Kristoffer Qvists blogg om allt möjligt

Etikett: NextCloud Hub

Varför man ska vara misstänksam mot online-tjänster

Under den senaste tiden har användningen av olika samarbetsverktyg ökat markant. De flesta av dem är också så kallade ”onlinetjänster”, eller ”mjukvara som tjänst” om man översätter frasen Software as a Service ordagrant från engelska. Det är just det som flera idag populära verktyg är.

För att nämna några så kan jag ju ta upp exempelvis Microsoft Teams eller Zoom. Dessa har idag blivit populära verktyg att nå andra människor. Däremot finns det några frågetecken som man bör räta ut först:

  • Var någonstans sparas datan?
  • Vilka har tillgång till datan?
  • Hur säkra är programmen?

Äger man själv hårdvaran, och innehar programvaran i sina egna system, så har man större möjlighet att svara på frågeställningarna.

Säkerhet alltid en viktig aspekt

Om vi riktar in oss på Zoom, så har det dykt upp några säkerhetsincidenter på sistone. De ska visserligen arbeta för att lösa dem – om dessa inte redan är lösta i redan. Insikten bör dock vara en väckarklocka även om utvecklarna har lovat att arbeta mer med säkerheten i Zoom.

Något jag också undrar är om det finns oberoende kodgranskare. Det är nämligen en sak att utveckla ett verktyg, och själva testa så att koden är säker. Det är inte riktigt samma som att låta någon annan testa efter sårbarheter. Som utvecklare kan man förstås använda ”defensive programming”. I stort handlar det om att göra kod läsbar, ha hög kvalité och att även ge programmet instruktioner om att bete sig någorlunda förutsägbart vid situationer det står inför oförutsedda händelser.

Nyhetsrapporteringen har ju även tidigare beskrivit Snapchats hantering av användardata hos dem. Mer specifikt hur de anställda hanterar användarnas (okrypterade) data. Nyhetssidor såsom Vice, Macrumors och CNET har berättat om dessa incidenter.

Allra bäst approach är nog att anta att programmen redan är hackade. Även om man gör program så säkra som möjligt utifrån de erfarenheter som man har samlat på sig idag, så kommer det alltid att finnas dem som söker efter nya vägar att ta del av hemlig information.

Alternativa, säkrare verktyg

Säkerhet är i och för sig ett subjektivt ämne. Mycket är möjligt att ”komma runt”. I vissa fall kan det kräva djupare teknisk ”know-how” för att ta del av den information som man vill komma åt. I andra fall kan en så kallad ”script kiddie” komma runt säkerheten. Idag är dock program oftast såpass säkra att ”social engineering” är mer populärt hos illasinnade hackare. Då behöver de nämligen inte ha samma tekniska kunskap, utan behöver vara bättre på att känna av människor.

Jag själv har en förkärlek till ”open source”. Detta av lite olika anledningar – men kanske främst att koden kan granskas av oberoende. Dessutom kan man ofta hämta hem dessa verktyg och använda dem eller själv vara värd för dem. Det senare alternativet kan visserligen kräva lite mer teknisk ”know-how”, men jag tycker att man vinner mycket på om man kan göra det.

Dock är inte verktyg säkra enbart för att de är baserade på öppen källkod. Det har ju funnits incidenter där sådana verktyg har haft sårbarheter också. Ett sådant var Heartbleed, vilket inträffade 2014. Då upptäcktes en bugg i biblioteket OpenSSL, vilket påverkade webbplatser som använde kryptering. Sårbarheten innebar att illvilliga hackare kunde komma åt webbservrars privata krypteringsnycklar, vilket innebar att krypterad kommunikation mellan en dator och en server skulle kunna avlyssnats, utan kännedom för de påverkade.

Fördelen mot proprietära verktyg, eller program som inte är open source, är att man här kan få ”gratis” kodgranskare. Dessutom kan man även granska den kod av det program som man vill installera på sina system.

Samarbetsverktyg

Det finns lite olika samarbets- och/eller sociala verktyg med tanke på vad man vill göra. Ett exempel som jag kan tänka på är NextCloud Hub. Systemet fungerar dels som en fillagringsplats – men även som samarbetsverktyg. Man skulle kunna säga att NextCloud Hub fungerar ungefär som Microsofts ”Office 365”, eller Googles ”G Suite”.

Via NextCloud Hub kan man även köra videokonferenser, om man har appen ”NextCloud Talk” installerad. Ibland kräver denna app mer handpåläggning, men det är helt upptill hur servern är konfigurerad. Av egen erfarenhet så har jag fått söka efter information om vissa inställningar som inte klart stod med i dokumentationen av NextCloud. Visserligen kan jag vara bortskämd med andra program som i mångt och mycket är ”plug and play”.

Är man enbart ute efter videokonferenser kanske Jitsi Meet kan vara något. Själv har jag provat på verktyget, dock inte fullt it. Om man vill, så kan man också prova skapa ett mötesrum utan att ange namn eller e-postadress via instansen meet.jit.si. Det enda instansen ber om är att namnge mötesrummet. Man kan däremot efter skapandet av mötesrummet även göra det lösenordsskyddat.

