image

Duitse school forkt Matrix-messenger als alternatief voor WhatsApp

maandag 24 januari 2022, 15:38 door Redactie, 14 reacties
Laatst bijgewerkt: 26-01-2022, 09:36

Door de coronapandemie communiceren steeds meer scholen digitaal met leerlingen en hun ouders. De Hermannschule in de Duitse deelstaat Noordrijn-Westfalen gebruikte in eerste instantie WhatsApp, maar besloot vanwege privacyredenen om hier vanaf te zien. In plaats daarvan forkte het de op Matrix-gebaseerde messenger FluffyChat en zette vervolgens ook een eigen Matrix-server neer.

"De school wist de eerst lockdown met een experiment te overbruggen. We voorzagen alle leraren op school met een tablet, en na enige privacyzorgen, een WhatsApp-account. De configuratie en het gebruik van deze accounts was op zo'n manier dat, vanuit ons standpunt, het voldeed aan de databescherming door contacten niet op te slaan en zo het versturen van deze contacten naar WhatsApp/Facebook te voorkomen", aldus de school.

Op deze manier kon de school nauw contact houden met leerlingen en ouders en onder andere berichten, foto's en video's uitwisselen. De Hermannschule stelt dat het gebruik van WhatsApp voor meerdere redenen problematisch was. Daarom werd er naar een alternatief gezocht, maar geen enkele marktoplossing voldeed aan de wensen van de school.

De school besloot naar opensource-alternatieven te kijken en kwam uit op FluffyChat en Matrix. Matrix is een protocol en platform dat versleutelde communicatie biedt. FluffyChat is een messenger-client voor het Matrix-protocol. De school nam de broncode van FluffyChat en voerde mede vanwege veiligheid en toegankelijkheid verschillende aanpassingen door en gaf de nieuwe messenger de naam Hermannpost.

Ook besloot het een eigen Matrix-server te gebruiken. "Onze server is niet federated, wat inhoudt dat andere Matrix-installaties geen toegang tot onze server hebben. Dit houdt ook in dat kinderen en ouders niet met andere accounts buiten onze server kunnen communiceren. Anders gezegd, onze server is gesloten en beveiligd tegen externe actoren", stelt de Hermannschule.

Voor het registratieproces wordt gebruikgemaakt van een versleutelde qr-code, die ook de registratiedata verbergt. Daardoor is het niet mogelijk om met een andere messenger-client een account te registreren. Om het inloggen te vereenvoudigen wordt er ook met een qr-code gewerkt waarbij de gebruiker nog een aanvullende pincode moet opgeven. Dit als alternatief voor lange, veilige wachtwoorden. Verder is de zichtbaarheid van persoonlijke informatie in de messenger-client beperkt. De Duitse school heeft nu alle broncode en informatie van het project gedeeld en hoopt dat andere scholen er hun voordeel mee kunnen doen.

Image

Reacties (14)
24-01-2022, 16:00 door Anoniem
Ze zijn goed bezig.

The Matrix
24-01-2022, 16:48 door Anoniem
De school lijkt het te snappen. Nu de overheden nog. Hulde!
24-01-2022, 17:16 door Anoniem
Hey, dat is goed nieuws! Ook maar gauw op Nederlandse scholen gaan gebruiken, nu worden kinderen vaak gedwongen om Whats-app te installeren op straffe van uitsluiting.
24-01-2022, 17:32 door Anoniem
Wow ... dat zouden meer scholen "moeten" doen.
En niet alleen scholen,maar ook alle andere bedrijven en instellingen die privacy waarderen.

De Duitse school heeft nu alle broncode en informatie van het project gedeeld en hoopt dat andere scholen er hun voordeel mee kunnen doen.
Alle bedrijven en instellingen en scholen die privacy waarderen zouden dit nu "kunnen" doen.
De bal ligt letterlijk voor het doel.

Wat hebben ze voor ELO electronische leeromgeving op deze school? Misschien de Duitse variant op de closed-source ItsLearning en Magister, of misschien de open-source Moodle??
https://nl.wikipedia.org/wiki/Elektronische_leeromgeving
24-01-2022, 18:24 door Anoniem
Wir betreiben unsere eigene Matrix Instanz auf einem eigenen Server in unserem Schulgebäude.

Lovenswaardig initiatief maar ik zie alweer een niet redundant server in een bezemkast draaien met een niet encrypted OS daarop. Dit alles onderhouden door de congierge die dit als bijbaantje heeft.
25-01-2022, 08:35 door Anoniem
Door Anoniem: Hey, dat is goed nieuws! Ook maar gauw op Nederlandse scholen gaan gebruiken, nu worden kinderen vaak gedwongen om Whats-app te installeren op straffe van uitsluiting.

