Blackboard té un programa de seguretat robust que no només actua per evitar els problemes de seguretat, sinó que a més a més els elimina del tot. Blackboard du a terme contínuament proves de seguretat internes en l'àmbit de programació (anàlisi estàtica) i en l'àmbit d'aplicació (anàlisi dinàmica) per garantir que s'assoleixen les expectatives de Blackboard i del client. A més, Blackboard encomana a altres especialistes en seguretat que realitzin proves de penetració per aconseguir així una supervisió addicional de les nostres aplicacions. Els problemes identificats es marquen i s'assignen per a la seva resolució.

S'ha de reconèixer que el programa de seguretat de Blackboard és una pràctica cada cop més madura i important. Apliquem una política de millora contínua per augmentar les funcions de seguretat i la robustesa dels productes Blackboard.


Construït pensant en la seguretat

Blackboard es compromet a oferir aplicacions segures als seus clients. Blackboard desenvolupa els productes seguint unes instruccions d'enginyeria de seguretat derivades de moltes altres organitzacions, com ara l'Open Web Application Security Project (OWASP), incloses les contramesures concretes per a les 10 vulnerabilitats principals de l'OWASP. Blackboard incorpora aquestes pràctiques de seguretat en totes les fases del cicle de desenvolupament de programari.

Per protegir les nostres aplicacions s'utilitzen diversos mètodes, incloses les avaluacions de seguretat "de dalt a baix" mitjançant la creació i anàlisi de models d'amenaces, així com la detecció d'amenaces de codi "de baix a dalt" mitjançant l'anàlisi estàtica, l'anàlisi dinàmica i les proves de penetració manuals.

Blackboard segueix les millors pràctiques de moltes organitzacions per contribuir a reforçar la seguretat dels nostres productes i programes. Entre aquestes organitzacions cal destacar:

  • National Institute of Standards and Technology (NIST)
  • European Network and Information Security Agency (ENISA)
  • SANS Institute
  • Open Web Application Security Project (OWASP)
  • Cloud Security Alliance (CSA)

Creació de models d'amenaces

Quan es desenvolupen noves funcions, l'Equip de Seguretat avalua el disseny del sistema i els requisits per ajudar a mitigar els riscos mitjançant la creació de models d'amenaces. La creació d'aquests models d'amenaces es un procés estructurat en el qual s'identifiquen les amenaces per a la seguretat corresponents a la nova funció que s'està revisant, de manera que es puguin identificar i aplicar les contramesures de seguretat apropiades.


La programació segura i les 10 vulnerabilitats principals de l'OWASP

Els productes Blackboard es desenvolupen seguint unes instruccions derivades de l'OWASP, incloses les contramesures concretes per a les 10 vulnerabilitats principals de l'OWASP de 2013.

A1: Injecció (injecció SQL/DOM/LDAP)El nostre estàndard de programació requereix fer servir variables vinculades i evitar l'ús de transcripcions literals en sentències SQL. La funcionalitat LDAP està limitada a l'autenticació.
A2: Pèrdua d'autenticació i gestió de sessionsEls productes Blackboard només s'executen amb TLS, per la qual cosa totes les galetes estan encriptades.
A3: Scripts entre llocs (XSS)Els scripts entre llocs (XSS) es mitiguen mitjançant l'ús de biblioteques compartides, com ara ESAPI, i estàndards de desenvolupament. Tot el text tramès per l'usuari ha de passar pels mètodes de desinfecció; s'espera que qualsevol altre tipus d'aportació (dates, valors d'opcions/seleccions) sigui generat pels objectes de domini escrit i no transcrit directament d'allò que ha introduït l'usuari.
A4: Referència directa insegura a objectesEs fa referència a tots els objectes de l'aplicació mitjançant els "ID" que normalment s'associen a una clau primària. No obstant això, tots els objectes associats i totes les proves de seguretat es duen a terme en un "context". Per exemple, una petició pot fer referència a un "ID de missatge" que sigui un apunt en el tauler de debat d'un curs. L'estàndard de Blackboard requereix comprovar l'autorització corresponent al privilegi associat al rol de l'usuari.
En els casos en què aquest estàndard no s'apliqui correctament, la situació es pot arreglar de manera senzilla, ja que totes les entitats del sistema amb dades protegides estan associades a un context de seguretat (curs o domini).
A5: Configuració de seguretat incorrectaBlackboard segueix una política de seguretat per defecte amb documentació i notes de la versió que l'administrador del sistema pot consultar quan sigui necessari. Quan el producte disposa d'una guia de millors pràctiques per a la configuració segura, Blackboard anima els seus clients a seguir-la.

