Blackboard tiene un programa de seguridad sólido que no solo actúa para evitar los problemas de seguridad, sino que también determina sus causas. Blackboard realiza pruebas continuas a la seguridad interna a nivel del código (análisis estático) y de la aplicación (análisis dinámico) para garantizar la satisfacción de las expectativas de Blackboard y de nuestros clientes. Además, para tener otro punto de vista de nuestras aplicaciones, Blackboard utiliza regularmente los servicios de pruebas de penetración de la seguridad de proveedores externos. Se toma nota de cualquier problema identificado para proceder a su reparación.

Es importante comprender que el programa de seguridad de Blackboard es una práctica en crecimiento y desarrollo. Trabajamos para mejorar continuamente a fin de elevar los estándares de las funciones de seguridad y solidez de los productos Blackboard.


Desarrollado pensando en la seguridad

Blackboard está comprometido con ofrecer a nuestros clientes aplicaciones seguras. Blackboard desarrolla sus productos de acuerdo con una serie de pautas de ingeniería de la seguridad derivadas del Proyecto de seguridad de aplicaciones web abiertas (OWASP), entre las que se incluyen contramedidas específicas para las diez principales vulnerabilidades de OWASP. Blackboard incorpora estas prácticas de seguridad en todas las fases del ciclo de vida de desarrollo del software (SDLC).

Blackboard utiliza varios métodos para proteger nuestras aplicaciones, como las evaluaciones de seguridad "desde arriba hacia abajo" mediante modelos de amenazas y análisis, así como la detección de amenazas a nivel de código "desde abajo hacia arriba" a través de análisis estático, análisis dinámico y pruebas de penetración manual.

Blackboard sigue la guía de mejores prácticas de muchas organizaciones con el fin de fortalecer la seguridad de sus productos y programas. Estas son algunas de las organizaciones:

  • National Institute of Standards and Technology (NIST)
  • European Network and Information Security Agency (ENISA)
  • SANS Institute
  • Open Web Application Security Project (OWASP)
  • Cloud Security Alliance (CSA)

Modelos de amenazas

A medida que se desarrollan funciones nuevas, el equipo de seguridad evalúa los requisitos y el diseño del sistema para mitigar los riesgos a través de un modelo de amenazas. El modelo de amenazas es un proceso estructurado en el que se identifican las amenazas a la seguridad correspondientes a la característica que se está revisando de modo de poder detectar y aplicar las contramedidas adecuadas.


Código seguro y las diez principales vulnerabilidades de OWASP

Los productos Blackboard están desarrollados de acuerdo con una serie de pautas de desarrollo derivadas de OWASP, entre las que se incluyen contramedidas específicas para las diez principales vulnerabilidades de OWASP de 2013.

A1: inyección (inyección SQL/DOM/LDAP)Se utiliza nuestro estándar de códigos para enlazar las variables y evitar que se transcriban valores literales a las instrucciones SQL. La funcionalidad LDAP está restringida a la autenticación.
A2: administración de la sesión y autenticación incorrectaLos productos Blackboard solo se ejecutan en TLS, por lo que todas las cookies están cifradas.
A3: Scripts de sitios (XSS)Los scripts intersitios se reducen con el uso de las bibliotecas compartidas, como ESAPI y los estándares de desarrollo. Se prevé que todas las entradas de texto de los usuarios finales se sometan a métodos de depuración; en cambio, se supone que cualquier otro tipo de entrada (fechas, valores de selección/opción) será generada por objetos de dominio escritos, en vez de utilizarse una transcripción directa de la entrada del usuario.
A4: referencias a objetos directos no segurosSe hace referencia a todos los objetos de la aplicación a través de "identificadores", que por lo general corresponden a la clave principal. Sin embargo, todos los objetos corresponden a un "contexto" y todos los controles de seguridad se realizan en relación con ese contexto. Por ejemplo, una solicitud puede hacer referencia a un "identificador de mensaje" que es una publicación en el panel de debate de un curso. El estándar de Blackboard consiste en verificar la autorización del privilegio correspondiente al rol de un usuario en el curso.
En los casos en que el estándar no se aplica correctamente, la corrección es sencilla, ya que todas las entidades de datos protegidos en el sistema corresponden a un contexto de seguridad (curso o dominio).
A5: configuración incorrecta de la seguridadBlackboard respeta la política de seguridad de forma predeterminada, y las notas de la versión y la documentación se pueden utilizar en los casos en los que es necesaria la consideración del administrador del sistema. Blackboard recomienda a los clientes que respeten la guía de mejores prácticas sobre configuración segura cuando esté disponible y sea relevante al producto Blackboard específico.

Los eventos de seguridad de las auditorías de seguridad
se registran en archivos específicos de la seguridad.

Filtración de información y tratamiento de errores
El tratamiento estándar de los errores se aplica a todas las páginas (mediante un plantilla de páginas estándar y una biblioteca de etiquetas), lo que produce un resultado estándar para todos los errores, en especial aquellos no reconocidos. El resultado estándar puede incluir un seguimiento de la pila (filtración de información menos importante), pero no abarca los datos que se estaban procesando cuando se produjo el error en la solicitud y solo pueden verlo quienes tienen acceso a nivel del administrador. Los usuarios sin privilegios (como los alumnos) no pueden ver los seguimientos detallados de la pila.

A6: exposición de datos sensiblesEl estándar de Blackboard consiste en cifrar las contraseñas de los usuarios con SHA-160.

Los productos Blackboard admiten la ejecución en TLS; sin embargo, es responsabilidad del implementador la configuración correcta de TLS cuando el producto está alojado en los sistemas propios.

A7: falta de control de acceso al nivel de la funciónEste problema se trata en dos niveles: requiriendo que la lógica de negocios aplique controles de autorización y garantizando que los casos de pruebas de control de calidad abarquen los requisitos de autorización para las diversas pantallas.
A8: falsificación de solicitud entre sitios (CSRF)Nuestro marco de trabajo de seguridad sigue las recomendaciones de OWASP para los valores de uso único por solicitud y la semántica exclusiva de POST. Las solicitudes AJAX utilizan los valores de uso único por sesión.
A9: uso de los componentes con vulnerabilidades conocidasEsto puede reducirse mediante la realización de análisis de vulnerabilidades frecuentes de nuestra infraestructura y los paquetes de software de terceros para identificar los componentes con vulnerabilidades conocidas y desarrollar una guía para actualizarlos con las revisiones disponibles.
A10: redireccionamientos y reenvíos no validadosEl estándar de codificación segura de Blackboard exige la verificación de que los redireccionamientos y reenvíos se realicen a direcciones locales. Esta vulnerabilidad se prueba con frecuencia.

Cualquier declaración sobre expectativas, planes y perspectivas para el futuro de Blackboard representan el punto de vista actual de la empresa. Los resultados reales pueden diferir de forma sustancial debido a varios factores importantes. La empresa prevé que los eventos y desarrollos posteriores hagan que el punto de vista de la empresa cambie. No obstante, si bien la empresa puede optar por actualizar oportunamente estas declaraciones, no está específicamente obligada a hacerlo.