Jag har däremot lyssnat en del på YouTube-kanalen ”Nerd on the Street – Tech”. Skaparen av den kanalen har bland annat gjort en videoguide om att skapa en Jitsi-instans (på engelska). Som det förklaras i videon kan man även göra Jitsi-instansen helt lösenordsskyddad. Jag har själv (ännu) inte sett någon officiell dokumentation om hur man på bästa sätt konfigurerar skyddade möten. Eventuellt kan jag ha missat den delen från dokumentationen. Helt klart intressant i varje fall.

Säkerhet ska vara ett helhetstänk

Hur tråkigt än ”säkerhet” kan låta så är det viktigt att det finns ett helhetstänk här. Oavsett hur många säkerhetsprogram eller prylar man köper, så är frågan i slutändan hur man använder dem, hur tänket kring säkerhet är annars och om dessa instanser är säkra till en början?

Ett exempel: Ett företag har ett passerkortssystem där samtliga besökare skall använda sig av passerkorten. Råkar någon säga sig vara anställd, utan att vara det, men ha ”glömt” passerkortet kanske denne blir insläppt av en intet ont anande person som har passerkort. Där fallerade skalskyddet.

Ett annat exempel är mejl som informerar att ”man måste återge sina användaruppgifter på tjänst X”. Detta är en vanlig variant av ”phising”, där illasinnade personer använder sig av dessa mejl för att få tag på kontouppgifter.

Ett tredje exempel skulle kunna vara ”smarta enheter” som man ansluter till hemmet.

På första exemplet bör man inte släppa in personer där besökare skall använda sig av passerkort. I andra exemplet ska man ta bort mejlet och inte ange några kontouppgifter över huvud taget. Vad gäller tredje exemplet så bör man tänka efter om man har behov av dessa. Vidare bör man även undersöka om enheterna använder sig av standardlösenord av tillverkaren och gärna ändra dessa. Jag kan rekommendera att läsa PC för allas artikel ”hoten mot ditt smarta hem – och så säkrar du det” för tips.

För att inte bli ett för långt inlägg så tänker jag runda av här. Många smarta hem använder sig av ett moln varför det också inkluderades i slutet av detta inlägg.

NextCloud – lovande, men kan förbättras

Det är nog inte en hemlighet att jag är en anhängare av fri programvara och öppen källkod. Jag anser att de programmen bidrar väldigt mycket till samhället. Ibland upplever jag att projekten lovar kanske något över förväntan. Ibland kan orsaken också vara mindre bra dokumentation.

NextCloud är på ett sätt en konkurrent till Microsoft Office 365. Det kan centralt, på ens egna server, lagra filer. Man kan dela filerna och även modifiera dem i exempelvis ett ordbehandlingsprogram på servern. Dessutom finns möjlighet att lägga till appar, såsom chatt- och konferensappar.

Problemen som jag har upplevt har varit att dokumentationen varit något spretig. Ibland har felkonfigurationer uppdagats först vid ”skarpt läge”, därför att dokumentationen har varit otydlig med uppsättningen. Jag förstår att man vill visa möjligheterna – men det får inte ske på bekostnad av att ha otydlig dokumentation.

Stöd för ”Office”-programvara i webbläsaren

NextCloud har stöd kontorsprogram som kan öppnas i Webbläsaren. Idag stöds två olika valmöjligheter, både Collabora Online och OnlyOffice. Det tidigare alternativet är en online-variant av LibreOffice, och det senare en ”Microsoft Office”-lik produkt.

Jag är kluven mellan OnlyOffice och Collabora Online som verktyg. Jag upplever OnlyOffice som mer estetiskt tilltalande. Samtidigt upplever jag Collabora Online mer som en sant alternativ för ”fri mjukvara” – även om OnlyOffice erbjuds med AGPL-licensen. Orsaken är att OnlyOffice har ett hårdkodat tak med maximalt 20 samtidiga öppna dokument.

Collabora Online upplever jag som mindre estetiskt tilltalande. Samtidigt är det även mer krångligt att sätta upp för NextCloud då en separat dokumentserver krävs. Man kan idag, via appar i NextCloud, få igång OnlyOffice.

Videokonferenser med Talk

NextCloud stödjer videokonferenser med Talk. Dock har det inte varit tydligt hur man sätter upp dessa. Istället hänvisas man till forumtrådar om att konfigurera stöd för videokonferens i Talk. Eller så får man läsa utvecklardokumentationen istället för administrationsdokumentationen.

Det största problemet är om man har server bakom en NAT – Network Address Translation – så behöver man konfigurera NextCloud ytterligare. Enkelt förklarat delar NAT på en publik IP-adress för fler enheter*. Idag är det vanligt i IPv4-nätverk på grund av att det finns ett begränsat antal IPv4-adresser.

Det som krävs är en ”TURN”-server. TURN står för ”Traversal Using Relays around NAT” och hjälper till då Nextcloud – och även klienten är bakom en NAT.

Det viktiga är också att en specifik nätverksport i servern är öppen – för att stödja TURN. Denna port ska även vidarebefodras från routern som är värd för NAT:en.

Slutsats

Trots vissa tillkortakommanden, så tycker jag att NextCloud är ett bra alternativ. Det finns ett aktivt team som arbetar med att förbättra mjukvaran. Samtidigt erbjuds även företagssupport av dessa program, varifrån projektet får sin finansiering.

*Tekniskt sett heter detta egentligen PAT, eller ”Port Address Translation”.

© 2022 qvi.st

Tema av Anders NorenUpp ↑