Auditories de seguretat
Els incidents de seguretat s'anoten a registres específics.

Filtració d'informació i gestió d'errors
A totes les pàgines s'aplica el procés de gestió d'errors estàndard (mitjançant una plantilla i una biblioteca d'etiquetes), per la qual cosa tots els errors generen sortides estàndard, sobretot els errors no reconeguts. La sortida estàndard pot incloure una traça de pila (petita filtració d'informació), però mai cap de les dades que s'estaven processant quan va fallar la sol·licitud, i només és visible per a l'administrador. Els usuaris sense privilegis (com ara els estudiants) no poden veure les traces de pila detallades.

A6: Exposició de dades confidencialsL'estàndard de Blackboard requereix fer servir contrasenyes de hash i sal amb SHA-160.

Els productes Blackboard es poden executar amb TLS, però és responsabilitat de l'implementador configurar-lo correctament quan el producte es troba en un allotjament propi.

A7: Manca de control d'accés a les funcionsEs gestiona a dos nivells: requerint que la lògica empresarial imposi comprovacions d'autorització i assegurant que les proves de qualitat incloguin els requisits d'autorització de les diverses pantalles.
A8: Falsificació de peticions entre llocs (CSRF)La nostra estructura de seguretat segueix les recomanacions de l'OWASP pel que fa a valors nonce per sol·licitud i semàntica només de POST. Les sol·licituds AJAX fan servir valors nonce per sessió.
A9: Ús de components amb vulnerabilitats conegudesEs mitiga duent a terme cerques regulars de vulnerabilitats en les nostres infraestructures i en els paquets de programari de tercers amb l'objectiu d'identificar components amb vulnerabilitats conegudes i crear un full de ruta per actualitzar-les amb els pedaços disponibles.
A10: Redireccionaments i reenviaments no validatsL'estàndard de programació segura de Blackboard requereix que els redireccionaments i reenviaments verifiquin que es tracta d'adreces locals. Es realitzen proves regulars d'aquesta vulnerabilitat.

Categories de vulnerabilitats situades anteriorment entre les 10 principals de l’OWASP

Execució de fitxers maliciososEls fitxers penjats per usuaris finals sense privilegis mai no s’utilitzen com a executables. Amb tot, els usuaris amb privilegis (com ara, administradors del sistema), poden penjar paquets executables anomenats Building Blocks que amplien la funcionalitat del sistema. Es pressuposa que els administradors del sistema comprenen els riscos i que duen a terme una revisió a fons dels proveïdors i canvien les pràctiques de gestió pel que fa a la instal·lació de Building Blocks de tercers.

Les declaracions sobre expectatives futures, plans i previsions de Blackboard representen les opinions actuals de la companyia. Els resultats reals poden ser diferents a causa de diversos factors importants. La companyia preveu que posteriors incidents i desenvolupaments faran que l'opinió de la companyia canviï. No obstant això, si bé la companyia pot decidir d'actualitzar aquestes declaracions en algun moment futur, declina específicament qualsevol obligació de fer-ho.


Compromís amb la gestió de vulnerabilitats i política de divulgació

El programa de gestió de vulnerabilitats de Blackboard es regeix pel compromís amb la gestió de vulnerabilitats i la política de divulgació orientades al públic que s’expliquen a continuació. Cap proveïdor de programari no és perfecte. En cas d’identificar una vulnerabilitat de seguretat en un producte comercialitzat, l’equip de Seguretat de Blackboard està disposat a respondre-hi.

