FCC thêm router tiêu dùng sản xuất ở nước ngoài vào ‘Covered List’

 (fcc.gov)
1 điểm bởi GN⁺ 29 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • FCC của Mỹ đã mới đưa router tiêu dùng được sản xuất ở nước ngoài vào ‘Covered List’
  • Biện pháp này cấm phê duyệt mẫu mới đối với các router liên quan
  • Bản cập nhật được thực hiện dựa trên đánh giá an ninh quốc gia của các cơ quan hành pháp Mỹ
  • FCC đã công bố các tài liệu liên quan thông qua thông cáo báo chí và thông báo chính thức dưới các định dạng DOCX·PDF·TXT
  • Quyết định lần này là phản ứng ở cấp liên bang nhằm tăng cường quản lý rủi ro bảo mật đối với thiết bị mạng tiêu dùng

FCC thêm router tiêu dùng sản xuất ở nước ngoài vào ‘Covered List’

  • FCC (Federal Communications Commission) đã mới đưa router tiêu dùng được sản xuất ở nước ngoài vào ‘Covered List’
    • Điều này đồng nghĩa với việc cấm phê duyệt các mẫu mới của các router này
  • Bản cập nhật được thực hiện theo đánh giá an ninh quốc gia của các cơ quan hành pháp Mỹ, trong đó nêu rõ các thiết bị này có khả năng gây ra mối đe dọa an ninh
  • FCC đã công bố nội dung liên quan dưới dạng thông cáo báo chí (News Release)thông báo chính thức (Public Notice), đồng thời cung cấp tệp DOCX·PDF·TXT
  • Tài liệu bao gồm liên kết đến FAQ cập nhật Covered List, hướng dẫn về các thay đổi quy định liên quan đến router sản xuất ở nước ngoài
  • Biện pháp lần này được công bố là phản ứng ở cấp liên bang nhằm tăng cường quản lý rủi ro bảo mật đối với thiết bị mạng tiêu dùng

Bài viết liên quan

1 bình luận

 
GN⁺ 29 ngày trước
Ý kiến trên Hacker News

  • FCC đang duy trì một danh sách thiết bị và dịch vụ gọi là “Covered List”. Gần đây, các cuộc tấn công lợi dụng lỗ hổng trên router cỡ nhỏ và router gia đình sản xuất ở nước ngoài đang gia tăng, nhưng bản chất vấn đề không nằm ở quốc gia sản xuất mà ở thực tiễn bảo mật tệ hại của nhà sản xuất. Vì các cơ quan chính phủ không bắt buộc firmware bảo mật nên các nhà sản xuất không có lý do để quan tâm. Cả FCC lẫn FTC đều bị ràng buộc bởi lợi ích chính trị hơn là bảo vệ người tiêu dùng, và rốt cuộc Mỹ đã tạo ra vô số thiết bị có bảo mật tồi tệ

    • “Firmware bảo mật” là một khái niệm tương đối. Thay vì đòi hỏi firmware hoàn hảo, điều quan trọng là cập nhật liên tục. Nhưng các nhà sản xuất thường ngừng hỗ trợ sau 3 năm, trong khi người tiêu dùng dùng tới 15 năm. Giải pháp là người tiêu dùng phải có quyền tự thay firmware. Như vậy dù công ty phá sản thì vẫn có thể thay bằng firmware mã nguồn mở, và bảo mật cũng cao hơn
    • Trớ trêu là nhiều thiết bị tiêu dùng lại được tích hợp cửa hậu với danh nghĩa “để xử lý sự cố”. Những vấn đề này không chỉ giới hạn ở hàng nước ngoài. Thời điểm duy nhất các cơ quan chính phủ thực sự quan tâm đến bảo mật là khi FBI muốn làm suy yếu mã hóa
    • Châu Âu sẽ áp dụng Cyber Resilience Act từ năm 2027 để bắt buộc mọi sản phẩm số đáp ứng các yêu cầu bảo mật tối thiểu. Nội dung bao gồm cấm mật khẩu mặc định được hard-code, cập nhật bảo mật tự động, mã hóa dữ liệu, v.v. Hiệu quả còn chưa rõ, nhưng bản thân nỗ lực này là tích cực
    • FCC chỉ quản lý nhiễu sóng vô tuyến, không phải cơ quan bảo vệ người tiêu dùng. FTC cũng xử lý thương mại không công bằng, chứ không có thẩm quyền về chất lượng bảo mật
    • Chỉ trích nhánh hành pháp là điều thường thấy, nhưng biện pháp lần này được hiểu theo nghĩa “biết rõ lỗ hổng mà vẫn để nguyên, rồi chỉ vá sau khi chính mình đã khai thác”. Dạo này thậm chí còn có cảm giác tự làm router còn tốt hơn

  • Điểm cốt lõi của thông báo lần này là router sản xuất ở nước ngoài về cơ bản sẽ bị cấm, nhưng vẫn có thể bán nếu nhận được Conditional Approval. FCC yêu cầu nhà sản xuất cung cấp thông tin về thẩm quyền pháp lý, xuất xứ linh kiện, kế hoạch cập nhật phần mềm, và kế hoạch mở rộng sản xuất tại Mỹ. Nói cách khác, ý đồ là dùng quy trình phê duyệt để thúc đẩy sản xuất trong nước

