Последние несколько месяцев я ждал подходящего момента, чтобы просмотреть некоторые старые камеры видеонаблюдения. Дело не в бренде (Blink) и не в камерах (которые пока работают неплохо!). Дело в том, что каждый раз, когда я готовлюсь написать о них, появляются такие новости, как недавняя атака программы-вымогателя Ring или небезопасная сеть Eufy, и я откладываю свои обзоры камер безопасности на потом.
Почему? Потому что мне становится все более неудобно рекомендовать любой камера безопасности, когда известно, безопасен ли сервер, стало чем-то, что только охотники за ошибками и ясновидящие могут с уверенностью сказать вам.
Когда я делаю обзор продукта, я стараюсь быть как можно более придирчивым. Не потому, что я хочу дать плохой обзор, а потому, что моя работа состоит в том, чтобы пройти мимо идеализированных пресс-релизов и спецификаций, чтобы увидеть трещины под поверхностью.
Положительный отзыв о камере видеонаблюдения означает, что мы принимаем ее внутреннюю безопасность за чистую монету, но в наши дни трудно доверять *любой* охранной компании.
Вы можете заметить некоторый из тех проблем с камерой безопасности, например, если качество видео или обнаружение ИИ не проходят проверку. Но даже с лучшие камеры мы тестировали и любили, всегда есть призрак какой-то неизвестной бреши, скрывающейся на горизонте.
Это не то, что я (или большинство технических журналистов) не в состоянии обнаружить. С помощью смартфона мы можем протестировать большую часть программного обеспечения и безопасности самостоятельно, а пользователи имеют почти полный контроль, чтобы блокировать или разрешать приложениям отслеживать их. С камерой безопасности вся эта безопасность данных обрабатывается удаленно, и мы можем только поверить компании на слово, что она надежно защищает ваши данные.
Проблема в том, что мы действительно не мочь доверяйте охранной компании, чтобы она дала честную оценку своей кибербезопасности, если мы когда-либо могли.
Независимо от того, специализируются ли они на аппаратном или программном обеспечении, такие компании, как ЛастПасс или Eufy, как правило, месяцами скрывает любые активные нарушения, пока они не станут достоянием общественности, а затем преуменьшает серьезность с помощью смягчающих обстоятельств и технического жаргона.
Даже в самой надежной компании все, что нужно, — это один фишинговый просчет или плохие меры безопасности у стороннего поставщика. партнерка, чтобы превратить вашу камеру видеонаблюдения в шлюз, чтобы кто-то мог получить доступ к вашим домашним каналам без вашего ведома.
Нескончаемый поток тревожных происшествий
Порок на прошлой неделе сообщалось, что сторонний поставщик, связанный с Ring, был атакован программой-вымогателем BlackCat; Сотрудникам Ring сказали: «Ничего не обсуждайте по этому поводу», и мы пока не можем быть уверены, какие пользовательские данные будут на линии, если Amazon не заплатит.
Перед этим последним инцидентом исследователь безопасности Пол Мур обнаружил, что камеры Eufy отправляли изображения пользователей и данные распознавания лиц. в облако без их ведома или согласия, чтобы вы могли транслировать любойличная камера получает данные из веб-браузера, и что шифрование Eufy по стандарту AES 128 было легко взломано, поскольку в нем использовались простые ключи.
В ответ Eufy исправила некоторые проблемы и отредактировала свои правила конфиденциальности, чтобы гарантировать меньше защиты для своих пользователей, и в этот момент мы рекомендовали вам выбросьте свои камеры Eufy.
По сравнению с эпическими масштабами взлома камеры Verkada, во время которого Доступ к 150 000 камер можно было получить с помощью одного мастер-пароля., большинство общеизвестных недостатков известных домашних систем безопасности были относительно незначительными и произошли несколько лет назад. Но повод для беспокойства все же есть.
В некоторых случаях, как в случае с Wyze, они скрыли серьезную уязвимость с помощью Wyze Cam v1. На три года пока Bitdefender не раскрыл их. Несмотря на то, что «внешний злоумышленник [может] получить доступ к каналу камеры или выполнить вредоносный код, чтобы еще больше скомпрометировать устройство», Wyze оправдались, заявив, что хакеру потребуется получить доступ к вашему домашнему Wi-Fi, и исправили проблему в своих новых камерах.
Перед инцидентом с программой-вымогателем Ring компания подверглась критике, когда источник сообщил The Intercept, что подрядчики Ring могут смотреть записи клиентов с помощью ничего, кроме адреса электронной почты и что руководители Ring считали, что шифрование отснятого материала «сделает компанию менее ценной».
В конце концов, Ring прогнулась и зашифровала свои камеры, но по-прежнему вызывает частую критику за то, что передала записи дверного звонка Ring в полицию. без согласия пользователя.
Технический специалист ADT получал доступ к домашним каналам 9600 раз под предлогом тестирования систем, чтобы шпионить за клиентами-женщинами без их ведома. Журнал безопасности. Brinks Home случайно предоставил клиентам доступ к именам, адресам и номерам телефонов других пользователей, но потребовались месяцы, чтобы решить проблему после того, как клиент предупредил их, сообщает Продажа безопасности.
Я мог бы продолжить, или вы могли бы так же легко найти в Google свою любимую охранную компанию, добавить «нарушение» в конце и увидеть несколько тревожных историй.
Принятие неизвестного
Моя общая мысль проста: даже популярные охранные компании с, казалось бы, неуязвимым шифрованием сделают решения, которые делают ваши личные данные или домашние каналы уязвимыми, или нанимают кого-то, кто использует свою власть в беспокоящие способы. И как только эта компания узнает, нет абсолютно никаких гарантий. Вы будете узнайте об этом, если кто-то не сообщит об этом или эксперт по безопасности не поймает их ошибку.
В этой среде, беспечно пересматривая любой камеры безопасности компании по достоинству и рекомендовать ее своим читателям кажется безответственным. Это мое работа для этого, и я напишу о Blink Indoor и Blink Mini, как только станет ясно, как их материнская компания справляется с атакой программы-вымогателя Ring.
Мы можем рассматривать камеры слежения с точки зрения их внутренних достоинств, но мы не можем рассматривать внешние факторы, которые могут подорвать все полезное в них.
Но при этом я должен сделать большую оговорку, что я просто не знаю, что является самым слабым звеном Blink (или любой компании) — недобросовестный сотрудник, ненадежная сторонняя команда, слабое шифрование или что-то еще — это может подорвать все полезное в этом устройстве, которое я рекомендуя.
А пока я могу указать людям на камеры безопасности с локальным хранилищем чтобы попытаться избежать хранения ваших личных материалов на серверах компании (и сэкономить на ежемесячных платежах). Но это не всегда гарантия безопасности; Например, мы хвалили камеры Eufy как вариант локального хранилища, прежде чем выявились многие их проблемы.