Blackboard tiene un programa de seguridad sólido que no solo actúa para evitar los problemas de seguridad, sino que también determina sus causas. Blackboard realiza pruebas continuas a la seguridad interna a nivel del código (análisis estático) y de la aplicación (análisis dinámico) para garantizar la satisfacción de las expectativas de Blackboard y de nuestros clientes. Además, para tener otro punto de vista de nuestras aplicaciones, Blackboard utiliza regularmente los servicios de pruebas de penetración de la seguridad de proveedores externos. Se toma nota de cualquier problema identificado para proceder a su reparación.

Es importante comprender que el programa de seguridad de Blackboard es una práctica en crecimiento y desarrollo. Trabajamos para mejorar continuamente a fin de elevar los estándares de las funciones de seguridad y solidez de los productos Blackboard.


Desarrollado pensando en la seguridad

Blackboard está comprometido con ofrecer a nuestros clientes aplicaciones seguras. Blackboard desarrolla sus productos de acuerdo con una serie de pautas de ingeniería de la seguridad derivadas del Proyecto de seguridad de aplicaciones web abiertas (OWASP), entre las que se incluyen contramedidas específicas para las diez principales vulnerabilidades de OWASP. Blackboard incorpora estas prácticas de seguridad en todas las fases del ciclo de vida de desarrollo del software (SDLC).

Blackboard utiliza varios métodos para proteger nuestras aplicaciones, como las evaluaciones de seguridad "desde arriba hacia abajo" mediante modelos de amenazas y análisis, así como la detección de amenazas a nivel de código "desde abajo hacia arriba" a través de análisis estático, análisis dinámico y pruebas de penetración manual.

Blackboard sigue la guía de mejores prácticas de muchas organizaciones con el fin de fortalecer la seguridad de sus productos y programas. Estas son algunas de las organizaciones:

  • National Institute of Standards and Technology (NIST)
  • European Network and Information Security Agency (ENISA)
  • SANS Institute
  • Open Web Application Security Project (OWASP)
  • Cloud Security Alliance (CSA)

Modelos de amenazas

A medida que se desarrollan funciones nuevas, el equipo de seguridad evalúa los requisitos y el diseño del sistema para mitigar los riesgos a través de un modelo de amenazas. El modelo de amenazas es un proceso estructurado en el que se identifican las amenazas a la seguridad correspondientes a la característica que se está revisando de modo de poder detectar y aplicar las contramedidas adecuadas.


Código seguro y las diez principales vulnerabilidades de OWASP

Blackboard diseña los productos de acuerdo con una serie de pautas de desarrollo derivadas de OWASP, entre las que se incluyen contramedidas específicas para las diez principales vulnerabilidades de OWASP de 2013.

A1: inyección (inyección SQL/DOM/LDAP)Se utiliza nuestro estándar de códigos para enlazar las variables y evitar que se transcriban valores literales a las instrucciones SQL. La funcionalidad LDAP está restringida a la autenticación.
A2: administración de la sesión y autenticación incorrectaLos productos Blackboard solo se ejecutan en TLS, por lo que todas las cookies están cifradas.
A3: Scripts de sitios (XSS)Los scripts intersitios se reducen con el uso de las bibliotecas compartidas, como ESAPI y los estándares de desarrollo. Se prevé que todas las entradas de texto de los usuarios finales se sometan a métodos de depuración; en cambio, se supone que cualquier otro tipo de entrada (fechas, valores de selección/opción) será generada por objetos de dominio escritos, en vez de utilizarse una transcripción directa de la entrada del usuario.
A4: referencias a objetos directos no segurosSe hace referencia a todos los objetos de la aplicación a través de "identificadores", que por lo general corresponden a la clave principal. Sin embargo, todos los objetos corresponden a un "contexto" y todos los controles de seguridad se realizan en relación con ese contexto. Por ejemplo, una solicitud puede hacer referencia a un "identificador de mensaje" que es una publicación en el panel de debate de un curso. El estándar de Blackboard consiste en verificar la autorización del privilegio correspondiente al rol de un usuario en el curso.
En los casos en que el estándar no se aplica correctamente, la corrección es sencilla, ya que todas las entidades de datos protegidos en el sistema corresponden a un contexto de seguridad (curso o dominio).
A5: configuración incorrecta de la seguridadBlackboard respeta la política de seguridad de forma predeterminada, y las notas de la versión y la documentación se pueden utilizar en los casos en los que es necesaria la consideración del administrador del sistema. Blackboard recomienda a los clientes que respeten la guía de mejores prácticas sobre configuración segura cuando esté disponible y sea relevante al producto Blackboard específico.

