Blackboard dispone di un solido programma di sicurezza che non solo agisce per prevenire la comparsa di problemi di sicurezza, ma anche per eliminarli. Blackboard esegue continui test di sicurezza interni a livello di codice (analisi statica) e a livello di applicazione (analisi dinamica) per garantire che i propri prodotti soddisfino sia le aspettative di Blackboard che quelle dei nostri clienti. Inoltre, per avere regolarmente occhi nuovi sulle nostre applicazioni, Blackboard ottiene test di penetrazione della sicurezza da fornitori di sicurezza di terze parti. Qualsiasi problema identificato viene rapidamente messo in lista per la riparazione.

È importante capire che il programma di sicurezza di Blackboard è una pratica in crescita e maturazione. Operiamo in regime di miglioramento continuo per ottimizzare le caratteristiche di sicurezza e la robustezza dei prodotti Blackboard.


La sicurezza sempre al primo posto

Blackboard si impegna a fornire ai clienti applicazioni sicure. Blackboard sviluppa i propri prodotti secondo una serie di linee guida di sicurezza progettuale derivate da molte organizzazioni come l’Open Web Application Security Project (OWASP), incluse contromisure specifiche per le principali 10 vulnerabilità OWASP. Blackboard incorpora queste pratiche di sicurezza in tutte le fasi del ciclo di vita dello sviluppo dei software (software development lifecycle, SDLC).

Blackboard utilizza diversi metodi per proteggere le proprie applicazioni, comprese valutazioni di sicurezza “top-down” attraverso il Threat Modeling e l’analisi, nonché il rilevamento delle minacce a livello di codice “bottom-up” attraverso l’analisi statica, l’analisi dinamica e test di penetrazione manuale.

Blackboard segue le linee guida alle best practice di molte organizzazioni per contribuire a rafforzare la sicurezza dei propri prodotti e programmi. Tali organizzazioni includono:

  • National Institute of Standards and Technology (NIST)
  • European Network and Information Security Agency (ENISA)
  • SANS Institute
  • Open Web Application Security Project (OWASP)
  • Cloud Security Alliance (CSA)

Threat Modeling

Quando vengono sviluppate nuove funzionalità, il Security Team valuta i requisiti e la struttura del sistema per mitigare i rischi eseguendo il Threat Modeling. Il Threat Modeling è un processo strutturato in cui vengono identificate le minacce alla sicurezza pertinenti alla funzione in esame, in modo che possano essere identificate e applicate le contromisure di sicurezza appropriate.


Codifica sicura e principali 10 vulnerabilità OWASP

I prodotti Blackboard sono sviluppati secondo una serie di linee guida di sviluppo che derivano da OWASP, comprese le contromisure specifiche per le principali 10 vulnerabilità OWASP del 2013.

A1: Injection (SQL/DOM/LDAP injection)Il nostro standard di codifica consiste nell’utilizzare variabili bind ed evitare la trascrizione di valori letterali in dichiarazioni SQL. La funzionalità LDAP è limitata all’autenticazione.
A2: Autenticazione interrotta e gestione della sessioneI prodotti Blackboard funzionano solo sotto protocollo TLS, per cui tutti i cookie sono criptati.
A3: Scripting intersito (Cross-site Scripting, XSS)Lo scripting intersito è mitigato attraverso l’uso di librerie condivise come ESAPI e standard di sviluppo. Tutti gli input di testo inviati dall’utente finale devono passare attraverso metodi di sanificazione; qualsiasi altro tipo di input (date, valori di selezione/opzione) devono essere generati da oggetti di dominio digitati, piuttosto che trascritti direttamente mediante input dell’utente.
A4: Riferimenti non sicuri a oggetti direttiTutti gli oggetti dell’applicazione sono indicati tramite un “ID”, che di solito corrisponde alla chiave primaria. Tuttavia, tutti gli oggetti eseguono il mapping, e tutti i controlli di sicurezza sono eseguiti rispetto a, un “contesto”. Ad esempio, una richiesta può fare riferimento a un “ID messaggio”, ovvero un post del forum di discussione di un corso. Lo standard di Blackboard è quello di eseguire il controllo di autorizzazione per il privilegio collegato al ruolo di un utente.
Nei casi in cui questo standard non venga applicato correttamente, il rimedio è semplice, poiché tutte le entità di dati protetti nel sistema eseguono il mapping a un contesto di sicurezza (corso o dominio).
A5: Configurazione errata della sicurezzaBlackboard segue una politica “secure-by-default”, avvalendosi di documenti e note di release quando è richiesta una speciale considerazione da parte dell’amministratore di sistema. Blackboard incoraggia i clienti a seguire la sua guida alle best practice per la configurazione sicura quando è disponibile e pertinente al prodotto Blackboard specifico.

