Od kilku miesięcy czekałem na odpowiedni moment, aby przejrzeć niektóre stare wewnętrzne kamery bezpieczeństwa. Nie chodzi o markę (Blink) ani o aparaty (które jak dotąd działają całkiem nieźle!). Chodzi o to, że za każdym razem, gdy przygotowuję się do napisania o nich, pojawiały się wiadomości takie jak niedawny atak ransomware Ring lub niepewna sieć Eufy, a ja kopiowałem moje recenzje kamer bezpieczeństwa.
Dlaczego? Ponieważ coraz bardziej czuję się nieswojo polecając każdy kamery bezpieczeństwa, gdy wiedza, czy backend jest bezpieczny, stała się czymś, co mogą bezpiecznie powiedzieć tylko łowcy nagród za błędy i jasnowidze.
Kiedy recenzuję produkt, staram się być jak najbardziej wybredny. Nie dlatego, że chcę dać złą recenzję, ale dlatego, że moim zadaniem jest przejrzenie wyidealizowanych komunikatów prasowych i specyfikacji, aby zobaczyć pęknięcia pod powierzchnią.
Pozytywna recenzja aparatu bezpieczeństwa oznacza, że traktujemy jego bezpieczeństwo wewnętrzne jako wartość nominalną, ale obecnie trudno jest ufać *jakiejkolwiek* firmie ochroniarskiej.
Możesz zauważyć Niektóre z tych problemów z kamerą bezpieczeństwa, na przykład jeśli jakość wideo lub wykrywanie AI nie przejdzie pomyślnie. Ale nawet z najlepsze możliwe aparaty przetestowaliśmy i pokochaliśmy, zawsze na horyzoncie czai się widmo jakiegoś nieznanego naruszenia.
To nie jest coś, co ja (lub większość dziennikarzy technicznych) jest w stanie wykryć. Za pomocą smartfona możemy sami przetestować większość oprogramowania i zabezpieczeń, a użytkownicy mają niemal pełną kontrolę nad blokowaniem lub włączaniem śledzenia aplikacji przez aplikacje. Dzięki kamerze bezpieczeństwa całe bezpieczeństwo danych jest obsługiwane zdalnie, a my możemy tylko uwierzyć firmie na słowo, że bezpiecznie chroni ona Twoje dane.
Problem w tym, że my naprawdę żargon zaufać firmie zajmującej się bezpieczeństwem w zakresie uczciwej oceny jej cyberbezpieczeństwa — gdybyśmy kiedykolwiek mogli.
Niezależnie od tego, czy specjalizują się w sprzęcie, czy oprogramowaniu, firmy takie jak Ostatnia przepustka lub Eufy mają tendencję do ukrywania wszelkich aktywnych naruszeń przez miesiące, dopóki nie zostaną upublicznione, a następnie bagatelizują powagę okolicznościami łagodzącymi i żargonem technicznym.
Nawet w przypadku najbezpieczniejszej możliwej firmy wystarczy jedna wpadka phishingowa lub słabe zabezpieczenia u strony trzeciej stowarzyszonego, aby zmienić kamerę bezpieczeństwa w bramę umożliwiającą komuś dostęp do Twoich kanałów domowych bez Twojej wiedzy.
Niekończący się strumień niepokojących incydentów
Wice poinformował w zeszłym tygodniu, że zewnętrzny dostawca powiązany z Ring został zaatakowany przez oprogramowanie ransomware BlackCat; Pracownikom Ring powiedziano „nie dyskutuj o tym” i nie możemy jeszcze być pewni, jakie dane użytkownika będą na linii, jeśli Amazon nie zapłaci.
Przed tym ostatnim incydentem badacz bezpieczeństwa Paul Moore odkrył, że kamery Eufy wysyłały zdjęcia użytkowników i dane rozpoznawania twarzy do chmury bez ich wiedzy i zgody, że możesz przesyłać strumieniowo ktokolwiekPrywatna kamera transmituje z przeglądarki internetowej, a szyfrowanie AES 128 Eufy można było łatwo złamać, ponieważ używało prostych kluczy.
Eufy odpowiedziała, łatając niektóre problemy i edytując swoje wytyczne dotyczące prywatności, aby zagwarantować mniej ochrony dla swoich użytkowników, w którym to momencie zarekomendowaliśmy Cię wyrzuć swoje aparaty Eufy.