Los eventos de seguridad de las auditorías de seguridad
se registran en archivos específicos de la seguridad.

Filtración de información y tratamiento de errores
El tratamiento estándar de los errores se aplica a todas las páginas (mediante un plantilla de páginas estándar y una biblioteca de etiquetas), lo que produce un resultado estándar para todos los errores, en especial aquellos no reconocidos. El resultado estándar puede incluir un seguimiento de la pila (filtración de información menos importante), pero no abarca los datos que se estaban procesando cuando se produjo el error en la solicitud y solo pueden verlo quienes tienen acceso a nivel del administrador. Los usuarios sin privilegios (como los alumnos) no pueden ver los seguimientos detallados de la pila.

A6: exposición de datos sensiblesEl estándar de Blackboard consiste en cifrar las contraseñas de los usuarios con SHA-160.

Los productos Blackboard admiten la ejecución en TLS; sin embargo, es responsabilidad del implementador la configuración correcta de TLS cuando el producto está alojado en los sistemas propios.

A7: falta de control de acceso al nivel de la funciónEste problema se trata en dos niveles: requiriendo que la lógica de negocios aplique controles de autorización y garantizando que los casos de pruebas de control de calidad abarquen los requisitos de autorización para las diversas pantallas.
A8: falsificación de solicitud entre sitios (CSRF)Nuestro marco de trabajo de seguridad sigue las recomendaciones de OWASP para los valores de uso único por solicitud y la semántica exclusiva de POST. Las solicitudes AJAX utilizan los valores de uso único por sesión.
A9: uso de los componentes con vulnerabilidades conocidasEsto puede reducirse mediante la realización de análisis de vulnerabilidades frecuentes de nuestra infraestructura y los paquetes de software de terceros para identificar los componentes con vulnerabilidades conocidas y desarrollar una guía para actualizarlos con las revisiones disponibles.
A10: redireccionamientos y reenvíos no validadosEl estándar de codificación segura de Blackboard exige la verificación de que los redireccionamientos y reenvíos se realicen a direcciones locales. Esta vulnerabilidad se prueba con frecuencia.

Categorías de vulnerabilidades anteriores a las diez principales vulnerabilidades de OWASP

Ejecución de archivos maliciososLos archivos que cargan los usuarios finales sin privilegios nunca se utilizan como archivos ejecutables. No obstante, los usuarios con privilegios (Como los administradores del sistema) pueden cargar paquetes ejecutables denominados Building Blocks que amplían la funcionalidad del sistema. Se presume que los administradores del sistema comprenden los riesgos y siguen las prácticas de administración de cambios y revisiones de proveedores de confianza con respecto a la instalación de cualquier Building Block de terceros.

Cualquier declaración sobre expectativas, planes y perspectivas para el futuro de Blackboard representan el punto de vista actual de la empresa. Los resultados reales pueden diferir de forma sustancial debido a varios factores importantes. La empresa prevé que los eventos y desarrollos posteriores hagan que el punto de vista de la empresa cambie. No obstante, si bien la empresa puede optar por actualizar oportunamente estas declaraciones, no está específicamente obligada a hacerlo.


Política de divulgación y compromiso de gestión de vulnerabilidades

El programa de gestión de vulnerabilidades de Blackboard se rige por esta Política de divulgación y compromiso de gestión de vulnerabilidades dirigida al público. Ningún proveedor de software es perfecto. En caso de que se identifique una violación de la seguridad en un producto lanzado al mercado, el equipo de seguridad de Blackboard estará listo para tomar medidas al respecto.

