BigBlueButton – Open Source & Sicherheit

Mit einem Artikel über Sicherheitslücken in BigBlueButton schreckte das IT Online-Magazin Golem die Nutzergemeinde und auch einige frentix Kunden auf (vgl. https://www.golem.de/news/big-blue-button-das-grosse-blaue-sicherheitsrisiko-2010-151610.html – erschienen am 21.10.20). frentix betreibt für OpenOlat Hosting-Kunden in der frentix Hosting Cloud ebenfalls BigBlueButton Server.

Gerne möchten wir dem vorliegenden Artikel aufzeigen, wie es sich bei den im Artikel aufgezeichneten Sicherheitslücken in der Praxis bei frentix in der Integration mit OpenOlat darstellt.

Gleich vorweg das Fazit:

Aktuell sind im frentix Betriebsszenario keine Sicherheitsprobleme bei BigBlueButton bekannt – die aufgedeckten Lücken wurden grösstenteils durch Aktualisierungen von BigBlueButton oder aber einer vorausschauenden Konfiguration von frentix auf den Servern und der Integration mit OpenOlat behoben.

Das Handling der Recordings ist aktuell nicht optimal (Datenschutz) – die Funktion kann aber bei Bedarf auch in der Integration mit OpenOlat komplett deaktiviert werden.

Bei frentix im Einsatz: Die aktuellste Version von BigBlueButton

frentix setzt auf den in der Schweiz betriebenen BigBlueButton-Server auf die aktuelle Version 2.2.28  (Release Notes von BigBlueButton) – wie auch im Artikel erwähnt, wurden die meisten angesprochenen Probleme bereits in der Version 2.2.27 behoben. Dies betrifft unter anderem die nachfolgenden Themen:

  • Dateien exfiltrieren mit LibreOffice
  • XSS-Lücke und keine sicheren Session-Cookies
  • Offene Netzwerkports
  • Default-Passwort

frentix setzt bei BigBlueButton zeitnah auf allen Servern die aktuellste Version ein. So profitieren Sie immer von Sicherheitsupdates und auch neuen Funktionalitäten und immer besserer Stabilität bei Audio- und Video-Übertragung.

Professionelles Management von Konferenz-Terminen: Greenlight vs. OpenOlat

Einige der im Artikel erwähnten Problemstellungen hängen mit der Management-Lösung Greenlight zusammen und sind nur in diesem Kontext relevant. Bei frentix wird zur Adminsitration der virtuellen Konferenzräume aber nicht Greenlight sondern OpenOlat eingesetzt. So ist zum Beispiel der Zugang zu fremden Recordings in OpenOlat nicht durch einfaches Hochzählen der ID in der URL möglich, da diese von OpenOlat zufallsgeneriert ist.

Server-Infrastruktur und Konfiguration by frentix

Weitere Themen betreffen offene Serverports – die frentix Server sind alle durch eine Firewall abgeschirmt und es stehen aussschliesslich die aktiv verwendeten Ports zur Verfügung.

Die Unterstützung einer uralten Ubuntu-Version und nicht mehr unterstützen NodeJS-Version ist ein bekanntes Problem in der aktuellen BigBlueButton 2.2.x Version. Mit der im Q1.2021 erwarteten BigBlueButton 2.3 Version werden diese und andere Verbesserungen aber adressiert.

Datenschutz bei Aufzeichnungen

Wenn die Recording-Option im gewählten Raum-Template aktiv ist, werden aus technischen/funktionalen Gründen sämtliche Meetings in einem RAW-Format (Rohdaten) temporär auf dem Server abgelegt, auch wenn der Benutzer die Aufnahme-Funktion nicht aktiv verwendet – diese Rohdaten sind aber auf dem Server nicht von aussen zugänglich und werden direkt nach dem Meeting automatisiert gelöscht. Der Grund für diese Art und Weise der Aufzeichnung liegt in der gewählten Architektur der Recording-Option in BigBlueButton.

Folgende Massnahmen können in OpenOlat in Verbindung mit BigBlueButton aber zur Adressierung dieses Verhaltens unternommen werden:

  • Benutzer können die Aufnahmefunktion komplett in der Raumvorlage in OpenOlat deaktivieren – dies unterbindet die Aufnahmefunktion komplett (Wichtig: In der Management-Software Greenlight ist dies nicht möglich – daher wird dies im Artikel von Golem auch nicht als Lösungsvariante erwähnt)
  • Weitere Lösungsansätze werden in der BigBlueButton Community intensiv diskutiert
  • Auch frentix prüft weitergehende Konfigurationsoptionen in OpenOlat (z.B. die Recordingfunktion pro Online-Termin konfigurierbar zu machen mit entsprechenden Einverständnisdialogen)
  • frentix plant zudem, die veröffentlichten Recordings aus BigBlueButton Meetings nach OpenOlat zu verschieben (als wiederverwendbare Lernressource) – somit ist die Aufzeichnung nicht mehr über eine direkte URL zugänglich

Ist der Einsatz von Open Source Software trotzdem sicher? – Ja.

Sowohl bei proprietärer Software (wie Microsoft Teams, Zoom etc.) als auch bei Open Source Software sieht man sich immer wieder mit Sicherheitslücken konfrontiert – das liegt in der Natur der Sache mit weit verbreiteten und öffentlich verfügbaren Systemen, welche somit ein interessantes Ziel darstellen.

frentix ist überzeugt, dass durch den offenen Quellcode von BigBlueButton die Community einen wertvollen Beitrag zur Sicherheit leistet. Der Code kann von einer grossen Entwicklungsgemeinde kritisch überprüft und verbessert werden. Die Handlings der Recordings, die eingesetzten Komponenten und die adressierten Themen in Updates sind vollkommen transparent – ein grosser Vorteil von Open Source Software, sind doch Stabilität, Freiheit und Kontrolle der eigenen Daten wichtige Anforderungen an eine Software sind.

Fazit & wie weiter?

frentix ist auch in diesen Themen bemüht, einen offenen und direkten Dialog mit Hosting-Kunden und der Open Source Community zu führen. Dieser Prozess verbessert die eingesetzten Lösungen und stellt eine kritische Auseinandersetzung mit Verbesserungen und eingesetzten Elementen sicher.

  • frentix aktualisiert weiterhin die BigBlueButton-Server jeweils auf die aktuellste Version
  • Die Konfiguration der Server wird laufend weiter optimiert auf den integrierten Einsatz mit OpenOlat
  • Die BigBlueButton-Integration in OpenOlat wird weiter gestärkt und in bestehende Funktionen integriert

Für weitere Fragen oder Anregungen steht Ihnen das frentix Team gerne zur Verfügung!

Print Friendly, PDF & Email