25 Jun 2020

Big Blue Button: privacidad, seguridad y optimizaciones

BigBlueButton es una de las soluciones de software libre y de código abierto más estables para videoconferencias y una buena alternativa a zoom y otro software comercial que ha demostrado ser poco respetuoso con nuestra privacidad.

En MaadiX teníamos ganas de profundizar en las potencialidades de BigBlueButton como servicio de videoconferencias más seguro, respetuoso y que a la vez pudiera soportar un gran número de participantes.

Gracias al apoyo de Digital Defenders Partenrship hemos podido dedicarnos a investigar BigBlueButton en profundidad e implementar algunas mejoras en el rendimiento y en la privacidad que explicaremos a continuación.

 

BBB DDP

 

Lamentablemente no podemos incluir Big Blue Button entre las aplicaciones disponibles en MaadiX, ya que los requerimientos técnicos de esta aplicación son incompatibles con nuestro sistema: Big Blue Button actualmente solo tiene soporte para Ubuntu 16.04 y por  su consumo en recursos (RAM y CPU),  se aconseja instalarlo en servidores dedicados.

 

Mejorando el audio

La configuración por defecto de BigBlueButton puede generar "crujidos" en el audio (audio crackling) emitido por ciertos micrófonos/conexiones.

Para reducirlos hemos implementado algunos cambios en la configuración cuyos detalles técnicos puedes consultar aquí.

También consideramos apropiado deshabilitar los sonidos de las notificaciones por voz para evitar interrupciones. Puedes consultar los detalles aquí

Mejorando la privacidad

Hemos realizado varios cambios en la configuración con la intención de reducir al máximo los datos que pudieran quedar almacenados en el servidor así como limitar el acceso a las grabaciones que por defecto quedan expuestas con enlace público y accesibles a cualquiera.

Limpiando cualquier rastro

Por defecto BigBlueButton graba en el servidor todas las sesiones, se le haya dado al botón de grabar o no (ver su documentación). Esto se debe a que su funcionalidad de grabación se basa en grabar todas las sesiones y con los botones "Iniciar grabación", "Reanudar grabación" o "Detener grabación" hacer unas marcas de tiempo para luego saber qué partes incluir en el archivo que la misma aplicación procesa y almacena como grabación final de la sesión.

Para garantizar la privacidad de las participantes, hemos configurado el servidor para que estas grabaciones automáticas se eliminen a las 48 horas de finalizar la sesión.

Los archivos finales de las grabaciones, procesados en base a las marcas de tempo generadas al activar  el botón "Iniciar grabación",  se conservarán durante 15 días.
Pasado este tiempo se borrarán por completo, por lo que ya no habrá forma de recuperarlas.

Para grabar las sesiones BigBlueButton no captura la pantalla como hacen otras aplicaciones, sino que graba todas las señales que se generan por separado.
Así, para una determinada sesión, no existe un único archivo de grabación que incluya todos los elementos (vídeos, presentaciones, Chat ...) sino que cada uno está almacenado en un archivo distinto.

Si no queremos almacenar información relativa a las sesiones en el servidor se tienen entonces que eliminar todos estos archivos, además de otros que se almacenan en caché, y eventualmente los registros (logs) cuyo nivel de detalle puede ser reducido (logs verbosity).

Para una explicación más detallada puedes consultar aquí.

Control de acceso a las grabaciones

Además, hemos implementado un sistema de control de acceso a las grabaciones ya que por defecto cualquiera podría visualizarlas con tan solo visitar su enlace público que además es fácilmente deducibles. Con este control de acceso solo las anfitrionas de las sesiones pueden visualizar las grabaciones.

Puedes consultar aquí más detalles sobre la gestión de las grabaciones.

Guía de uso

Finalmente, hemos desarrollado una guía de uso en castellano que incluye explicaciones detalladas de cómo usar todas la funcionalidades de BigBlueButton, tanto para anfitrionas o administradoras de sesiones como para cualquier tipo de participante.

Además, en ella se incluyen recomendaciones para evitar interrupciones y ataques de tipo "zoom bombing" así como información sobre accesibilidad.

La puedes consultar completa aquí.

 

Puedes consultar nuestro repositorio para más detalles técnicos.

 

© MAADIX.NET, 2017. Esta web y sus contenidos están bajo una licencia Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional .

Contacta

Ponte en contacto escribiendo un correo a: contact [at] maadix [dot] net

Clave PGP: 0xE5BB2110.asc

Huella: EF80 C4FB CC27 7A3E 8D0B 0DD9 B48B 2A9B E5BB 2110