Per obtenir ajuda amb l’inici de sessió, heu de contactar amb el servei d’assistència de TI de la vostra institució. Blackboard no té accés a la informació del compte, els llocs web o els continguts de la vostra institució. Si no sabeu com contactar amb el servei d’assistència, proveu de fer una cerca a Internet amb el nom de la institució + servei d’assistència o mireu si a la pàgina d’inici de sessió hi ha un enllaç d’assistència o la informació de contacte.

Blackboard es compromet a resoldre les vulnerabilitats de seguretat de manera ràpida i diligent. Aquestes resolucions poden conduir a la publicació de consells de seguretat i/o les actualitzacions de producte que calguin per als clients. Amb la finalitat de protegir els nostres clients i les seves dades, demanem que les vulnerabilitats se’ns comuniquin amb responsabilitat i de manera confidencial perquè puguem investigar-les i respondre-hi. Les vulnerabilitats no s’han d’anunciar fins que hàgim desenvolupat i provat de manera exhaustiva una actualització del producte i l'hàgim posat a la disposició dels clients amb llicència.

Els productes de Blackboard són complexos. Funcionen amb diverses configuracions de programari i maquinari, i estan connectats a moltes aplicacions de tercers. Totes les modificacions del programari, tant grans com petites, requereixen una anàlisi minuciosa així com el desenvolupament i la implementació en múltiples línies i versions del producte. El programari també s’ha de sotmetre a localització, accessibilitat i proves adients en funció del seu abast, complexitat i gravetat. Tenint en compte la importància vital dels nostres productes per als nostres clients, Blackboard s’ha d’assegurar que funcionen correctament no només als nostres centres de proves, sinó també als entorns dels clients. En conseqüència, Blackboard no pot proporcionar actualitzacions de productes seguint un calendari establert, però ens comprometem a treballar de manera expeditiva.

Els tercers malintencionats sovint exploten les vulnerabilitats del sistema aplicant l’enginyeria inversa als consells de seguretat i les actualitzacions de producte que es publiquen. És important que els clients actualitzin el programari immediatament i utilitzin el nostre sistema de classificació de la gravetat com a guia per programar millor les actualitzacions. Per tant, la discussió pública de la vulnerabilitat només és adequada després que els clients hagin pogut obtenir actualitzacions del producte.

Proves de vulnerabilitats de seguretat

Heu de dur a terme totes les proves de vulnerabilitats en instàncies dels nostres productes que no siguin les de producció a fi de minimitzar el risc per a les dades i els serveis.


Com informar d’una vulnerabilitat

Compartiu confidencialment els detalls de la vulnerabilitat potencial emplenant un formulari per a casos de vulnerabilitats.

Proporcioneu informació detallada sobre la possible vulnerabilitat perquè l’equip de seguretat de Blackboard pugui validar i reproduir el problema ràpidament. Sense aquesta informació, pot ser difícil –si no impossible– tractar la vulnerabilitat. Els informes en què s’enumerin un gran nombre de possibles vulnerabilitats sense informació detallada no es tractaran sense més aclariments. La informació detallada ha d’incloure:

  • el tipus de vulnerabilitat;
  • si la informació ha estat publicada o compartida amb tercers;
  • productes i versions afectats;
  • configuracions afectades i
  • instruccions pas a pas o codi de prova de concepte per reproduir el problema.

Compromís de Blackboard amb la seguretat

Per a tots els casos d’informes de vulnerabilitat que segueixin aquesta política, Blackboard provarà de fer el següent:

  • confirmar la recepció de l’informe;
  • investigar-ho de manera puntual, confirmant en la mesura que sigui possible la vulnerabilitat potencial;
  • proporcionar un pla i termini per tractar la vulnerabilitat, si correspon, i
  • notificar a l’informant quan s’hagi resolt la vulnerabilitat.

Reconeixement de contribucions

Blackboard no té cap programa de recompenses per a vulnerabilitats. Per tant, Blackboard no oferirà reconeixement ni compensació per informar de vulnerabilitats de seguretat.