Ho aspettato il momento giusto per rivedere alcune vecchie telecamere di sicurezza per interni negli ultimi mesi. Non si tratta del marchio (Blink) o delle fotocamere (che finora funzionano abbastanza bene!). È che ogni volta che mi preparo a scrivere su di loro, emergerebbero notizie come il recente attacco ransomware Ring o la rete insicura di Eufy, e prenderei a calci le recensioni delle mie telecamere di sicurezza lungo la strada.
Perché? Perché sono diventato sempre più a disagio nel raccomandare Qualunque telecamera di sicurezza quando sapere se il back-end è sicuro o meno è diventato qualcosa che solo i cacciatori di taglie di bug e i chiaroveggenti potrebbero tranquillamente dirti.
Quando recensisco un prodotto, cerco di essere il più pignolo possibile. Non perché voglio dare una recensione negativa, ma perché è mio compito andare oltre i comunicati stampa idealizzati e le schede tecniche per vedere le crepe sotto la superficie.
Una recensione positiva della telecamera di sicurezza significa che prendiamo la sua sicurezza interna per valore nominale, ma al giorno d'oggi è difficile fidarsi di *qualsiasi* società di sicurezza.
Puoi individuare Alcuni di quei problemi con una telecamera di sicurezza, ad esempio se la qualità del video o il rilevamento dell'intelligenza artificiale non superano l'esame. Ma anche con il migliori fotocamere possibili abbiamo testato e amato, c'è sempre lo spettro di qualche breccia sconosciuta in agguato all'orizzonte.
Non è qualcosa che io (o la maggior parte dei giornalisti di tecnologia) sono qualificato per rilevare. Con uno smartphone, possiamo testare la maggior parte del software e della sicurezza per noi stessi e gli utenti hanno il controllo quasi completo per bloccare o consentire alle app di rintracciarli. Con una telecamera di sicurezza, tutta la sicurezza dei dati viene gestita da remoto e possiamo solo prendere in parola l'azienda che sta proteggendo i tuoi dati in modo sicuro.
Il problema è che noi davvero non posso fidarsi ancora di una società di sicurezza per fornire una valutazione onesta della sua sicurezza informatica, se mai potessimo.
Indipendentemente dal fatto che siano specializzati in hardware o software, alle aziende piace LastPass o Eufy tendono a nascondere eventuali violazioni attive per mesi fino a quando non vengono rese pubbliche e quindi minimizzano la gravità con circostanze attenuanti e gergo tecnico.
Anche con l'azienda più sicura possibile, tutto ciò che serve è un errore di phishing o scarse garanzie presso una terza parte affiliato per trasformare la tua telecamera di sicurezza in un gateway per consentire a qualcuno di accedere ai tuoi feed domestici senza che tu lo sappia.
Un flusso infinito di incidenti inquietanti
Vice ha riferito la scorsa settimana che un fornitore di terze parti associato a Ring era stato colpito dal ransomware BlackCat; Ai dipendenti di Ring è stato detto "non discutere nulla di questo" e non possiamo ancora essere certi di quali dati degli utenti siano in linea se Amazon non paga.
Prima di quest'ultimo incidente, il ricercatore di sicurezza Paul Moore ha scoperto che le telecamere Eufy inviavano immagini degli utenti e dati di riconoscimento facciale al cloud a loro insaputa o consenso, che puoi trasmettere in streaming chiunquela telecamera privata di si alimenta da un browser Web e che la crittografia AES 128 di Eufy è stata facilmente violata perché utilizzava chiavi semplici.
Eufy ha risposto correggendo alcuni problemi e modificando le sue linee guida sulla privacy per garantire meno protezioni per i suoi utenti, a quel punto ti abbiamo consigliato butta via le tue fotocamere Eufy.
Rispetto alla portata epica della violazione della telecamera di Verkada, durante la quale È possibile accedere a 150.000 telecamere tramite una password principale, la maggior parte dei difetti pubblicamente noti con noti sistemi di sicurezza domestica erano relativamente minori e si sono verificati diversi anni fa. Ma c'è ancora motivo di preoccupazione.
In alcuni casi, come con Wyze, hanno nascosto una grande vulnerabilità con Wyze Cam v1 per tre anni finché Bitdefender non li ha esposti. Anche se "un utente malintenzionato esterno [potrebbe] accedere al feed della telecamera o eseguire codice dannoso per compromettere ulteriormente il dispositivo", Wyze si è giustificato dicendo che l'hacker avrebbe dovuto ottenere l'accesso al Wi-Fi di casa tua e ha corretto il problema nelle sue fotocamere più recenti.
Prima dell'incidente ransomware di Ring, si è trovato coinvolto in critiche quando una fonte ha detto a The Intercept che gli appaltatori di Ring potevano guardare i filmati dei clienti con nient'altro che un indirizzo email e che i dirigenti di Ring ritenessero che la crittografia dei filmati "avrebbe reso l'azienda meno preziosa".
Ring alla fine ha ceduto e crittografato le sue telecamere, ma attira ancora frequenti critiche per aver fornito filmati del campanello Ring alla polizia senza il consenso dell'utente.
Un tecnico ADT ha avuto accesso ai feed domestici 9.600 volte con il pretesto di testare i sistemi per spiare le clienti donne a loro insaputa, per Rivista sulla sicurezza. Brinks Home ha accidentalmente consentito ai clienti di accedere a nomi, indirizzi e numeri di telefono di altri utenti, ma ci sono voluti mesi per risolvere il problema dopo che un cliente li aveva avvertiti, riferisce Vendite di sicurezza.
Potrei continuare, oppure potresti facilmente cercare su Google la tua compagnia di sicurezza preferita, aggiungere "violazione" alla fine e vedere alcune storie inquietanti.
Accettare l'ignoto
Il mio punto generale è semplice: anche le società di sicurezza più famose con una crittografia apparentemente inespugnabile ce la faranno decisioni che rendono vulnerabili i tuoi dati privati o i tuoi feed domestici o assumi qualcuno che sfrutti il loro potere modi inquietanti. E una volta che l'azienda lo scopre, non c'è assolutamente alcuna garanzia lo farai scoprilo a meno che qualcuno non segnali o un esperto di sicurezza non si accorga del loro errore.
In questo ambiente, rivedendo allegramente Qualunque la telecamera di sicurezza dell'azienda nei suoi meriti e raccomandarla ai miei lettori mi sembra irresponsabile. È mio lavoro per farlo, e scriverò di Blink Indoor e Blink Mini una volta che sarà chiaro come la sua società madre gestisce l'attacco ransomware Ring.
Possiamo esaminare le telecamere di sicurezza in base ai loro meriti interni, ma non possiamo esaminare i fattori esterni che potrebbero minare tutto ciò che è utile in esse.
Ma così facendo, dovrò includere un grosso avvertimento che non so quale sia l'anello più debole di Blink (o di qualsiasi altra azienda): un impiegato senza scrupoli, un team di terze parti inaffidabile, una crittografia debole o qualcos'altro completamente - che potrebbe minare tutto ciò che è utile su quel dispositivo che sto raccomandando.
Nel frattempo, posso indirizzare le persone a telecamere di sicurezza con archiviazione locale per cercare di evitare di conservare le tue riprese private sui server aziendali (e risparmiare sulle tariffe mensili). Ma non è sempre una garanzia di sicurezza; Ad esempio, elogiavamo le fotocamere di Eufy come opzione di archiviazione locale prima che venissero alla luce i suoi numerosi problemi.