Čekao sam pravo vrijeme da pregledam neke stare unutarnje sigurnosne kamere zadnjih nekoliko mjeseci. Ne radi se o marki (Blink) ili kamerama (koje za sada rade prilično dobro!). Radi se o tome da bi se svaki put kad bih se pripremio pisati o njima pojavile vijesti poput nedavnog napada ransomwarea Ring ili Eufyjeve nesigurne mreže, a ja bih odmah izbacio svoje recenzije sigurnosnih kamera.
Zašto? Zato što mi je sve neugodnije preporučivati bilo koji sigurnosnu kameru kada saznanje je li backend siguran ili nije postalo nešto što vam samo lovci na bugove i vidovnjaci mogu sigurno reći.
Kada recenziram proizvod, nastojim biti što je moguće manje izbirljiv. Ne zato što želim dati lošu recenziju, već zato što je moj posao proći pokraj idealiziranih priopćenja za tisak i tehničkih listova kako bih vidio pukotine ispod površine.
Pozitivna recenzija sigurnosne kamere znači da njezinu unutarnju sigurnost uzimamo zdravo za gotovo, ali danas je teško vjerovati *bilo kojoj* sigurnosnoj tvrtki.
Možete uočiti
neki onih problema sa sigurnosnom kamerom, primjerice ako kvaliteta videa ili AI detekcija ne prođe provjeru. Ali čak i sa najbolje moguće kamere testirali smo i voljeli, uvijek postoji avet nekog nepoznatog kvara koji vreba na horizontu.To nije nešto što ja (ili većina tehnoloških novinara) nisam kvalificiran otkriti. S pametnim telefonom možemo sami testirati većinu softvera i sigurnosti, a korisnici imaju gotovo potpunu kontrolu da blokiraju ili omoguće aplikacijama da ih prate. Uz sigurnosnu kameru, sva ta sigurnost podataka obavlja se na daljinu, a tvrtki možemo samo vjerovati na riječ da sigurno štiti vaše podatke.
Problem je što mi stvarno ne mogu više vjerujte sigurnosnoj tvrtki da će dati poštenu procjenu svoje kibernetičke sigurnosti - ako bismo ikada mogli.
Bilo da su specijalizirani za hardver ili softver, tvrtke vole LastPass ili Eufy imaju tendenciju skrivati sva aktivna kršenja mjesecima dok se ne objave, a zatim umanjuju ozbiljnost olakotnim okolnostima i tehničkim žargonom.
Čak i uz najsigurniju moguću tvrtku, sve što je potrebno je jedna greška u krađi identiteta ili slaba zaštita kod treće strane affiliate kako biste svoju sigurnosnu kameru pretvorili u prolaz za nekoga da pristupi vašim izvorima sadržaja bez da vi to znate.
Neprestan niz uznemirujućih incidenata
Vice izvijestio je prošli tjedan da je dobavljač treće strane povezan s Ringom pogođen BlackCat ransomwareom; Zaposlenicima Ringa rečeno je da "ne razgovaraju o ovome", a mi još ne možemo biti sigurni koji su korisnički podaci na liniji ako Amazon ne plati.
Prije ovog posljednjeg incidenta, istraživač sigurnosti Paul Moore otkrio je da Eufy kamere šalju slike korisnika i podatke o prepoznavanju lica u oblak bez njihovog znanja ili pristanka, koje možete strujati bilo tkoPrivatna kamera prenosi podatke iz web-preglednika i da je Eufyjeva AES 128 enkripcija lako probijena jer je koristila jednostavne ključeve.
Eufy je odgovorio tako što je zakrpao neke probleme i uredio svoje smjernice o privatnosti kako bi zajamčio manje zaštite za svoje korisnike, u kojem smo vam trenutku preporučili bacite svoje Eufy kamere.
U usporedbi s epskim razmjerima provale kamere na Verkadi, tijekom koje Preko jedne glavne lozinke moglo se pristupiti 150.000 kamera, većina javno poznatih nedostataka kod dobro poznatih kućnih sigurnosnih sustava bili su relativno mali i dogodili su se prije nekoliko godina. Ali još uvijek ima razloga za brigu.
U nekim slučajevima, poput Wyzea, sakrili su veliku ranjivost s Wyze Cam v1 za tri godine dok ih Bitdefender nije razotkrio. Iako "vanjski napadač [može] pristupiti feedu kamere ili izvršiti zlonamjerni kod za daljnju kompromitaciju uređaja", Wyze opravdao se rekavši da bi haker trebao dobiti pristup vašem kućnom Wi-Fiju, i zakrpao je problem u svojim novijim kamerama.
Prije Ringovog incidenta s ransomwareom, našao se upleten u kritike kada je izvor za The Intercept rekao da Ringovi izvođači mogu gledati snimke kupaca s ništa osim adrese e-pošte i da su rukovoditelji Ringa smatrali da bi šifriranje snimke "učinilo tvrtku manje vrijednom".
Ring je na kraju popustio i šifrirao svoje kamere, ali i dalje privlači česte kritike jer je policiji dao Ringove snimke zvona na vratima bez pristanka korisnika.
ADT tehničar pristupio je kućnim feedovima 9600 puta pod krinkom testiranja sustava za špijuniranje ženskih kupaca bez njihovog znanja, po Časopis o sigurnosti. Brinks Home slučajno je kupcima dao pristup imenima, adresama i telefonskim brojevima drugih korisnika, no trebali su mjeseci da riješe problem nakon što ih je korisnik upozorio, izvještava Prodaja sigurnosti.
Mogao bih nastaviti, ili biste jednostavno mogli pretražiti svoju omiljenu zaštitarsku tvrtku na Googleu, dodati "kršenje" na kraju i vidjeti neke uznemirujuće priče.
Prihvaćanje nepoznatog
Moja opća poenta je jednostavna: uspjet će čak i popularne sigurnosne tvrtke s naizgled neosvojivom šifriranjem odluke koje ostavljaju vaše privatne podatke ili kućne feedove ranjivima — ili unajmite nekoga tko iskorištava njihovu moć u uznemirujuće načine. A kada ta tvrtka sazna, nema apsolutno nikakvog jamstva ti ćeš saznati o tome osim ako netko ne dojavi ili sigurnosni stručnjak ne shvati njihovu pogrešku.
U ovom okruženju, bezbrižno pregledavanje bilo koji sigurnosnu kameru tvrtke o svojim zaslugama i preporučiti je svojim čitateljima čini se neodgovornim. To je moja posao da to učinim, a ja ću pisati o Blink Indoor i Blink Mini kada bude jasno kako se njihova matična tvrtka nosi s napadom Ring ransomwarea.
Sigurnosne kamere možemo pregledati na temelju njihovih unutarnjih zasluga, ali ne možemo pregledati vanjske čimbenike koji bi mogli potkopati sve korisno u vezi s njima.
Ali pritom ću morati uključiti veliko upozorenje da jednostavno ne znam koja je Blinkova (ili bilo koje tvrtke) najslabija karika — beskrupulozni zaposlenik, nepouzdan tim treće strane, slaba enkripcija ili nešto sasvim drugo — što bi moglo potkopati sve korisno o tom uređaju koji sam preporučujući.
U međuvremenu, mogu uputiti ljude na sigurnosne kamere s lokalnom pohranom kako biste pokušali izbjeći čuvanje svoje privatne snimke na poslužiteljima tvrtke (i uštedjeli na mjesečnim naknadama). Ali to nije uvijek jamstvo sigurnosti; U konkretnom slučaju, hvalili smo Eufyjeve kamere kao opciju lokalne pohrane prije nego što su mnogi problemi izašli na vidjelo.