Atualização dos servidores de encaminhamento de e-mail

Durante a tarde de ontem foi realiza a substituição dos servidores de encaminhamento de e-mail por sistemas completamente atualizados.

Infelizmente apesar dos nossos testes prévios de validação da instalação não o terem detetado, algumas aplicações de e-mail revelaram incompatibilidades e devido a diferenças no software ocorreram também problemas no processamento das mensagens provenientes do exterior.

Problemas identificados:

  1. Clientes muito desatualizados que não suportam as formas de segurança TLS atualmente recomendadas (>1.1)
    • Problema mitigado ao fim da tarde com a habilitação das formas de segurança (não recomendadas) TLS1 e TLS1.1
  2. Clientes que tentam usar um formato internacional (UTF8) na indicação de destinatários
    • Problema resolvido na manhã de hoje com a atualização do software para uma versão de pré-produção que já suporta os clientes que tentam usar a funcionalidade sem que o servidor anuncie que a suporta
  3. Erros de processamento durante as validações de origem do email (SPF) recebido do exterior, causavam rejeição temporária de mensagens
    • Resolvido durante ao início da manhã de hoje com a substituição do troço de programação incompatível.

Apela-se aos responsáveis pela manutenção das aplicações de correio “Outlook” ao serviço das escolas para a conclusão do processo de atualizações dos Outlook2010 e Outlook2013 para versões mais recentes para que não seja necessária a degradação do nível de segurança de comunicações para o suporte destas (ponto 1. acima).

Medidas de segurança no redirecionamento externo de e-mail

Tendo recentemente ocorrido um incidente de segurança originado pelo reencaminhamento de mensagens de uma conta de correio institucional para uma conta externa e, criando tais redirecionamentos situações pouco claras de conformidade RGPD nos casos em que contas por onde circulam dados pessoais da comunidade são redirecionadas para fornecedores externos (tipicamente internacionais) sem que exista compromisso destes do cumprimento da dita legislação.

Será brevemente implementada uma política estrita relativa de encaminhamentos de mensagens para contas exteriores.

  • As contas de aluno com o padrão @alunos.*.ipl.pt não são afetadas por esta alteração, permanecendo os redirecionamentos em funcionamento como até agora.
  • Todas as restantes contas só poderão redirecionar parte ou a totalidade das mensagens recebidas para outras contas institucionais das escolas e serviços do IPL.
  • Até findo o período transitório, somente as contas já com redirecionamento em funcionamento terão o comportamento mantido.
  • Após o período transitório, os redirecionamentos deixarão de funcionar e as mensagens anteriormente reencaminhadas passam a ser depositadas na caixa de entrada da conta.

Oportunamente será comunicada formalmente esta informação e detalhes adicionais pela direção do IPL.

Melhoramentos no sistema de IdP (autenticação de serviços Web)

Durante o dia de hoje foram aplicados ao sistema de Identity Provider (IdP) que serve de página de validação central de acessos, diversos melhoramentos que há algum tempo preparávamos:

  • Melhor apresentação da página em dispositivos com baixa resolução de ecrã.
  • Possibilidade de diferenciação de acessos, facilitando o uso de diversas plataformas institucionais pelos alumni.
  • Informação mais precisa dos motivos da recusa de autenticação, em casos em que a conta institucional existe mas se encontra bloqueada por algum motivo. Sugerindo formas de resolução do problema.
  • Ajuste na aplicação de perfis de utilizadores às associações de estudantes e FAIPL, permitindo o uso dos serviços Colibri/Zoom em modo licenciado.
  • Deteção melhorada de tentativas de roubo de contas com consecutivas tentativas de acesso usando palavras-chave erradas.
  • Adequação do sistema para futuro suporte de palavras-chave longas (de até 30 caracteres) e para o uso de um universo superior de caracteres nas palavras-chave. (ainda não ativo)
  • Melhorias gerais de segurança no processamento de credenciais de utilizador, minimizando o processamento de palavras-chave em claro e assegurando a cifra forte da comunicação com as bases de dados de suporte.

Renovação de PINs de impressão

ATUALIZAÇÃO: Esta ação de manutenção foi parcialmente suspensa devido a problemas revelados nos driver de impressão do fabricante que impediam alguns utilizadores de alterar localmente o PIN. Aguardamos a correção do problema pelo fornecedor para concluir a correção do problema.

