A Blackboard tem um programa de segurança robusto que atua para prevenir o surgimento de problemas de segurança, bem como para eliminá-los. A Blackboard executa testes contínuos de segurança interna no nível de código (análise estática) e no nível de aplicativo (análise dinâmica) para garantir que atenda às expectativas da Blackboard e de nossos clientes. Além disso, para monitorar nossos aplicativos com frequência, a Blackboard adquire testes de invasão na segurança com fornecedores de segurança. Quaisquer problemas identificados são rapidamente designados para serem reparados.

É importante perceber que o programa de segurança da Blackboard é uma prática crescente e consolidada. Operamos com uma melhoria contínua para elevarmos o nível no que diz respeito a recursos de segurança e robustez em produtos da Blackboard.


Desenvolvido com foco em segurança

A Blackboard tem o compromisso de fornecer aplicativos seguros aos nossos clientes. A Blackboard desenvolve nossos produtos de acordo com um conjunto de diretrizes de engenharia de segurança derivadas de muitas organizações, como o Projeto Aberto de Segurança em Aplicações Web (OWASP, Open Web Application Security Project), que inclui contramedidas específicas para as 10 principais vulnerabilidades do OWASP. A Blackboard incorpora essas práticas de segurança em todas as etapas do ciclo de vida do desenvolvimento de software (SDLC, na sigla em inglês).

A Blackboard utiliza vários métodos para proteger nossos aplicativos, incluindo avaliações de segurança "de cima para baixo" por meio de análises e Modelagem de ameaças, além de detecção de ameaças "de baixo para cima" no nível de código, por meio de análise estática, análise dinâmica e testes manuais de invasão.

A Blackboard segue as práticas recomendadas de muitas organizações para ajudar a fortalecer a segurança de nossos produtos e programas. Vale destacar algumas organizações:

  • Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology)
  • Agência Europeia para a Segurança das Redes e da Informação (ENISA, European Network and Information Security Agency)
  • SANS Institute
  • OWASP (Open Web Application Security Project)
  • Aliança para Segurança na Nuvem (CSA, Cloud Security Alliance)

Modelagem de ameaças

À medida que novos recursos são desenvolvidos, a equipe de segurança avalia os requisitos e o design do sistema para ajudar a mitigar os riscos ao realizar a modelagem de ameaças. A modelagem de ameaças é um processo estruturado em que as ameaças de segurança pertinentes ao recurso em análise são identificadas para que as contramedidas de segurança adequadas possam ser identificadas e aplicadas.


Codificação segura e as 10 principais vulnerabilidades do OWASP

Os produtos da Blackboard são desenvolvidos de acordo com um conjunto de diretrizes de desenvolvimento derivadas do OWASP, incluindo contramedidas específicas para as dez principais vulnerabilidades do OWASP para 2013.

A1: Injeção (Injeção de SQL/DOM/LDAP)Nosso padrão de codificação é usar variáveis de associação e evitar expressões literais transcritas em instruções SQL. A funcionalidade LDAP é restrita à autenticação.
A2: Autenticação quebrada e gerenciamento de sessãoOs produtos da Blackboard são executados somente em TLS, para que todos os cookies sejam criptografados.
A3: Scripts entre sites (XSS, Cross-site Scripting)Os scripts entre sites são mitigados por meio do uso de bibliotecas compartilhadas, como ESAPI e padrões de desenvolvimento. Toda entrada de texto enviada pelo usuário final deverá passar por métodos de limpeza. Espera-se que quaisquer outros tipos de entrada (datas, valores de seleção/opção) sejam gerados de objetos de domínio digitados, em vez de transcritos diretamente da entrada do usuário.
A4: Referências diretas inseguras a objetosTodos os objetos do aplicativo são referenciados por meio de "ids" que normalmente mapeiam para a chave primária. No entanto, todos os objetos mapeiam e todas as verificações de segurança são executadas com base em um "contexto". Por exemplo, uma solicitação pode fazer referência a um "id de mensagem" que é uma postagem do fórum de discussão para um curso. O padrão da Blackboard é executar a verificação de autorização para o privilégio associado à função de um usuário.
Nos casos em que esse padrão não é aplicado corretamente, a correção é simples, pois todas as entidades de dados protegidas no sistema mapeiam para um contexto de segurança (curso ou domínio).
A5: Configuração de segurança incorretaA Blackboard segue uma política segura por padrão, com notas de versão e documentação utilizadas quando se exige a consideração especial do administrador do sistema. A Blackboard incentiva os clientes a seguir o guia de melhores práticas de configuração segura quando estiver disponível e for relevante para o seu produto da Blackboard específico.