Si necesita ayuda para iniciar sesión, comuníquese con el servicio de asistencia de TI de su institución. Blackboard no tiene acceso a la información de la cuenta, los sitios web ni el contenido de su institución. Si no sabe cómo contactar al servicio de asistencia, intente buscar en la Web el nombre de su institución + servicio de asistencia, o consulte la página de inicio de sesión para obtener un enlace de asistencia o información de contacto.

Blackboard se compromete a solucionar las violaciones de la seguridad de forma rápida y segura. Estas medidas pueden implicar la publicación de una Advertencia de seguridad y cualquier actualización de productos necesaria para nuestros clientes. A fin de proteger a nuestros clientes y sus datos, se deben informar las vulnerabilidades forma responsable y confidencial para que podamos investigarlas y tomar medidas al respecto. No deben divulgarse hasta que hayamos desarrollado y probado de manera exhaustiva la actualización de un producto y la hayamos puesto a disposición de los clientes con licencia.

Los productos de Blackboard son complejos. Se ejecutan en diferentes configuraciones de hardware y software y se conectan a muchas aplicaciones externas. Todas las modificaciones de software, ya sean grandes o pequeñas, requieren un análisis exhaustivo, así como su desarrollo e implementación en varias versiones y líneas de productos. Asimismo, el software debe someterse a la localización, la accesibilidad y las pruebas adecuadas conforme su alcance, complejidad y gravedad. Dada la importancia fundamental de nuestros productos para nuestros clientes, Blackboard debe garantizar que se ejecuten correctamente tanto en nuestras instalaciones de pruebas como en los entornos de los clientes. Por eso, Blackboard no puede ofrecer actualizaciones de productos sujetas a un plazo definido, pero nos comprometemos a trabajar con celeridad.

Los usuarios malintencionados suelen aprovecharse de las vulnerabilidades del software aplicando ingeniería inversa en las actualizaciones de productos y las advertencias de seguridad publicadas. Es importante que los clientes actualicen el software rápidamente y utilicen nuestro sistema de clasificación de gravedad como guía para programar mejor las actualizaciones. Por lo tanto, será conveniente realizar el debate público acerca de la vulnerabilidad solo después de que los clientes hayan obtenido las actualizaciones de los productos.

Pruebas de las violaciones de la seguridad

Debe llevar a cabo todas las pruebas de vulnerabilidad en las instancias de prueba de nuestros productos a fin de minimizar el riesgo para los datos y los servicios.


Cómo informar sobre una violación de la seguridad

Comparta la información sobre la posible violación de la seguridad de forma confidencial completando un formulario de envío de vulnerabilidades.

Brinde detalles acerca de la vulnerabilidad potencial para que el equipo de seguridad de Blackboard pueda validar y reproducir el problema rápidamente. Sin la información anterior, podría ser difícil o imposible solucionarla. En el caso de que se informen varias vulnerabilidades posibles sin información detallada, no se abordarán sin más aclaraciones. Los detalles deben incluir lo siguiente:

  • Cuál es el tipo de vulnerabilidad.
  • Si se ha publicado o compartido la información con terceros.
  • Qué productos y versiones se vieron afectados.
  • Qué configuraciones se vieron afectadas.
  • Cuáles son las instrucciones paso a paso o el código de la prueba de concepto para reproducir el problema.

Compromiso de seguridad de Blackboard

Para todos aquellos que informen vulnerabilidades según la presente Política, Blackboard intentará hacer lo siguiente:

  • Acusar el recibo de su informe.
  • Investigar la posible violación de la seguridad de manera oportuna y confirmarla, cuando sea posible.
  • Proporcionar un plan y un plazo para solucionar la vulnerabilidad, cuando sea necesario.
  • Notificar a la persona que informó sobre dicha vulnerabilidad cuando se haya resuelto.

Reconocimiento de la contribución

Blackboard no cuenta con un programa de recompensa por la detección de vulnerabilidades. Por lo tanto, no brindará ningún reconocimiento ni retribución por informar sobre las violaciones de la seguridad.