硅谷的界线
这一举动让大部分网络产业措手不及,美国联邦通信委员会宣布将不再为美国以外制造的路由器颁发新的设备授权。该裁决不会遗留追溯地撤销之前批准的外国制造设备——消费者和企业仍可购买已获FCC批准的硬件——但它有效地冻结了新外国网络设备进入美国市场的管道。
这一决定标志着华盛顿为防止潜在外国利用而加固国家通信基础设施的持续努力中最具侵略性的举措之一。路由器是家庭和企业网络的隐形骨干,指导流量、执行安全策略,在许多情况下处理敏感数据。多年来,安全研究人员和情报官员一直警告称,来自某些外国制造商的硬件可能携带隐藏的后门或被敌对国家行为体远程操纵。
禁令背后的安全案例
FCC的行动是基于多年来针对外国电信硬件的监管攻势。该委员会之前禁止了华为和中兴的设备,理由是FBI和网络安全与基础设施安全局证实的可信国家安全威胁。这些早期禁令针对的是蜂窝基础设施设备。这项新的路由器裁决将这种逻辑扩展到消费者和小企业网络层——几乎坐在每个美国家庭和办公室内的硬件。
安全官员长期以来已指出路由器级别妥协的风险。与通常可以远程修补的软件漏洞不同,嵌入在路由器固件或芯片组中的硬件后门极其难以检测,不物理更换设备就几乎不可能补救。被妥协的路由器可以拦截未加密的流量、将用户重定向到恶意服务器,或成为针对高价值网络的间谍活动的持久立足点。
FCC没有公开指名新禁令的目标制造商,但裁决的广泛性——涵盖所有非美国制造的路由器,而不仅仅是来自指定实体的路由器——表明该委员会正从逐案黑名单方法转向网络边缘外国硬件的结构性排斥。
谁受伤害,谁受益
直接影响最严重地影响了依赖主要在亚洲制造的廉价网络硬件的消费者和小企业。主要的路由器品牌包括TP-Link、Asus和Netgear,严重依赖中国和台湾的制造设施。TP-Link拥有美国消费者路由器市场的显著份额,也曾面临国会调查人员的安全审查,面临特别严重的中断风险。
总部位于美国且拥有国内制造能力的公司——在网络硬件领域相对较少——可能会看到需求大幅增长。Cisco在美国制造其企业网络设备的大部分,以及少数较小的美国供应商可能受益于强制市场重组。然而,分析师指出,大规模的消费级国内制造目前不存在,需要多年才能建立。
作为服务包一部分向订户提供路由器的互联网服务提供商面临直接的采购困难。运营商需要审计现有库存、重新谈判供应商合同,在某些情况下需要寻求临时批准或豁免,同时建立符合要求的供应链。
预期行业和法律反弹
该裁决可能面临法律挑战。代表电子制造商的贸易团体之前主张,基于原产国而非特定产品中表现出的安全缺陷的广泛设备禁令,违反了世界贸易组织规则和国内行政法标准。反对者可能主张,FCC通过有效实施进口限制超越了其法定权限——这种权力传统上属于国会和行政部门通过贸易政策机制。
民权和消费者倡导组织也提出了担忧,即禁令虽然以安全为框架,但可能成为保护主义机制,在不能有意义地改善安全成果的情况下提高美国家庭的价格。他们主张,对所有路由器进行严格的独立验证的安全认证要求——无论来源如何——将在不扭曲市场的情况下获得更大的安全利益。
更大的图景:硬件作为国家安全前沿
FCC路由器禁令反映了华盛顿如何概念化国家安全周边的更广泛转变。在过去的十年中,网络安全政策主要关注软件:保护操作系统、修补漏洞、加强应用程序。这种方法假设硬件是一个已解决的问题,或至少是一个独立的问题。复杂供应链攻击的揭示——最值得注意的是在服务器硬件中发现的报告植入物和国家赞助的行为体对网络设备的记录妥协——已打破了这一假设。
硬件安全现在稳固地位于国家安全议程上。除了路由器,类似的审查越来越多地应用于半导体、蜂窝调制解调器、工业控制系统和卫星通信终端。FCC的举动可能是一个预览,预示了建立国内制造要求或严格第三方安全认证制度的更广泛推动,跨越构成美国通信基础设施的整个硬件堆栈。
禁令最终是否达到其安全目标或简单地以对现有者有益的方式重新调整供应链而不解决基本漏洞仍有待观察。显而易见的是,将网络硬件视为商品采购决策的时代——纯粹由价格和可用性管理——正在走向终结。
本文基于Gizmodo的报道。阅读原始文章。
Originally published on gizmodo.com
