Segurança da Videoconferência Colibri/Zoom

Para esclarecimento da comunidade, o nosso entendimento sobre a questão muito colocada nas últimas semanas …

A maioria dos problemas de segurança revelados sobre a plataforma Colibri/Zoom estão relacionados com a forma como é usada e de como estão selecionadas diversas opções de controlo dos participantes na sessão, nomeadamente com a permissão de partilha de ecrã por todos os participantes ou o acesso à sessão com um simples link sem palavra-chave de sessão ou sala de espera.

Outro problema mais facilmente explorável permitia que na janela de “chat” se enviassem links que quando abertos pelos participantes poderia levar o seus sistemas a revelarem palavras-chave (do acesso local do Windows) a sistemas terceiros. Este problema já foi resolvido há cerca de uma semana pela Zoom com a distribuição de nova versão do software.

Outro problema que consideramos menos critico, apesar de preocupante, é o facto de a cifra de dados usada nas comunicações ser, segundo dizem, bastante fraca e não baseada em algoritmos conhecidos e de segurança comprovada, mas existe a informação que a Zoom estará a preparar nova versão que resolve o problema mencionado.

Quando ao problema mais recente que foi noticiado, relativo à existência de repositórios com dados de utilizadores obtidos por “hackers”, tal referir-se-à a utilizadores com conta local na Zoom (não é conhecida a fonte da informação, como foi esta obtida). A comunidade académica nacional (incluindo o IPL), obtém privilégios na plataforma via um sistema de “single-sign-on” (IdP) em que o site da Zoom redireciona para um nosso, o nosso valida o utilizador e só fornece à Zoom a informação de que o utilizador é legitimo, o endereço de email e nome para identificação deste bem como um atributo de “papel na instituição” que indica se é docente, não docente ou aluno para que possam realizar diferenciação do serviço (ex. permitindo sessões mais longas ou com mais participantes).

Os participantes que acedam sem “login”, apenas com o link e palavra-chave fornecida pelos promotores da sessão (professores), ainda fornecem menos informação à plataforma.
Apesar da visibilidade estar neste momento no Zoom, pelo sucesso que estão a ter, com muitos a procurar falhas neste, temos em querer que as soluções concorrentes poderão ter problemas semelhantes, apenas não foram ainda explorados por serem plataformas que estão de momento a ter menor visibilidade.

Sendo a solução oficial promovida pela FCT/FCCN e financiada pelo MCTES, é a solução que recomendamos e sobre a qual continuamos a dar suporte.
Continuaremos atentos às questões de segurança diretamente relacionadas com a plataforma Zoom, e interviremos caso se confirme algum risco imediato para a nossa comunidade de utilizadores, ou sejam recebidas outras orientações superiores.

Cumprimentos.

Licenciamento das sessões Colibri

Para disponibilidade máxima e eficiência na utilização do licenciamento do serviço Colibri/ZOOM adquirido pela FCCN/FCT, o sistema realiza um processo de reciclagem que recupera licenças atribuídas e fora de uso. (aspetos fora do controlo do DSIC/IPL)

Se não forem seguidas algumas regras a sessão pode não ter o adequado licenciamento e será interrompida ao fim de 40 minutos ou limitada em número de utilizadores.

Segue a melhor estratégia identificada, contributo da experiência de diversos docentes para se conseguir realizar as sessões com os privilégios adequados.

Na página de perfil de utilizador Colibri deve verificar se o seu acesso é considerado como: User Type: Licensed
Se estiver indicado como User Type: Basic não deve iniciar a aula, pois esta será limitada a 40 minutos.
Aconselhamos que 10 a 15 minutos antes da hora da aula, realize Logout e volte a fazer Login/Profile para garantir a atribuição do licenciamento (poderá ter sido reciclado durante a inatividade).
Confirme que se encontra agora como User Type: Licensed no perfil de utilizador apresentado e assim a aula não será interrompida aos 40 minutos.

Note que, em picos de utilização do sistema, poderá ocorrer o esgotamento total do licenciamento contratado e não se conseguir obter licença,  até que uma sessão em curso seja encerrada.

Videoconferência Colibri (atualização de 14/03/2019)

