tl;dr
BigBlueButton wird gerade in einigen Medien als „großes Sicherheitsrisiko“ dargestellt. Ist Angst vor dem Einsatz von BBB gerechtfertigt? Sicher nicht.
BBB kommt im Standard zwar nicht mit sicheren Grundeinstellungen. Doch schon bevor BBB im Frühling 2020 so populär wurde, konnte man ein sicheres Setup mit den offiziellen Anleitungen hinbekommen. Muss man halt auch lesen 🙊 Schwachstellen in BBB? Logisch. Umgang damit nicht so, wie es sein soll? Jep. Aber was sind die Alternativen?
Bei vielen kritisierten Eigenschaften wie „Aufnahme im Hintergrund“ muss man sich bei kommerziellen Anbietern geschlossener Software keine Gedanken machen. Vertrauen reicht. Was anderes bleibt einem ja auch nicht übrig 🤷♂️
Stand heute betreiben wir eine BBB-Instanz, die
- keine bekannten Schwachstellen hat,
- keine unnötigen Dienste bereitstellt,
- keine Aufzeichnungen im Hintergrund (auch nicht im Vordergrund..) anfertigt,
- auch hinter restriktiven Firewalls dank eigenem STUN-Server 1a funktioniert,
- ohne Clientinstallation funktioniert,
- Entschlüsselung der Datenströme nur auf eigenen Systemen und denen der Teilnehmer,
- Konferenzen mit 50 (und mehr) Teilnehmern abfrühstückt,
- Telefoneinwahl über Nummer aus unserem eigenen Rufnummernkreis für >20 Teilnehmer ermöglicht,
- quelloffen und damit prüfbar ist und
- auf Servern läuft, die wir selbst betreiben.
Also wie so oft: RTFM. Patchen hilft. Und: 100%ige Sicherheit gibbet nicht.
Aber der Reihe nach
BigBlueButton hat durch Covid-19 wie andere Konferenzsoftware auch einen Boom erfahren. Auch ich kannte BBB vor dem Frühling 2020 nicht, ich behaupte, es zuvor auch nicht zufällig mal genutzt zu haben. Als klar war, dass unsere aktuelle Chat- und Videokonferenzsoftware Wire zwar schön lecker Ende-zu-Ende verschlüsselt, quelloffen und regelmäßig audiert ist, aber leider ab drei bis vier Teilnehmern nicht mehr mitspielen mag, haben wir uns umgeschaut und sind bei BBB gelandet.
Der Dienst sollte nicht allen Nutzern mit freier Registrierung zur Verfügung stehen, sondern nur manuell registrierten Nutzern. Die erstellten Räume sollen natürlich mit einem Link allen Teilnehmern zur Verfügung stehen.
Also mal die Serverspezifikationen angeschaut. Ubuntu 16.04 LTS als zwingende Basis? Naja. Bekommt ja noch Updates. Nicht mehr ewig, aber gut.
Installation per Shellscript? Mutig. Aber gut, das Script kann ich ja einsehen.
Ansonsten standen in der Anleitung viele Dinge, die es zu beachten galt:
- Firewall konfigurieren
- Let’s Encrypt Zertifikat
- TURN-Server aufsetzen und konfigurieren (mit Firewall, Let’s Encrypt, etc)
- neue Nebenstelle in unserer Telefonie konfigurieren und an die Freeswitch Instanz hängen
- Aufnahmen global verbieten (ja, das geht schon lange)
- SMTP-Server konfigurieren
- Logo, Farben, CSS, Link zu Impressum und Datenschutzhinweisen
- Beschreibungstexte anpassen
- Loglevel anpassen
- HSTS Header
Ein bisschen ein längerer Aufwand waren dann
- Wartemelodie konfigurieren (also die richtige finden, Lautstärke anpassen, etc)
- Dialplan für die Einwahl anpassen, da bei einer falschen PIN im Standard aufgelegt wird (jetzt immerhin drei Schüsse frei, leider immer noch etwas komisch, weil die PIN der Raumnummer entspricht und keine echte PIN ist)
Es gab auch Dinge, die ich nicht machen musste, z. B.
