Videoringklockor busenkla att hacka

Jag har passat på klockor med kamera. Dom har ju oftast nån sorts rörelsesensor och spelar in allt i trädgården

Jag tycker den roligaste delen är att folk faktiskt tror att dyrare saker är säkrare.
Även dom dyraste ringklockorna går att återställa på plats och sen kopplas om enkelt, vissa måste dock skruvas av väggen.

Njae måste inte vara så när en AI tolkar, identifierar och kategoriserar. Tex Arlo skiljer ut paket, djur, människa och bil. Har flera av arlos ringklockor dessa har haft ett enda falsklarm när en av ringklockorna trodde att frun i huset var ett djur..

Jag som trodde o:et stod för(e) säkerheten.

Om vanligt folk visst hur fruktansvärt dåligt koll även etablerade bolag har på säkerhet.
Har jobbat som utvecklare åt flertal bolag. Anställda har ingen aning om vad kryptering eller säkerhet ens är för något, inte ens de som som har tekniska roller.

Det beror lite på vad du menar med säkerhet.
Ofta så har dyrare enheter längre support där du får uppdateringar till din enhet, dom brukar också vara snabbare på bollen att patcha när säkerhetshål upptäcks.
Dyrare enheter kommer ofta från mer välkända bolag och dom bryr sig om sitt rykte, så även där finns ett incitament att patcha enheterna.
Sen kan det absolut vara så att dom går att återställa på plats, men förhoppningsvis så fångas personen på kameran så att ägaren kan skicka 176-671, 176-617, 176-716 eller någon annan i gänget efter sabotören.

Jag känner inte till någon systematisk genomgång av säkerhetssupportslängd hos smarta videoringklockor där även pris ingår i studien. Du får gärna länka om du känner till dem. Det spännande prisintervallen är ju från de priser över kinesiska billighetskameror på alibaba och uppåt. Alltså de kameror som skulle kunna väntas säljas på europeiska marknaden.

För mig är det inte alls självklart att det finns en tendens för dyra märken att ha gott säkerhetsstöd över tid.

Jag tycker nog det gäller uppkopplade enheter i stort, ofta så har dyrare och mer välkända märken bättre och längre support.
Addera att vissa tjänar pengar löpande på extra tjänster, där har du ytterligare ett incitament att hålla sakerna uppdaterade.
Jag tycker det verkar rimligt att kända märken inte vill skapa sig ett rykta av att vara en "osäker" produkt.

Du kan göra en liknande jämförelse med telefoner, det går att applicera ungefär samma tänk.

Men frågan gäller just den nischade kategorin videoringklockor. Att jämföra med en mogen produkt aom smartphone är inte rättvist då deras exponering mot nätet ser helt annorlunda ut. Samma modeller används dessutom av företag som av privatpersoner och detta driver på längre perioder av säkerhetauppdateringar.

En prenumerationstjänst med löpande intäkter ger ett incitament hos tillverkaren att släppa uppdateringar men detsamma är inte nödvändigtvis sant för ett högre engångsbelopp då affären redan skett.

Det kan ju finnas helt andra faktorer än pris som påverkar supportlängd hos videoringklockor. Kansle huruvida produkterna riktar sig till företag eller kanske insatta hobbyister (säg Ubiquiti) påverkar som störfaktor? De tenderar att vara dyrare men andra dyra produkter kanske inte aläpper uppdateringar, vad vet jag. Det är oavsett just därför det är viktigt med en systematisk sammanställning av pris mot supportlängd där även andra potentiella störfaktorer kan listas, vi människor är notoriskt dåliga på att ha en intuitiv känsla för sånt och ser lätt falska mönster/samband.

Jag vet inte om jag vill kalla det nischad kategori, ofta är det ju tillverkare som redan innan pysslat med videoövervakning som bara kompletterat sitt sortiment men ytterligare en kamera med ringklocksfunktion.
När det gäller jämförelsen med mobiltelefoner så skulle jag nog säga att denna typ av IoT enheter är i än större behov av lång support (uppdateringar) än vad mobiltelefoner är. Och gissar att även inom denna kategori så vill större mer välkända tillverkare inte få ett rykte om sig att sälja produkter som inte är säkra.