Auditing di sicurezza
Gli eventi di sicurezza sono registrati in registri specifici per la sicurezza.

Fuga di informazioni e gestione degli errori
La gestione standard degli errori è applicata a tutte le pagine (tramite un modello di pagina e una libreria di tag standard), risultando in un output standard per tutti gli errori, specialmente quelli non riconosciuti. L’output standard può includere uno stack trace (fuga di informazioni minore), ma nessuno dei dati che erano in corso di elaborazione quando la richiesta è fallita ed è visibile solo a coloro che hanno accesso a livello di amministratore. Gli utenti senza privilegi (come gli studenti) non sono in grado di vedere tracce di stack dettagliate.

A6: Esposizione di dati sensibiliLo standard di Blackboard è quello di effettuare l’hash e la salatura delle password degli utenti con SHA-160.

I prodotti Blackboard supportano l’esecuzione sotto protocollo TLS; tuttavia, è responsabilità del distributore configurare correttamente tale protocollo quando il suo prodotto è self-hosted.

A7: Controllo dell’accesso a livello di funzione mancanteQuesto è gestito a due livelli: richiedendo che la logica di business imponga controlli di autorizzazione e assicurando che i casi di test QA coprano i requisiti di autorizzazione per diverse schermate.
A8: Cross-site Request Forgery (CSRF)La nostra struttura di sicurezza segue le raccomandazioni OWASP per i valori nonce per richiesta e la semantica POST-only. Le richieste AJAX usano valori nonce per sessione.
A9: Utilizzo di componenti con vulnerabilità noteQuesto viene mitigato conducendo regolari scansioni delle vulnerabilità sia della nostra infrastruttura che dei pacchetti software di terze parti per individuare i componenti con vulnerabilità note e sviluppare una tabella di marcia per aggiornare quelli con patch disponibili.
A10: Reindirizzamenti e inoltri non convalidatiIl Secure Coding Standard di Blackboard richiede che i reindirizzamenti e gli inoltri verifichino che siano indirizzi locali. Questa vulnerabilità è testata regolarmente.

Categorie di vulnerabilità precedenti nella top ten OWASP

Esecuzione di file dannosiI file caricati da utenti finali senza privilegi non sono mai usati come eseguibili. Gli utenti con privilegi, come ad esempio gli amministratori di sistema, possono tuttavia caricare pacchetti eseguibili denominati Building Block che estendono la funzionalità del sistema. Si presume che gli amministratori di sistema comprendano i rischi e seguano una solida revisione del fornitore e pratiche di gestione delle modifiche per l’installazione di qualsiasi Building Block di terze parti.

Tutte le dichiarazioni sulle aspettative, i piani e le prospettive future per Blackboard rappresentano il punto di vista attuale dell’azienda. I risultati reali possono differire materialmente a causa di vari fattori importanti. L’azienda prevede che eventi e sviluppi successivi determineranno il cambiamento dei propri punti di vista. Tuttavia, anche se potrà decidere di aggiornare le presenti informative in futuro, l’azienda declina specificamente qualsiasi obbligo in tal senso.


