致美国联邦通信委员会（FCC）的关于强制Wi-Fi设备安全性和可更新的请愿书

在提交给美国联邦通信委员会（FCC）的请愿书中，Dave Täht (Bufferbloat项目的联合创始人)，Vinton Cerf博士(互联网之父之一），以及260多个全球网络和网络安全专家，针对射频设备如Wi-Fi路由器的ET Docket编号15-170中新提出FCC规范做出响应，提出一种新的方法以提高这些设备的安全性，确保更快，更好，更安全的互联网。

这一请愿书是在对这一问题的公众意见征询期提交的。

联邦通讯委员会的前首席技术专家Dave Farber，对这种新方法表示支持，并指出，“今天全球有数以亿计的存在严重软件缺陷的Wi-Fi路由器部署在住宅和办公室，这些路由器很容易被犯罪分子利用。虽然我们同意FCC的管理这些设备的规范需要更新，但我们认为，由FCC拟定的方案缺乏对设备制造商的关键问责制。“

“我们不能承受互联网的任何基础设施崩塌。我们提出这个建议是因为无线频谱不仅要负责任地分配，同时也要负责任地使用。通过要求在互联网边缘的技术上的最低限度的开放性，我们将确保在早期就发现和快速修复任何错误或欺骗，“互联网之父（TCP/IP共同发明人），google高级副总裁兼首席互联网顾问 Vinton Cerf博士指出。

为了显著改进问责制，同时保持规定的原有目的，Dr. Paul Vixie, Dr. Sascha Meinrath, Dr. Nick Feamster, Jim Gettys, Dr. David P. Reed, Dr. Andreas Petlund, Jeff Osborn和其他知名的行业专家共同签署，建议FCC启动以下行动：

1.软件定义无线电（SDR），无线或Wi-Fi的任何供应商必须公开完整和可维护的设备驱动程序和无线电固件的源代码，以保持FCC合规性。源代码应该是放在一个可持续构建，可追踪变更（buildable, change-controlled）的代码库上,并在互联网上供所有人查看和改进。

2.设备供应商必须保证设备在出厂前，其固件能得到安全升级，并且设备的所有者有更新流的最终控制权。从而，合规性问题就可以通过对于路由器合规性进行负责的人来进行修复。

3.供应商必须提供持续的源代码和二进制更新流，必须在45天内对披露的监管违反和常见漏洞报告作出回应。并在产品的生命周期内或者最终用户拿到产品后的五年内(以较长时间为准)，提供质保。

4.不遵守这些规定应导致现有产品的FCC认证失效，并在严重的情况下，不考虑这些供应商新产品的认证。

5.此外，我们请求FCC审查和撤销以下的规定：与开放源代码的实践相冲突；产生不可维护的硬件；或让供应商相信他们必须提供无记录“binary blobs”的编译代码，或使用锁定机制禁止用户打补丁。这是互联网界致力于对安全关键系统进行变更控制和纠错的实践时一直存在的问题。

有关完整的请愿信和支持者的完整列表，请访问这里：

http://huchra.bufferbloat.net/~d/fcc_saner_software_practices.pdf

“我们对自由和开放的互联网的奋斗远远早于基于开源软件的WiFi家用路由器的发明和广泛使用。我们正处在互联网历史上的一个重要转折点。美国联邦通信委员会(FCC)有机会采取积极的行动，不仅提高这些设备的安全性和性能，而且也影响厂商如何开发安全物联网，同时保持一个开放的互联网“，Bufferbloat项目的主席Jim Gettys如是说。

普林斯顿大学信息技术政策中心代理主任Nick Feamster博士提到，“网络研究与创新在根本上取决于修改客户端设备（CPE）的固件，并在家庭网络实际环境中对其进行部署的能力。”

“现在，互联网基本上已经形成了一个战场，最终用户、雇主、学校和供应商是我们的盟友，而政府和有组织的犯罪是我们的敌人。我们的家庭网关通常是被我们的对手改造为针对我们的武器，因为这些小巧而廉价的塑料盒是无法打补丁的，是被其制造商抛弃的、是完全不透明的。这些设备是目前互联网的头号公敌。这项提议将能显著净化我们的技术供应链。“Farsight Security公司首席执行官Paul Vixie博士说。

“文档中的建议将大大有助于确保一个具有高性能，安全和符合监管标准的互联网走的更远，” LWN.net执行编辑Jonathan Corbet说。

“随着对”Moon Worm“，”DNSchanger，’和’Misfortune
Cookie“,再到现在的大众丑闻的揭露，都说明秘密的、锁定的固件是对互联网的安全性的一个明确而现实的威胁。”IETF领域总监Ted Lemo说。

“如果我们提高固件代码质量，以及维护和升级的标准，我们就可以完成bufferbloat，特别是在无线网络连接，更快的部署IPv6，提高安全性，并为所有人建立一个好得多的互联网，”CeroWrt构架师，Bufferbloat项目联合创始人Dave Täht表示。

如果您关心这个重要问题并同意我们的做法，请与其他人分享这一请愿信。对于媒体的采访要求或其他问题，请联系media@bufferbloat.net。

关于Bufferbloat项目

Bufferbloat项目是一个由独立个人加盟组成的国际联盟。这些人中很多是有助于推动互联网和WiFi的开发的，他们深切关注未来的健康，速度，以及安全的互联网边缘。在5年的运营中以及相当长时间的第三方固件开发维护中，Bufferbloat开创了新的算法，提高了安全和保障，帮助制定新的标准，并努力使尽可能多的新理论和代码的能为所有人使用。更多信息可访问 http://www.bufferbloat.net 。Bufferbloat项目联系方式: Karen Burke，+1 650-814-3764