Um número significativo de utilizadores do sistema de impressão central usa atualmente ainda PINs de primeira geração com apenas 5 dígitos e que à dimensão atual do sistema são considerados inseguros pois com poucas tentativas ou até por erro de teclas se acede à fila de impressão de outro utilizador.

Durante o mês de Agosto reduzimos o problema ao eliminar muitos PIN nesta situação, nos casos em que os mesmos estavam associados a utilizadores que não utilizavam o sistema à algum tempo.

Retomamos agora esta manutenção para os restantes.

Assim, até dia 11 de Setembro os serviços locais de apoio a informática das escolas/serviços irão colaborar na atualização dos PIN, especialmente quando esta obriga a reparâmetrizações nos terminais (PCs).

A partir de dia 11 o próprio sistema irá alterando faseadamente os PIN aos utilizadores que ainda permaneçam com os PIN de 5 dígitos.

Se utiliza ainda PIN de impressão de 5 dígitos e perder subitamente o acesso à impressão, bastará consultar o novo PIN e, caso necessário, solicitar o apoio dos serviços de informática na aplicação do PIN no driver de impressão do PC.

Caso pretenda que a alteração ocorra de imediato, bastará solicitar online a alteração de PIN que ficará efetiva poucos (máximo 10) minutos depois.

Obrigado pela colaboração no processo que como julgo ser claro é do interesse de toda a comunidade utilizadora.

Segurança da Videoconferência Colibri/Zoom

Para esclarecimento da comunidade, o nosso entendimento sobre a questão muito colocada nas últimas semanas …

A maioria dos problemas de segurança revelados sobre a plataforma Colibri/Zoom estão relacionados com a forma como é usada e de como estão selecionadas diversas opções de controlo dos participantes na sessão, nomeadamente com a permissão de partilha de ecrã por todos os participantes ou o acesso à sessão com um simples link sem palavra-chave de sessão ou sala de espera.

Outro problema mais facilmente explorável permitia que na janela de “chat” se enviassem links que quando abertos pelos participantes poderia levar o seus sistemas a revelarem palavras-chave (do acesso local do Windows) a sistemas terceiros. Este problema já foi resolvido há cerca de uma semana pela Zoom com a distribuição de nova versão do software.

Outro problema que consideramos menos critico, apesar de preocupante, é o facto de a cifra de dados usada nas comunicações ser, segundo dizem, bastante fraca e não baseada em algoritmos conhecidos e de segurança comprovada, mas existe a informação que a Zoom estará a preparar nova versão que resolve o problema mencionado.

Quando ao problema mais recente que foi noticiado, relativo à existência de repositórios com dados de utilizadores obtidos por “hackers”, tal referir-se-à a utilizadores com conta local na Zoom (não é conhecida a fonte da informação, como foi esta obtida). A comunidade académica nacional (incluindo o IPL), obtém privilégios na plataforma via um sistema de “single-sign-on” (IdP) em que o site da Zoom redireciona para um nosso, o nosso valida o utilizador e só fornece à Zoom a informação de que o utilizador é legitimo, o endereço de email e nome para identificação deste bem como um atributo de “papel na instituição” que indica se é docente, não docente ou aluno para que possam realizar diferenciação do serviço (ex. permitindo sessões mais longas ou com mais participantes).

Os participantes que acedam sem “login”, apenas com o link e palavra-chave fornecida pelos promotores da sessão (professores), ainda fornecem menos informação à plataforma.
Apesar da visibilidade estar neste momento no Zoom, pelo sucesso que estão a ter, com muitos a procurar falhas neste, temos em querer que as soluções concorrentes poderão ter problemas semelhantes, apenas não foram ainda explorados por serem plataformas que estão de momento a ter menor visibilidade.

Sendo a solução oficial promovida pela FCT/FCCN e financiada pelo MCTES, é a solução que recomendamos e sobre a qual continuamos a dar suporte.
Continuaremos atentos às questões de segurança diretamente relacionadas com a plataforma Zoom, e interviremos caso se confirme algum risco imediato para a nossa comunidade de utilizadores, ou sejam recebidas outras orientações superiores.

Cumprimentos.