Impegno di gestione delle vulnerabilità e politica di divulgazione

Il programma di gestione delle vulnerabilità di Blackboard è regolato da questo impegno di gestione delle vulnerabilità rivolto al pubblico e dalla politica di divulgazione riportata di seguito. Nessun fornitore di software è perfetto; nel caso in cui venga identificata una vulnerabilità di sicurezza in un prodotto rilasciato, il team di sicurezza di Blackboard è pronto a rispondere.

Per richiedere assistenza per l’accesso, contatta l’help desk IT del tuo istituto. Blackboard non ha accesso alle informazioni dell’account, ai siti Web o ai contenuti del tuo istituto. Se non sai come contattare l’help desk, prova a cercare sul Web il nome dell’istituto + help desk, oppure consulta la pagina di accesso per trovare un link all’assistenza o informazioni di contatto.

Blackboard si impegna a risolvere le vulnerabilità di sicurezza in modo rapido e accurato. Tali risoluzioni potranno portare al rilascio di un Security Advisory e/o all’aggiornamento del prodotto necessario per i nostri clienti. Al fine di proteggere i clienti e i loro dati, chiediamo che le vulnerabilità ci vengano segnalate in modo responsabile e confidenziale, in modo da poter indagare e intervenire.

I prodotti Blackboard sono complessi. Funzionano su diverse configurazioni hardware e software e sono collegati a numerose applicazioni di terze parti. Ogni modifica del software, grande o piccola che sia, richiede un’analisi approfondita, così come lo sviluppo e l’implementazione su più linee e versioni di prodotto. Il software deve anche essere sottoposto a localizzazione, verifiche di accessibilità e test adeguati alla sua portata, complessità e criticità. Data l’importanza critica dei nostri prodotti per i clienti, Blackboard deve garantire che funzionino correttamente non solo nelle nostre strutture di test, ma anche negli ambienti dei clienti. Di conseguenza, Blackboard non può fornire aggiornamenti del prodotto secondo una tempistica prestabilita, ma si impegna a farlo nel più breve tempo possibile.

Spesso utenti malintenzionati sfruttano le vulnerabilità dei software mediante il reverse engineering degli avvisi di sicurezza e degli aggiornamenti dei prodotti pubblicati. È importante che i clienti aggiornino tempestivamente il software e utilizzino il nostro sistema di valutazione delle criticità come guida per programmare meglio gli aggiornamenti.

Test per le vulnerabilità di sicurezza

È necessario condurre tutti i test di vulnerabilità su istanze non di produzione dei nostri prodotti per ridurre al minimo il rischio per i dati e i servizi.


Come segnalare una vulnerabilità

Condividere in modo riservato i dettagli della potenziale vulnerabilità compilando un modulo di presentazione della vulnerabilità.

Fornire i dettagli della potenziale vulnerabilità in modo che il team di sicurezza di Blackboard possa convalidare e riprodurre rapidamente il problema. Senza le informazioni di cui sopra, può essere difficile, se non impossibile, affrontare la potenziale vulnerabilità. Le segnalazioni che elencano numerose potenziali vulnerabilità senza dettagli non saranno affrontate, senza fornire ulteriori chiarimenti. I dettagli dovranno includere:

  • Tipo di vulnerabilità;
  • Eventuale pubblicazione o condivisione delle informazioni con terzi;
  • Prodotti e versioni interessate;
  • Configurazioni interessate; e
  • Istruzioni passo per passo o codice di prova per riprodurre il problema.

Impegno di Blackboard in materia di sicurezza

A tutti coloro che segnalano possibili vulnerabilità in linea con la presente Politica, Blackboard cercherà di garantire quanto segue:

  • Riconoscere la ricezione della segnalazione;
  • Investigare in modo tempestivo, confermando dove possibile la potenziale vulnerabilità;
  • Fornire un piano e un calendario per la risoluzione della vulnerabilità, se del caso; e
  • Notificare al segnalatore l’avvenuta risoluzione della vulnerabilità.