    • Nhưng trên thực tế, khả năng cao chỉ những công ty chịu chi payola mới được phê duyệt, còn những nơi khác sẽ bị chặn. Mô hình này đã thấy trong chính sách thuế quan
    • Trên giấy tờ thì trông rất ổn, nhưng trong thực tế có nguy cơ bị lạm dụng như công cụ mưu lợi riêng của nhánh hành pháp
    • Khó có thể kỳ vọng quy trình này sẽ được vận hành như một thủ tục kỹ thuật phi đảng phái, và cuối cùng nó sẽ trở thành cấu trúc “Pay-to-Play”
    • Rốt cuộc nó giống như cách tiếp cận “thuế quan không hiệu quả, vậy giờ hãy dùng cách khác để gây sức ép với đối tác thương mại”
    • Cũng có góc nhìn đầy mỉa mai rằng chỉ những công ty quyên góp cho các dự án cá nhân của Trump mới qua được

  • Cũng có lo ngại rằng động thái này có thể là điểm khởi đầu để xây dựng hệ thống giám sát. Nếu router sản xuất tại Mỹ bị buộc phải có chức năng truy cập từ xa dành cho chính phủ, thì cuối cùng mọi gia đình đều có thể bị nối vào mạng lưới giám sát. Ưu điểm duy nhất mà thương mại tự do bảo đảm là không một quốc gia đơn lẻ nào có thể giám sát toàn bộ người dân

    • Ví dụ, ứng dụng router Xfinity được cho là vừa có thêm tính năng “phát hiện chuyển động trong nhà qua WiFi”
    • Có cả câu đùa rằng nếu nối tiếp router Mỹ, Trung Quốc và Nga thì sẽ không bên nào có thể có quyền truy cập cửa hậu hoàn toàn
    • Nhưng trên thực tế, chuyện này có thể vượt xa giám sát đơn thuần, trở thành nền tảng cho kiểm soát Internet trong nước. Giống như trường hợp Iran, đó là cấu trúc cho phép chính phủ che giấu bạo lực bằng cách chặn thông tin

  • Nếu thực sự muốn có bảo mật, thay vì cấm thiết bị thì nên công khai firmware để có thể kiểm toán

    • Tuy nhiên, cửa hậu có thể bị giấu không phải trong firmware mà còn bên trong chip silicon. Vì việc xác minh hoàn toàn là không khả thi trong thực tế, nên bảo mật chuỗi cung ứng mới là trọng tâm. Nhưng động thái lần này trông giống công cụ vũ khí hóa thương mại của Trump hơn
    • Firmware mở khó thành công về mặt thương mại, nhưng các dự án như OpenWRT One là ví dụ tốt. Mẫu này do Software ConservancyBanana Pi hợp tác phát triển và hoạt động tốt
    • Tuy nhiên, do quy định của FCC nên người dùng khó có thể tự do sửa đổi thiết bị RF, và tồn tại ngoại lệ “Right to Repair”. Nếu Quốc hội không thay đổi điều này thì khó có tiến triển thực tế
    • Ngoài ra, người dùng phổ thông không thể xác minh firmware có khớp với mã nguồn hay không. Một chủ cửa hàng bình thường không có cách nào để kiểm tra điều đó

  • Phán quyết gần đây trong vụ Loper Bright Enterprises v. Raimondo (2024) đã làm suy yếu đáng kể thẩm quyền của FCC. Trong bối cảnh đó, có nghi vấn liệu biện pháp hạn chế router nước ngoài này có vượt qua được sự kiểm chứng pháp lý hay không

    • Có người chỉ trích rằng “Tòa án Tối cao thiên về Cộng hòa chỉ tăng cường quyền thu tiền hối lộ cho nhánh hành pháp”

  • Dù gọi là “cấm toàn bộ router tiêu dùng sản xuất ở nước ngoài”, người ta đặt câu hỏi liệu có tồn tại router sản xuất ở Mỹ hay không

    • Theo bài báo trên heise.de, gần như không có router nào được sản xuất trong nước Mỹ
    • Tuy vậy, các mẫu hiện có vẫn có thể tiếp tục được bán. Theo quy định “Covered List” của FCC, biện pháp lần này chỉ áp dụng với mẫu mới. Một số công ty cũng có thể nhập switch chưa có firmware rồi nạp lại firmware tại Mỹ
    • Ngay cả Cisco cũng không sản xuất tại Mỹ
    • Cũng có cách biến máy tính cỡ nhỏ như Raspberry Pi thành router
    • Cũng có ý kiến cho rằng biết đâu Starlink sẽ là ngoại lệ

  • Có thể FCC đang dùng biện pháp này để mở rộng quyền quản lý Internet. Có người nhắc lại thảo luận trước đó, nói rằng trước đây cũng từng có trường hợp tương tự

  • Với nhà sản xuất, giải pháp có thể là bán sản phẩm không phải dưới tên “router” mà là máy tính đa dụng. Đã có nhiều phần cứng có thể dùng làm NAS, firewall hoặc proxy server

    • Nhưng phần lớn người tiêu dùng vẫn muốn một sản phẩm hoàn chỉnh mang tên “router”. Những người thích thiết bị mạng DIY thì vốn đã làm như vậy rồi

  • Ngay cả khi công ty Trung Quốc sản xuất router tại nhà máy ở Mỹ thì rủi ro chuỗi cung ứng vẫn còn nguyên. Trên thực tế, thứ nguy hiểm hơn là các thiết bị IoT đã kết nối sẵn vào mạng gia đình. Biện pháp lần này được xem là một cử chỉ chính trị hơn là thay đổi thực chất

  • Kết lại, câu hỏi còn lại là: “rốt cuộc có bao nhiêu router tiêu dùng không phải hàng sản xuất ở nước ngoài?”