Hobby vs företag kan absolut spela in när det gäller uppdateringar då företag har högre krav, det är ofta därför företagsprodukter kostar lite mer.

Jag tycker det är viktigt att försöka se helheten, förstå varför en vara kostar det den gör.
Om man ser att bolaget inte kan tjäna pengar på en produkt så får man ta sig en funderare på hur dom får ihop affären.
"Låter det för bra för att vara sant" devisen går att applicera även här.

Såg någon dokumentär om hackare var nog ett antal år sedan, där dom påstog att dom dyrare övervakningskamerorna som satt i exempelvis butiker, gallerior etc.. var i de flesta fall lika osäkra som dom billigare.
Vem vet något kanske hänt på den fronten

Det beror förstås på vad man menar med osäkrare. Man kan ju se det som så här, många kameror kommer med en ur säkerhetsperspektiv urusel standard-inställning, vilket i sig inte behöver vara något problem, såvida inte installatören inte håller mycket högre klass och låter standard-lösenordet få vara kvar för "enkelhetens skull" så det ska vara lätt att ta sig in i kamerorna för butikspersonalen.

Jag skulle säga att komplikationen med just ringklockskamerorna är att de i 99 fall av 100 är beroende av en molntjänst aka någon annans server någonstans i världen. Därtill har vi troligtvis en mobil-app involverad som står för själva gränssnittet ut mot dig som användare.

* Säkerhetspraxis hos hosting-leverantören som tillverkaren har valt att använda sig utav (Alibaba Cloud, Amazon, osv)
* Säkerhetspraxis i tillverkarens servrar som huseras i ovan hosting-lösning
* Säkerhetspraxis i mobil-app, delar denna källkod mellan plattformarna (Google och Apple) för att säkerställa samma nivå av säkerhet på båda plattformarna?
* Säkerhetspraxis i själva kameran, ansluter denna säkert in mot ditt nätverk? Kommunicerar enheten med tillbörlig TLS 1.2 eller 1.3 protokoll ut mot ovan huserade servrar som tillverkaren har satt upp för lösningen. Uppdateras grundläggande komponenter såsom OpenSSL genom att linux-basen som mjukvaran bygger på hålls uppdaterad (här är svaret 100% nej när det kommer till kinesiska prylar )

Om vi tar en incident i närtid som exempel som påvisar potentiella problem med standardupplägget med server-lösning någonstans och kamera-flöde in mot denna. Ring råkade ut för att okända människor pratade med deras barn via kameror i hemmen, sårbarheten där var enkel och det vanliga "återanvändning av lösenord". Dvs att användarna inte skötte deras ansvar i säkerhetskedjan, vilket gjordes än värre av att Ring inte vågade ställa krav på flerfaktorautentisering för att undvika att alienera sig med kunderna.

Vad gäller Google Nest och deras lösning så skulle jag säga att säkerheten där är mycket god då Google verkligen anstränger sig med införda krav på flerfaktorautentisering. Men ni känner säkert till Google Drive-incidenten där användare plötsligt kunde få tillgång till andras filer, så risken finns förstås att något sådant även skulle kunna hända för dörrkameralösningen, om nu inte Google har ansträngt sig extra att separera lagrings-domänerna ytterligare.

Själv har jag varit lite sugen på en ringklockskamera, men några grundstenar som måste vara på plats för att jag ska övervåga en produkt för detta är följande
* Enheten måste kunna ansluts till nätverk med kabel (för att undvika att extern part fabriksåterställer enheten och tar över den)
* Nätverkskabeln termineras mot separat VLAN/nätverk med begränsad åtkomst (utifall någon bryter loss kameran och kopplar in sig på nätverkskabeln)
* All videolagring sker antingen i intern SD-lagring i enheten eller i en lokal NAS
* Kommunikation mot mobila enheter sker endast via lokal Home Assistans-serverinstans

En Reolink mao