ABD yönlendirici yasağını uzattı | merhaba çevrimiçi

Mart ayından bu yana Amerika Birleşik Devletleri, tüketici pazarı için yurt içinde üretilen yeni yönlendirici modellerini yasakladı. Durum böyle olmayacağından istisnalar vardır. Bazıları o kadar çabuk verildi ki, resmi gerekliliklerin karşılandığını hayal etmek bile zor. Bu arada Federal İletişim Komisyonu (FCC) yasağın kapsamını genişletiyor ancak yeni belirsizlikler yaratıyor.

ABD yasağının merkezinde, adı açıklanmayan ABD istihbarat teşkilatlarının “tüketici sınıfı yönlendiricilerin” ABD ulusal güvenliği veya ABD'li kişilerin güvenliği için kabul edilemez bir risk oluşturduğuna dair gizli bir bulgu var. Yayınlanan bir özet, tanım gereği ulusal yönlendiriciler olmadığından, tümü yabancı yönlendiriciler aracılığıyla yönlendiriciler aracılığıyla gerçekleştirilen siber saldırılara atıfta bulunur. Halihazırda onaylanmış modeller kullanılmaya ve satılmaya devam edilebilir. Yazılım ve donanım yazılımı yalnızca 1 Mart'a kadar ve yalnızca güvenlik veya uyumluluk nedeniyle güncellenebilir.

Şeytan ayrıntıda gizlidir ve FCC önemli soruları cevapsız bırakmıştır. Geçen hafta yetkili makam bazı sık sorulan soruların yanıtlarını (SSS) yayınladı. Çoğu durumda meselenin özüne iniyor: “Tüketici sınıfı yönlendirici” tam olarak nedir ve ne değildir? Çünkü açıkça bir liste yok.

KOBİ'lere Yönelik Yönlendiricilere Genişleme

25 SSS'nin 24. bölümündeki küçük bir tablo, hem “tüketici” yönlendiricilerinin hem de “küçük ve orta ölçekli işletme yönlendiricilerinin” dahil edildiğini belirtmesi açısından şaşırtıcıdır. Bu yenidir ve 8. “Yönlendiriciler nasıl tanımlanır?” sorusunun cevabıyla çelişmektedir. Daha önce olduğu gibi otorite, standartlar enstitüsü NIST'in (Ulusal Standartlar ve Teknoloji Enstitüsü İç Raporu 8425A) güvenlik tavsiyelerine atıfta bulunmaktadır; bu tavsiyeler, “öncelikle konut kullanımı için tasarlanan ve tüketici tarafından kurulabilen tüketici sınıfı ağ cihazları” – yani “temel olarak evde kullanım için tasarlanan ve tüketici tarafından kurulabilen tüketici pazarına yönelik ağ cihazları” anlamına gelir.

Bu cihazlar küçük şirketler tarafından da kullanılıyor; Ancak “iş amaçlı yönlendiriciler”, tüketici olmayanlar tarafından da kullanılan “tüketici” yönlendiricilerden farklı bir şeydir. Sen öyle düşünebilirsin.

En azından tablodan, Wi-Fi bağlantı noktalarına sahip cep telefonlarının yasağa tabi olmadığı, ancak mobil iletişim için saf veri modemlerinin, ister sabit ister mobil (örneğin, WiFi erişim noktası ile) yasağa tabi olduğu açıktır. Bu farklılaşmanın belirgin bir teknik nedeni yoktur. Yönlendiricili kablolu modemler ve evlere ISP veya bir profesyonel tarafından kurulan yönlendiriciler de yasağa tabidir. Ancak, küçük cep telefonu hücreleri (femtocell'ler), fiber optik terminaller ve Ethernet soketli analog telefon adaptörleri hariçtir.

Ne kaydedilir?

25. sorunun yazarı muhtemelen umutsuzca bir kılavuz arıyordu: Bir cihazın “tüketici sınıfı yönlendirici” olup olmadığını belirleyen bir gösterge listesi, tüm koşullar testi veya NIST IR 8425A'dan bağımsız seviye bazlı kriterler var mı? Cevap: “Hayır.” FCC yine NIST IR 8425A'ya, bu kez de Ek C'ye atıfta bulunmaktadır. Bu, her türlü netliği ortadan kaldırmaktadır.

Çünkü Ek C çoğunlukla yönlendiricilerin trafiğe nasıl girdiğiyle ilgilidir (spoiler: satın alın veya kiralayın!). Aksi takdirde, “tüketici seviyesi” cihazların evlerde bulunabileceğini ve bunların asıl amacının “işletme, sanayi vb.” için değil, orada kullanılmak olduğunu, küçük işletmelerin de tüketici seviyesi cihazları kullanabileceğini söylerken yeni bir şey söylemiyor. Ayrıca tüketici cihazı üreticileri, kullanıcının siber güvenlik konusunda deneyime sahip olduğunu veya ürünü korumak için anlamlı adımlar atabileceğini varsayamaz.

Bunu dört üçüncü taraf belgeye yapılan atıflar takip ediyor: ikisi endüstri birliklerinden ve biri sırasıyla Singapur Düzenleme Otoritesi ve Alman Federal Siber Güvenlik Ofisi'nden (BSI TR-03148). Dört kişiden yalnızca Singapur, İnternet sağlayıcılarından kiralanan yönlendiricileri güvenlik tekliflerinin dışında tutuyor. Bu dört komitenin güvenlik tavsiyelerinin FCC veya muafiyetler açısından hiçbir rolü yoktur.