- SSL-Cipher konfigurieren (die BSI TR-02102-2 Prüfung hat gepasst und bei SSL-Labs ein stabiles A)
Ein bisschen noch zusätzlich
- fail2ban
- Greenlight Interface so anpassen, dass die ganzen Aufnahmefunktionen nicht mehr angezeigt werden
In Summe hat es also schon ein wenig gedauert, bis BBB sauber lief.
Im Gegensatz zu (fast) allen anderen Anbietern, muss ich keinem kommerziellen Anbieter vertrauen, dass er es schon richtig macht. Ich kann es selbst nachvollziehen.
Unberechtigte Kritik
Es wird gerne kritisiert, dass in BBB Schwachstellen vorhanden sind. Ich kann es nicht mehr hören. LOGISCH sind da Schwachstellen drin. Welche Software hat keine? MS-Teams z. B. etwa? Ach, ne. 15 CVEs in 2019, darunter ein Scoring 9. PANIK!! Webex? Nicht schlecht, 2019 sieht gut aus, 2018 dafür gleich zwei 9.3er. Schön. Also ja: BBB hat Schwachstellen, hat weitere Schwachstellen, müssen gefixt werden, wenn sie auftreten. Wie immer.
Bei den Schwachstellen in BBB muss man auch bedenken, dass die Analyse leichter ist, wenn man „reinschauen“ kann. Siehe die Anwendung der von Breet Buerhaus entdeckten Exploits in Libreoffice, mit denen sich API-Keys extrahieren ließen. Bei Closed-Source so eine Schwachstelle in der Kombination finden? Viel Glück.
Wie deutlich muss eine Schwachstelle in Releasenotes auftauchen? Och wenn da steht „Security: Disabled libreoffice document update ( prevent reading of local files )“ ist das doch in Ordnung? Die Kritik daran kann ich nicht nachvollziehen.
Meine „Lieblingskritik“: Es werden Aufnahmen im Hintergrund automatisch auf dem Server angefertigt, auch wenn man die Session gar nicht aufzeichnet 😮 Richtig. Wenn man die Anleitung nicht liest, ist das so. Aber schauen wir uns das in Ruhe an:
Wer kann denn die Aufnahmen sehen, die da im RAW-Format eine gewisse Zeit vorliegen? Richtig: Der Administrator der Kiste. Der Admin kann aber auch die Konfiguration so oder so ändern, Daten mitschreiben, die Software umschreiben etc. Natürlich muss die Grundeinstellung datenschutzfreundlich sein und das ist zu ändern. Wenn aber der Angreiferavatar der Serveradmin ist, ist das ein in der Realität nicht unfassbar krasser Angriffsvektor.
Wie ist es bei den cloudbasierten, closedsource Diensten? Richtig. Prinzip Hoffnung. Prüfen (lassen) kann ich die Angaben der Anbieter nicht.
Kritik
Natürlich kann Einiges kritisiert werden:
- auf Schwachstellen wurde nicht professionell reagiert (schnell antworten, ernst nehmen, transparent machen, patchen)
- altes Betriebssystem als zwingende Basis
- z. T. veraltete Bibliotheken
- Grundeinstellung nicht sicher/DSGVO-konform
Wir dürfen uns auch alle selbst an die Nase fassen
- Vadder Staat setzt BBB oft ein. Warum wird das Projekt nicht unterstützt? Geld? In Baden-Württemberg soll moodle und BBB durch MS-Teams abgelöst werden. Die Lizenzgebühren in Richtung Projektsupport geworfen und wir hätten eine mega Software für uns alle. Naja.
- Wir setzen auch BBB ein. Eine Quellcodeanalyse müssen wir halt auch mal machen.
- Du setzt BBB ein? Dann hilf mit.
Die Zukunft
Es gibt berechtigte Hoffnung, dass BBB weiter vom BBB-Team und vielen weiteren Freiwilligen gepflegt wird. Der Umgang mit Schwachstellen wird professioneller. Die Grundeinstellungen sicherer. Die Installation einfacher.
/Tobias