ABD yönlendirici yasağını uzattı | çevrimiçi

Mart ayından bu yana ABD, tüketici pazarı için yurt içinde üretilen yeni yönlendirici modellerini yasakladı. Çünkü durum böyle olmayacak, istisnalar var. Bazıları o kadar çabuk verildi ki, resmi gerekliliklerin karşılandığını hayal etmek bile zor. Bu arada Federal İletişim Komisyonu (FCC) yasağın kapsamını genişletiyor ancak yeni belirsizlikler yaratıyor.

ABD yasağının merkezinde, adı açıklanmayan ABD istihbarat teşkilatlarının “tüketici sınıfı yönlendiricilerin” ABD'nin ulusal güvenliği veya ABD'li kişilerin güvenliği için kabul edilemez bir risk oluşturduğuna dair gizli bir bulgu var. Yayınlanan bir özet, tanım gereği yerli yönlendirici olmadığından, tümü yabancı yönlendiriciler aracılığıyla yönlendiriciler aracılığıyla gerçekleştirilen BT saldırılarına atıfta bulunuyor. Halihazırda onaylanmış modeller kullanılmaya ve satılmaya devam edilebilir. Yazılımınız ve donanım yazılımınız yalnızca 1 Mart'a kadar ve yalnızca güvenlik veya uyumluluk amacıyla güncellenebilir.

Şeytan ayrıntıda gizlidir ve FCC önemli soruları cevapsız bırakmıştır. Geçen hafta yetkililer bazı sık sorulan soruların yanıtlarını (SSS) yayınladı. Çoğu durumda konu işin özüne iner: “Tüketici sınıfı yönlendirici” tam olarak nedir ve ne değildir? Çünkü açıkça bir liste yok.

KOBİ'lere yönelik yönlendiricilere genişleme

25 SSS'nin 24'ünde yer alan küçük bir tablo, hem “tüketici” hem de “küçük ve orta ölçekli işletme yönlendiricilerinin” dahil edildiğini belirterek şaşırtıcıdır. Bu yenidir ve 8. “Yönlendiriciler nasıl tanımlanır?” sorusunun cevabıyla çelişmektedir. Daha önce olduğu gibi otorite, standartlar enstitüsü NIST'in (Ulusal Standartlar ve Teknoloji Enstitüsü'nün İç Raporu 8425A) sunduğu güvenlik önerilerine atıfta bulunuyor; bu öneriler, “öncelikle konutlarda kullanıma yönelik olan ve müşteri tarafından kurulabilen tüketici düzeyinde ağ oluşturma aygıtlarına”, yani “temel olarak evlerde kullanılması amaçlanan ve tüketici tarafından kurulabilen tüketici pazarına yönelik ağ oluşturma aygıtlarına” atıfta bulunuyor.

Bu tür cihazlar küçük şirketler tarafından da kullanılıyor; Ancak “iş amaçlı yönlendiriciler”, tüketici olmayanlar tarafından da kullanılan “tüketici” yönlendiricilerden farklı bir şeydir. Öyle düşünülebilir.

En azından tablo, Wi-Fi erişim noktalarına sahip cep telefonlarının yasağın kapsamına girmediğini açıkça ortaya koyuyor; ancak mobil iletişim için saf veri modemleri, ister sabit ister mobil olsun (örneğin bir Wi-Fi erişim noktası ile). Bu farklılaşmanın belirgin bir teknik nedeni yoktur. Yönlendiricili kablolu modemler ve ISP veya bir profesyonel tarafından evlere kurulan yönlendiriciler de yasağa tabidir. Ancak küçük cep telefonu hücreleri (femto hücreler), fiber optik terminaller ve Ethernet soketli analog telefon adaptörleri hariçtir.

Ne kaydedilir?

25. sorunun yazarı muhtemelen umutsuzca bir kılavuz arıyordu: Bir cihazın “tüketici sınıfı yönlendirici” olup olmadığını belirleyen bir gösterge listesi, tüm koşulların testi veya NIST IR 8425A'dan bağımsız seviye bazlı kriterler var mı? Cevap: “Hayır.” FCC yine NIST IR 8425A'ya, bu kez de Ek C'ye atıfta bulunmaktadır. Bu durum tüm netliği ortadan kaldırmaktadır.

Çünkü Ek C esas olarak yönlendiricilerin trafiğe nasıl girdiğiyle ilgilidir (spoiler: satın alın veya kiralayın!). Aksi takdirde, “tüketici sınıfı” cihazların evlerde bulunabileceğini ve bunların asıl amacının “kurumsal, endüstriyel vb.” için değil, orada kullanılmak olduğunu, ancak küçük işletmelerin de tüketici sınıfı cihazları kullanabileceğini belirtirken çok az yenilik söylüyor. Ayrıca tüketici sınıfı cihaz üreticileri, kullanıcının BT güvenliği alanında uzmanlığa sahip olduğunu veya ürünü güvence altına almak için önemli önlemler alabileceğini varsayamaz.

Dört üçüncü taraf belgeye yapılan atıflar aşağıdadır: ikisi endüstri birliklerinden ve birer tanesi Singapur düzenleyici otoritesinden ve Alman Federal Bilgi Güvenliği Bürosundan (BSI TR-03148). Dört kişiden yalnızca Singapur, İnternet sağlayıcısı tarafından kiralanan yönlendiricileri güvenlik tekliflerinin dışında tutuyor. Bu dört komitenin güvenlik önerileri FCC veya muafiyetler açısından hiçbir rol oynamamaktadır.