誰來把關？從Maxtor內含木馬談資訊產品品質安全

硬碟藏木馬 令人嘩然
11月初，本地平面媒體罕見地以頭版頭條方式報導這則資安新聞，斗大標題「全新硬碟被植木馬，個人資料瞬間流向北京」令人怵目驚心。

這起事件不僅本地媒體報導，經《Taipei times》同步刊登後，也出現在其他國外IT媒體網站上。頓時，引發國內外各大論壇網友議論紛紛，原廠Seagate形象大受打擊。雖然Seagate官方網站上已做出聲明，約略說明調查結果及處理方式：該聲明指出有問題的貨源來自一家中國轉包商，某位Seagate員工在癮科技網站上發表文章指出，是工廠某位員工的MP3播放器中毒後感染到工廠系統所導致。目前消費者可憑產品序號查詢是否為受感染貨品，Seagate網站上也提供60天防毒軟體試用版。此外，網站上還指出這隻木馬程式Win32.AutoRun.ah主要是盜竊線上遊戲帳號密碼，危害程度低。


「感染途徑」若遭利用，陰謀論恐成真
看起來這隻木馬並不如報導所言會外洩個人資料，使電腦資料「全都露」。真有陰謀論的話，應該不會是放這隻在5月就已經被發現的「老」木馬，許多防毒軟體也都能偵測得出。然而這樣在生產過程中，因為工廠系統遭受感染而間接使貨品感染，即可輕易對外散佈惡意程式的例子，讓人深覺現今所處環境處處充滿病毒陷阱。如果此一「感染途徑」遭有心人士加以利用，難保報導所言的陰謀論不會發生。

此一事件凸顯出資訊產品的品質控管疏失，以及政府相關機構為消費者進行產品安檢的把關是否適宜。儘管資訊產品不若食品，吞下肚出問題恐怕會出人命。然客觀而言，現下許多資訊產品的生產製造工廠均在國外，尤其中國。也許這次出問題的是外接式硬碟，那麼其他如MP3播放器或內嵌晶片的主機板呢？

有關當局不能將此視為偶一事件，Seagate的例子既不是空前恐怕也不會絕後。早在2006年10月，就曾傳出過日本麥當勞舉辦行銷活動的贈品MP3播放器內含木馬程式。這批1萬台委由中國代工廠商生產的MP3播放器，全都感染了QQPass木馬，後來日本麥當勞也只得全部回收、道歉了事；同年9月，蘋果電腦也曾因為代工廠商的緣故，使部分Video iPod在出貨時挾帶了W32/RJump.worm病毒。而更早之前則發生過某市售軟體的光碟母片，送去工廠進行壓片的過程中感染病毒，使得整批光碟全部染毒，後來也只回收換貨草草處理。

可見在資訊產品已幾乎快成為民生必需品的今天，有關當局應設法讓廠商更加注意品質控管的問題與責任，包括消費者因為問題商品使個人電腦感染病毒甚至造成資料外洩、身分竊取等損失時，應循何管道求償？還是只能摸摸鼻子自己掃毒，接受換貨、退貨等處置？



資訊產品安全品質需有人把關
放眼望去政府相關部門，現階段沒有直接負責單位，消費者只能自求多福。因為目前資訊產品的檢驗業務歸在經濟部標準檢驗局電子類產品底下的，只有檢驗EMC安規、是否有電磁干擾等項目，至於產品裡面是否含有危害電腦安全的木馬程式等，則不在標檢局的檢驗範圍內。據了解，國安單位有探討相關問題，然而由於現階段沒有具體規範，因此政府單位之間彼此並沒有資訊共享。

另方面，目前國內資訊安全產品檢測業務歸屬在NCC（國家通訊傳播委員會）底下，負責該業務的技術認證及資通安全科表示，目前該科大部分所接受的檢驗產品屬於無線電通訊設備，而資訊安全類者，目前僅受理國內資安產業有較多發展的智慧卡與防火牆兩項產品。

至於未來是否有可能考慮規劃可攜式硬碟等週邊產品的檢測，NCC認可的檢驗實驗室－財團法人電信技術中心經理林家弘表示，由於建置符合國際規範的共同準則(Common Criteria)檢測實驗室的投入成本相當龐大，而技術中心礙於經費關係，初期僅先以智慧卡及防火牆產品，作為第一階段受理的產品檢測項目，此二類產品可測試達EAL4 (Evaluation Assurance Level 4)的等級，至於其他類產品技術中心也已具備EAL1及EAL2之評估能力，只是礙於國內無強制要求該產品需進行檢測之規定，因此目前其他產品檢測的規劃。

總之，不管是有心無心，資訊產品內含惡意程式的品管疏失問題值得有關單位注意。別讓境外輸入的資訊產品成為另一國安漏洞，尤其在中國已成為世界工廠的此刻。然而我們深信要喚醒政府正視此一問題還有一段時間，沒有直接負責把關的單位，消費者只能靠自己的力量。最基本的就是任何新購買的3C商品在連接自己的電腦之前必須先掃毒，至少可以先過濾掉誤植入的已知病毒。甚至集結消費者力量，抵制消極處理問題的廠商，嚴重影響商譽的後果將讓廠商明白做好品質把關的重要性。