Te gek voor woorden dat de overheid dit toloreerd.
25-01-2022, 09:07 door _R0N_
Door Anoniem: Wir betreiben unsere eigene Matrix Instanz auf einem eigenen Server in unserem Schulgebäude.

Lovenswaardig initiatief maar ik zie alweer een niet redundant server in een bezemkast draaien met een niet encrypted OS daarop. Dit alles onderhouden door de congierge die dit als bijbaantje heeft.

De meeste scholen hebben een redelijk IT budget. Kans is groot dat het gehost wordt bij een cloud provider die veel onderwijs sponsort.
25-01-2022, 09:19 door Anoniem
Door Anoniem: Wir betreiben unsere eigene Matrix Instanz auf einem eigenen Server in unserem Schulgebäude.

Lovenswaardig initiatief maar ik zie alweer een niet redundant server in een bezemkast draaien met een niet encrypted OS daarop. Dit alles onderhouden door de congierge die dit als bijbaantje heeft.
Wanneer ze in staat zijn om een eigen fork te ontwikkelen, lijkt het mij waarschijnlijk, dat ze ook in staat zijn om veilig beheer uit te voeren. Of ze dat doen is dan natuurlijk weer niet bekend, maar aangezien ze op veiligheid ingaan, zou dat ook deel van het plan (moeten) zijn.
25-01-2022, 10:08 door Anoniem
Door Anoniem: De school lijkt het te snappen. Nu de overheden nog. Hulde!

Wat bedoelt u precies? De overheid werkt al jaren met eigen chatdiensten en eigen private servers hiervoor. Blijkbaar wordt u niet gehinderd door enige kennis m.b.t. overheidsinstellingen en hun communicatie methodieken.
25-01-2022, 11:40 door Anoniem
Door _R0N_:
Door Anoniem: Wir betreiben unsere eigene Matrix Instanz auf einem eigenen Server in unserem Schulgebäude.

Lovenswaardig initiatief maar ik zie alweer een niet redundant server in een bezemkast draaien met een niet encrypted OS daarop. Dit alles onderhouden door de congierge die dit als bijbaantje heeft.

De meeste scholen hebben een redelijk IT budget. Kans is groot dat het gehost wordt bij een cloud provider die veel onderwijs sponsort.

Ik zal even de vertaling doen:
We draaien onze eigen Matrix applicatie op een eigen server in ons schoolgebouw.

Ik doe even de aanname dat hun schoolgebouw niet in de cloud staat ... ;-)
25-01-2022, 12:40 door Anoniem
Door Anoniem:
Door Anoniem: De school lijkt het te snappen. Nu de overheden nog. Hulde!

Wat bedoelt u precies? De overheid werkt al jaren met eigen chatdiensten en eigen private servers hiervoor. Blijkbaar wordt u niet gehinderd door enige kennis m.b.t. overheidsinstellingen en hun communicatie methodieken.

U noemt geen voorbeelden van "eigen chatdiensten en eigen private servers"? Dat ik enthousiast ben over het initiatief van deze Hermannschule heeft een geschiedenis:

Minister Henk Kamp, minister van Defensie in de kabinetten Balkenende I,II,III (en tijdelijk ook Rutte III), en minister van Economische Zaken in Rutte II, gebruikte Gmail voor vertrouwelijke stukken:
https://www.security.nl/posting/470643/OM%3A+Gmail-account+minister+Kamp+gehackt+via+phishing

Maar dat was ook de periode waarin er in Groningen nog 55 (!!) miljard kuub aardgas werd opgepompt en er vooral heel veel langdurig onderzoek werd opgestart. Kamp voelde zich erg gebonden aan allerlei contracten, en was bang dat "de mensen in de kou komen te zitten". "Windmolens draaien op subsidie" volgens zijn chef.

Opvolger Ank Bijleveld (Defensie Rutte III) maakte wel gebruik van "moderne communicatiemiddelen" zoals Zoom (en bracht vrolijk via Twitter de inlogcode in beeld) [/sarcasm].
https://www.security.nl/posting/679326#posting679600
"Minister maakt excuses voor delen van foto met deel pincode EU-overleg", woensdag 25 november 2020.