O COLIBRI (Ambiente Colaborativo Multimédia – https://colibri.fccn.pt) tem sido uma ferramenta muito usada pela comunidade científica e de ensino superior.
No contexto atual de crise de saúde pública, com medidas de teletrabalho e aulas a distância, teve um incremento exponencial de utilização e passou a ser crítica.
Como tal, temos vindo a aumentar significativamente o nº de licenças “Pro” para reuniões simultâneas, adaptando às necessidades crescentes da comunidade. O uso dessas licenças só é necessário para o “dono” de uma reunião/aula e não para os participantes, que podem ser até 300 por reunião. Temos verificado no entanto que, muitos utilizadores fazem login para assistir a reuniões/aulas, gastando licenças que depois são realmente necessárias para quem quer marcar novas reuniões.
A utilização média do serviço antes deste período excecional era de 210 reuniões diárias com 1.990 utilizadores.
Ontem dia 12 de março registámos: 3.574 reuniões e 58.552 utilizadores num só dia.
Estes valores continuam a aumentar.
Por forma a preservar a disponibilidade do serviço, tomámos a seguinte medida durante este período de emergência: não atribuir licenças “Pro” a alunos, ficando estas restritas para Professores e Staff das entidades. Algumas notas em relação a esta medida:
– A identificação do perfil para esta decisão, será baseada na informação de autenticação federada que nos chega de cada entidade, de acordo com protocolo assinado deste serviço..
– Os alunos poderão continuar a marcar reuniões, mas em modo “básico” com um limite de 40 minutos.
– Se houver alunos que precisam mesmo de marcar sessões “Pro” sem limitações, terão de pedir a alguém do Staff ou Professores da sua entidade de ensino.
Adicionalmente tivemos de tomar outra medida de contingência, devido ao preenchimento da base de dados global de utilizadores, foi necessário remover alguns dos registos. Esta medida é inócua para os utilizadores em termos de acesso à plataforma, mas em raros casos podem ser limpas sessões previamente agendadas com alguma antecedência. Pedimos que antes das sessões verifiquem o agendamento das mesmas.
Relembramos que têm serviços complementares à disposição como o VideoCastEducast e Nau, para apoio ao ensino a distância.
Estamos a dar o nosso melhor e agradecemos a compreensão para qualquer flutuação dos serviços nestes tempos excecionais.
Obrigado,
A equipa do COLIBRI
[transcrição de email de divulgação da FCCN-FCT]

Algumas aplicações online disponibilizadas pela FCCN-FCT

A FCCN-FCT, para além de fornecer a conectividade Internet à comunidade do ensino superior nacional, disponibiliza ainda um conjunto de ferramentas online algumas das quais bastante úteis no apoio à situação atual. Aqui fica um destaque baseado numa mensagem recente de divulgação.

Colibri 

Graças a este serviço de colaboração Web, é possível encontrar um ambiente propício para a realização de aulas e reuniões a distância. O Colibri permite realizar sessões de videoconferência com capacidade para 300 participantes por sessão. É possível a partilha de áudio, vídeo, texto, imagens, quadro branco e ecrã. As sessões podem ainda ser gravadas, para registo e disponibilização posterior, através do serviço Educast.

E-mail: colibri@fccn.pt

Videocast

Com o Videocast é possível fazer a transmissão de vídeo em direto para todo o mundo, via Internet, sem anúncios ou interrupções. O conteúdo é partilhado de forma simples, através de uma página web com chat integrado, sendo possível partilhar uma aula ou formação com todos os que tenham acesso ao link de transmissão (com opção de controlo por palavra-chave). O serviço é compatível com os principais browsers de internet e dispositivos móveis (smartphones e tablets).

E-mail: servico-videodifusao@fccn.pt

Educast

Através do Educast poderá gravar, editar e publicar vídeos educativos (aulas, formações, tutoriais, etc…). Esta publicação é feita através do upload para um portal pesquisável, que agrega mais de 22 mil vídeos educativos. O Educast permite a edição e publicação, com recurso a software próprio, de forma simplificada, garantindo que os vídeos ficam disponíveis aos alunos em múltiplos formatos (streaming, desktop e mobile).

E-mail:suporte-educast@fccn.pt

NAU

A plataforma NAU – Sempre a Aprender, disponibiliza acesso a cursos online para grandes audiências em formato MOOC (Massive Open Online Course). Caso a sua instituição ative planos de contingência com os seus colaboradores em regime de teletrabalho, poderão dar-lhes a oportunidade melhorar as suas competências em várias áreas do conhecimento. Veja os cursos disponíveis na NAU.

Filesender

Com um limite de envio máximo de 100 GB, o Filesender assume-se como a melhor opção para a partilha segura de ficheiros. O Filesender foi desenvolvido tendo em conta requisitos específicos da comunidade académica e científica, permitindo, contudo, que qualquer pessoa possa receber os ficheiros. Esta é a melhor opção para aqueles ficheiros que são demasiado grandes para ser enviados por email.

Acesso à plataforma de Videoconferência Colibri

Usando as credenciais da conta de correio eletrónico (e rede sem fios) disponibilizadas pelo IPL (terminadas em .ipl.pt) poderá usar a plataforma de Videoconferência “Colibri” disponibilizada pela FCT/FCCN.

Entre em Colibri FCCN e selecione “Agendamento”. Quando questionado sobre a instituição a que pertence, pesquise “lisboa” e selecione “Instituto Politécnico de Lisboa”.

Após será redirecionado para a nossa página central de autenticação de serviços web onde colocará o seu endereço de correio eletrónico e a respetiva palavra-chave e de seguida poderá fazer o agendamento e utilização do serviço, incluindo o convite aos participantes que não necessitam possuir conta na plataforma para usar, poderão aceder à sessão através de um link que lhes poderá divulgar por email, no Moodle ou similar.