任 Nick Feamster 博士提到:「網路研究與創新在根本上取決於修改客戶端設備(CPE)的韌體,並在家用網路的實際環境中部署的能力。」
Farsight Security 首席執行官 Paul Vixie 博士說:「現在,網際網路基本上已形成了一個戰場,最終用戶、雇主、學校和供應商是我們的盟友,而政府與組織犯罪是我們的敵人。我們的家用閘道器通常被對手改造為攻擊我們的武器,因為這些小巧而廉價的塑膠盒子是無法上補丁的、是被其製造商拋棄的、是完全不透明的。這些設備是目前網際網路的頭號公敵。這項提議將能顯著淨化我們的技術供應鏈。」
LWN.net 執行編輯 Jonathan Corbet 說:「文件中的建議將有助於確保一個具有高性能、安全和符合標準的網際網路能走得更遠。」
IETF 領域總監 Ted Lemo 說:「隨著 Moon Worm、DNSchanger、Misfortune Cookie 的出現,再到現在大眾汽車醜聞的揭露,都說明,秘密的、上鎖的韌體是對網際網路安全性的一個明確而現實的威脅。」
CeroWrt 架構師,Bufferbloat 計畫共同創始人 Dave Täht 說:「如果我們提高韌體代碼品質、維護和升級的標準,我們可以完成 bufferbloat,特別是更好的 Wi-Fi,更快的部署 IPv6,提高安全性,並為所有人建立一個好得多的網際網路。」
如果您關心這個重要問題並同意我們的做法,請與其他人分享這一請願信。對於媒體的採訪要求或其他問題,請聯絡 [email protected]。
Bufferbloat 計畫是以個人身份加入的國際聯盟,其中很多人在網際網路和 Wi-Fi 的開發扮演重要的角色,他們深切關注未來網際網路基礎建設的健康、速度、安全。在 5 年的營運中,其主要工作是開發第三方韌體。Bufferbloat 計畫開創新的演算法,提高了安全和保障,協助制定新的標準,並努力使盡可能多的新理論和程式碼能為所有人所用。更多訊息,請訪問 http://www.bufferbloat.net。
Bufferbloat 計畫聯繫方式:
Karen Burke
+1 650-814-3764