Er is zelfs een recent onderzoek van de Rekenkamer:
https://www.security.nl/posting/704123/Rekenkamer%3A+informatiebeveiliging+Rijksoverheid+nog+niet+op+orde
Dat overzicht zou toch alleen maar "groene vinkjes" moeten weergeven? Of is de Rekenkamer te kritisch?

https://www.rekenkamer.nl/actueel/nieuws/2021/05/19/informatiebeveiliging-rijk-nog-niet-op-orde
In 2020 zijn er bij ministeries en de Hoge Colleges van Staat verschillende incidenten geweest op het gebied van informatiebeveiliging. WhatsApp-accounts van zowel Eerste als Tweede Kamerleden en ambtenaren van ministeries zijn door criminelen overgenomen, bij het Ministerie van Buitenlandse Zaken was sprake van een mogelijk datalek en het veilig gebruik van applicaties voor videovergaderingen was onvoldoende gegarandeerd.
26-01-2022, 03:36 door Anoniem
Volgens mij is de laatste zin in de alinea een beetje krom "In plaats daarvan forkte het de op Matrix-gebaseerde messenger FluffyChat en draaide die vervolgens op een eigen server." . Fluffy (of de fork daarvan) is een client en draait dus niet op een server. Waarschijnlijk bedoeld men hier dat ze een eigen Matrix server, in dit geval Synapse draaien en met de Fluffy fork daar naar toe connecten.

Ik vind het wel een dikke pluim voor wat deze school / ontwikkelaar heeft gedaan. Vooral naast wat al in het artikel is vermeld dat er ook netjes terug is gecontributed aan de open source community. De fork van de client staat op https://gitlab.com/hermanncoders/hermannpost en daar is ook weer dankbaar vermelding gemaakt van andere gebruikte resources. Ook heeft de school de voice messages in de fork gemaakt, en zo te zien is dat inmiddels ook in de oorspronkelijke Fluffy client opgenomen.
Dat is hoe vrije open source in mijn optiek mooi floreren. Hopelijk geeft deze persoon ook wat lessen over deze methodiek aan de studenten.

Ik heb wel een paar vraagtekens bij de manier van security en privacy implementatie. Zo staat er in het originele artikel https://hermannschule.de/hermannpost.html "

1) In unserem Client haben wir an mehreren Stellen auch die Sichtbarkeit von personenbezogenen Daten zusätzlich eingeschränkt. So ist Kindern und Eltern nicht möglich, auf Informationen anderer NutzerInnen in den Gruppeninformationen zuzugreifen. Ebenfalls haben wir „state messages“, die oft personenbezogene Informationen beinhalten (z.B. „XYZ hat den Raum betreten/verlassen/das Avatar geändert“), in unserem Client ausgeblendet, was nicht nur dem Datenschutz zugutekommt, sondern auch die Barrierefreiheit erhöht (weniger Text hilft, sich auf die bedeutsamen Inhalte zu konzentrieren)."

Echter als je het aan de client kant afschermt en de client vervolgens open source hebt staan zou vermoed ik een slimme scholier daar weer een fork van kunnen maken, de weergave weer inschakelen en vervolgens met hun server connecten om de data wel te zien.

2) "Die Anmeldung in Matrix ist ein vergleichsweise aufwändiger Vorgang, bei dem Servername, Matrix-ID und (ein idealerweise langes) Passwort eingegeben werden muss. Dies stellt eine Hürde, die für unsere NutzerInnen schwer zu bewältigen ist. Um dieses Anmeldeverfahren zu vereinfachen, haben wir die Anmeldedaten in einem „QR-Schlüssel“ versteckt und mit einer PIN-Nummer ergänzt, die vom / von der NutzerIn eingegeben werden muss. So vereinfachen wir den Anmeldeprozess und ermöglichen gleichzeitig die Nutzung von einem langen, sicheren Passwort, ohne dass der/die Nutzer sich mit der Eingabe mit der Tastatur quälen muss. Die zusätzlich erforderliche PIN verhindert, dass sich Unbefugte allein mit dem QR-Code (oder eine Kopie) anmelden können."

Makkelijk wel. Maar wie aan de QR code kan komen zoals de kopie, kan vermoed ik relatief snel brute forcen?!

Ps. off-topic... ligt het aan mij of ben ik de enige die het vervelend vind dat security.nl anno 2022 niet mobiel geschikt is?
26-01-2022, 08:44 door Namlu Juste
[Verwijderd door moderator]
26-01-2022, 10:25 door Anoniem
Door Anoniem: Ze zijn goed bezig.

The Matrix

Ik vind het slecht dat als je een server neerzet de database enkele 100MB's is wanneer er maar een paar test accounts actief zijn. Zelfde geldt voor de disk space. Waarom wordt xmpp niet gewoon gebruikt?? Ik zie nog niet echt de meerwaarde van matrix
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.