W porównaniu z epicką skalą włamania do kamery Verkada, podczas którego Za pomocą jednego hasła głównego można uzyskać dostęp do 150 000 kamer, większość powszechnie znanych wad dobrze znanych domowych systemów bezpieczeństwa była stosunkowo niewielka i wystąpiła kilka lat temu. Ale wciąż jest powód do niepokoju.
W niektórych przypadkach, jak w przypadku Wyze, ukryli poważną lukę w Wyze Cam v1 przez trzy lata dopóki Bitdefender ich nie ujawnił. Mimo że „atakujący z zewnątrz [mógłby] uzyskać dostęp do transmisji z kamery lub wykonać złośliwy kod w celu dalszego naruszenia bezpieczeństwa urządzenia”, Wyze usprawiedliwił się, mówiąc, że haker będzie musiał uzyskać dostęp do domowej sieci Wi-Fi i naprawił problem w swoich nowszych kamerach.
Przed incydentem z oprogramowaniem ransomware Ring znalazł się w centrum krytyki, gdy źródło powiedziało The Intercept, że kontrahenci Ring mogą oglądać nagrania klientów za pomocą nic poza adresem e-mail i że dyrektorzy Ring uważali, że szyfrowanie materiału filmowego „uczyniłoby firmę mniej wartościową”.
Ring ostatecznie załamał się i zaszyfrował swoje kamery, ale nadal spotyka się z częstą krytyką za udostępnianie policji nagrań z dzwonka Ring bez zgody użytkownika.
Technik ADT uzyskał dostęp do kanałów domowych 9600 razy pod pozorem testowania systemów w celu szpiegowania klientek bez ich wiedzy, na Magazyn bezpieczeństwa. Brinks Home przypadkowo dał klientom dostęp do nazw, adresów i numerów telefonów innych użytkowników, ale naprawienie problemu zajęło miesiące po tym, jak klient ich ostrzegł, raporty Sprzedaż zabezpieczeń.
Mógłbym kontynuować, albo równie łatwo możesz wyszukać w Google swoją ulubioną firmę ochroniarską, dodać „naruszenie” na końcu i zobaczyć niepokojące historie.
Akceptacja nieznanego
Mój ogólny punkt widzenia jest prosty: nawet popularne firmy zajmujące się bezpieczeństwem z pozornie nie do zdobycia szyfrowaniem dadzą radę decyzje, które narażają Twoje prywatne dane lub kanały domowe na niebezpieczeństwo — lub zatrudniaj kogoś, kto wykorzystuje ich władzę niepokojące sposoby. A kiedy ta firma się dowie, nie ma absolutnie żadnej gwarancji będziesz dowiedzieć się o tym, chyba że ktoś zgłosi nieprawidłowości lub ekspert bezpieczeństwa złapie ich błąd.
W tym środowisku beztrosko recenzuję każdy aparatu bezpieczeństwa firmy na podstawie jego zalet i polecanie go moim czytelnikom wydaje się nieodpowiedzialne. To mój stanowisko aby to zrobić, a ja napiszę o Blink Indoor i Blink Mini, gdy będzie jasne, jak jego firma macierzysta radzi sobie z atakiem ransomware Ring.
Możemy przejrzeć kamery bezpieczeństwa pod kątem ich wewnętrznych zalet, ale nie możemy przejrzeć czynników zewnętrznych, które mogłyby podważyć wszystko, co w nich przydatne.
Ale robiąc to, będę musiał uwzględnić duże zastrzeżenie, że po prostu nie wiem, co jest najsłabszym ogniwem Blink (lub jakiejkolwiek firmy) — pozbawiony skrupułów pracownik, nierzetelny zespół zewnętrzny, słabe szyfrowanie lub coś zupełnie innego — co może podważyć wszystko, co przydatne w tym urządzeniu, o którym mówię polecanie.
W międzyczasie mogę wskazać ludzi kamery bezpieczeństwa z lokalną pamięcią masową aby spróbować uniknąć przechowywania prywatnych nagrań na serwerach firmowych (i zaoszczędzić na opłatach miesięcznych). Ale to nie zawsze jest gwarancją bezpieczeństwa; na przykład chwaliliśmy kamery Eufy jako lokalną opcję przechowywania, zanim wiele problemów wyszło na jaw.