Ik heb de afgelopen maanden gewacht op het juiste moment om enkele oude beveiligingscamera's voor binnen te bekijken. Het gaat niet om het merk (Blink) of de camera's (die tot nu toe best goed werken!). Het is dat elke keer dat ik me voorbereidde om over hen te schrijven, nieuws zoals de recente Ring-ransomware-aanval of het onveilige netwerk van Eufy naar voren zou komen, en ik zou mijn beoordelingen van beveiligingscamera's op de lange baan schoppen.
Waarom? Omdat ik me steeds ongemakkelijker voel bij het aanbevelen elk beveiligingscamera wanneer u weet of de backend al dan niet veilig is, is iets geworden dat alleen bug premiejagers en helderzienden u veilig kunnen vertellen.
Als ik een product review, probeer ik zo muggenzifterig mogelijk te zijn. Niet omdat ik een slechte recensie wil geven, maar omdat het mijn taak is om voorbij de geïdealiseerde persberichten en specificatiebladen te gaan om de scheuren onder de oppervlakte te zien.
Een positieve beoordeling van de beveiligingscamera betekent dat we de interne beveiliging voor de gek houden, maar het is tegenwoordig moeilijk om * een * beveiligingsbedrijf te vertrouwen.
Je kunt spotten sommige van die problemen met een beveiligingscamera, bijvoorbeeld als de videokwaliteit of AI-detectie niet voldoet. Maar ook met de best mogelijke camera's we hebben getest en geliefd, er is altijd het spook van een onbekende bres op de loer aan de horizon.
Dat is niet iets dat ik (of de meeste technische journalisten) kan detecteren. Met een smartphone kunnen we de meeste software en beveiliging zelf testen, en gebruikers hebben bijna volledige controle om apps te blokkeren of in te schakelen om ze te volgen. Met een beveiligingscamera wordt al die gegevensbeveiliging op afstand afgehandeld, en we kunnen het bedrijf alleen op zijn woord geloven dat het uw gegevens veilig beschermt.
Het probleem is, we echt kan niet vertrouwen op een beveiligingsbedrijf om een eerlijke beoordeling van zijn cyberbeveiliging te geven - als we dat ooit zouden kunnen.
Of ze nu gespecialiseerd zijn in hardware of software, bedrijven vinden het leuk LastPass of Eufy heeft de neiging om actieve inbreuken maandenlang te verbergen totdat ze openbaar worden gemaakt en vervolgens de ernst te bagatelliseren met verzachtende omstandigheden en technisch jargon.
Zelfs met het meest veilige bedrijf dat mogelijk is, is er maar één phishingfout of slechte beveiliging bij een derde partij nodig affiliate om van uw beveiligingscamera een toegangspoort te maken voor iemand om toegang te krijgen tot uw thuisfeeds zonder dat u het ooit weet.
Een eindeloze stroom van verontrustende incidenten
Zonde meldde de afgelopen week dat een externe leverancier die aan Ring is gekoppeld, is getroffen door BlackCat-ransomware; Ring-medewerkers hebben te horen gekregen "bespreek hier niets over", en we weten nog niet zeker welke gebruikersgegevens er op het spel staan als Amazon niet betaalt.
Voorafgaand aan dit laatste incident ontdekte beveiligingsonderzoeker Paul Moore dat Eufy-camera's afbeeldingen en gezichtsherkenningsgegevens van gebruikers doorstuurden naar de cloud zonder hun medeweten of toestemming, die je zou kunnen streamen iedereen's privécamera-feeds vanuit een webbrowser, en dat de AES 128-codering van Eufy gemakkelijk kon worden gekraakt omdat deze eenvoudige sleutels gebruikte.
Eufy reageerde door een aantal problemen op te lossen en de privacyrichtlijnen te bewerken om te garanderen minder bescherming voor zijn gebruikers, op welk punt we u hebben aanbevolen gooi je Eufy-camera's weg.
Vergeleken met de epische schaal van de Verkada-camerabreuk, waarbij 150.000 camera's waren toegankelijk via één hoofdwachtwoord, waren de meeste publiekelijk bekende fouten met bekende huisbeveiligingssystemen relatief klein en deden ze zich enkele jaren geleden voor. Maar er is nog steeds reden tot bezorgdheid.
In sommige gevallen, zoals bij Wyze, verborgen ze een grote kwetsbaarheid met de Wyze Cam v1 voor drie jaar totdat Bitdefender ze blootlegde. Ook al "kan een externe aanvaller toegang krijgen tot de camerafeed of kwaadaardige code uitvoeren om het apparaat verder te compromitteren", Wyze rechtvaardigde zichzelf door te zeggen dat de hacker toegang zou moeten krijgen tot je wifi-thuisnetwerk, en het probleem is opgelost in zijn nieuwere camera's.
Vóór het ransomware-incident van Ring raakte het verwikkeld in kritiek toen een bron aan The Intercept vertelde dat Ring-aannemers de beelden van klanten konden bekijken met niets anders dan een e-mailadres en dat de leidinggevenden van Ring vonden dat het versleutelen van beeldmateriaal "het bedrijf minder waardevol zou maken".
Ring stortte uiteindelijk in en versleutelde zijn camera's, maar het krijgt nog steeds veel kritiek omdat het Ring-deurbelbeelden aan de politie heeft gegeven zonder toestemming van de gebruiker.
Een ADT-technicus heeft 9.600 keer toegang gekregen tot thuisfeeds onder het mom van het testen van de systemen om vrouwelijke klanten te bespioneren zonder hun medeweten, per Beveiliging tijdschrift. Brinks Home gaf klanten per ongeluk toegang tot de namen, adressen en telefoonnummers van andere gebruikers, maar het duurde maanden om het probleem op te lossen nadat een klant hen had gewaarschuwd, meldt Beveiliging verkoop.
Ik zou kunnen doorgaan, of u kunt net zo goed Google Zoeken naar uw favoriete beveiligingsbedrijf, "inbreuk" aan het einde toevoegen en enkele verontrustende verhalen zien.
Het onbekende accepteren
Mijn algemene punt is eenvoudig: zelfs populaire beveiligingsbedrijven met schijnbaar onneembare encryptie zullen slagen beslissingen die uw privégegevens of thuisfeeds kwetsbaar maken - of iemand inhuren die hun macht uitbuit verontrustende manieren. En als dat bedrijf er eenmaal achter komt, is er absoluut geen garantie jij zult kom erachter, tenzij iemand klokkenluidert of een beveiligingsexpert hun fout opmerkt.
In deze omgeving vrolijk recenseren elk de beveiligingscamera van het bedrijf op zijn merites en het aanbevelen aan mijn lezers voelt onverantwoordelijk. Het is mijn functie om dit te doen, en ik zal over de Blink Indoor en Blink Mini schrijven zodra duidelijk is hoe het moederbedrijf omgaat met de Ring-ransomware-aanval.
We kunnen beveiligingscamera's beoordelen op hun interne verdiensten, maar we kunnen niet de externe factoren beoordelen die al het nuttige eraan zouden kunnen ondermijnen.
Maar daarbij moet ik een groot voorbehoud maken dat ik gewoon niet weet wat de zwakste schakel van Blink (of van welk bedrijf dan ook) is: een gewetenloze werknemer, een onbetrouwbaar team van derden, zwakke codering of iets heel anders - dat zou al het nuttige aan dat apparaat dat ik ben kunnen ondermijnen aanbevelen.
Ondertussen kan ik mensen doorverwijzen beveiligingscamera's met lokale opslag om te voorkomen dat uw privébeelden op bedrijfsservers worden bewaard (en om te besparen op maandelijkse kosten). Maar dat is niet altijd een garantie voor veiligheid; In dit geval prezen we de camera's van Eufy als een lokale opslagoptie voordat de vele problemen aan het licht kwamen.