Auditoria de segurança
Eventos de segurança são registrados em registros específicos de segurança.

Vazamento de informações e tratamento de erros
O tratamento de erros padrão é aplicado a todas as páginas (por meio de um modelo de página padrão e uma biblioteca de tags), resultando em uma saída padrão para todos os erros, especialmente os não reconhecidos. A saída padrão pode incluir um rastreamento de pilha (vazamento de informações mínimo), mas não inclui nenhum dos dados que estavam sendo processados quando a solicitação falhou, e só é visível para aqueles com acesso no nível do administrador. Usuários não privilegiados (como alunos) não conseguem ver os rastreamentos de pilha detalhados.

A6: Exposição de dados confidenciaisO padrão da Blackboard é aplicar hash e sal às senhas de usuários com SHA-160.

Os produtos da Blackboard são compatíveis com execução em TLS. No entanto, é responsabilidade de quem implementa configurar corretamente o TLS quando o produto for auto-hospedado.

A7: Controle de acesso sem nível de funçãoIsso é gerenciado em dois níveis, exigindo que a lógica de negócios imponha verificações de autorização e assegurando que os casos de teste de QA cubram os requisitos de autorização para diferentes telas.
A8: Falsificação de solicitações entre sites (CSRF, Cross-site Request Forgery)Nossa estrutura de segurança segue as recomendações da OWASP para valores de nonce por solicitação e semânticas de POST apenas. As solicitações AJAX usam valores de nonce por sessão.
A9: Uso de componentes com vulnerabilidades conhecidasIsso é mitigado com a realização de verificações de vulnerabilidade regulares da nossa infraestrutura e dos pacotes de software de terceiros, com o intuito de identificar componentes com vulnerabilidades conhecidas e desenvolver um roteiro para atualizar aqueles com patches disponíveis.
A10: Redirecionamentos e encaminhamentos não validadosO padrão de codificação segura da Blackboard exige que se verifique se os redirecionamentos e encaminhamentos são endereços locais. Essa vulnerabilidade é testada regularmente.

As dez principais categorias de vulnerabilidades anteriores da OWASP

Execução de arquivos mal-intencionadosOs arquivos carregados por usuários finais não privilegiados nunca são usados como executáveis. Usuários privilegiados (ou seja, Administradores do sistema) podem, no entanto, carregar pacotes executáveis chamados de Building Blocks que estendem a funcionalidade do sistema. Assume-se que os Administradores do sistema entendem os riscos e seguem as revisões adequadas do fornecedor de som e as práticas de gerenciamento de mudanças em torno da instalação de qualquer Building Block de terceiros.

Qualquer declaração sobre expectativas, perspectivas e planos futuros para a Blackboard representa os pontos de vista atuais da Empresa. Os resultados reais podem diferir materialmente devido a vários fatores importantes. A Empresa antecipa desde já que eventos e desenvolvimentos subsequentes farão com que os pontos de vista da Empresa mudem. No entanto, embora a Empresa possa optar por atualizar essas declarações em algum momento no futuro, a Empresa renuncia, especificamente, a qualquer obrigação de fazê-lo.


Compromisso com o gerenciamento de vulnerabilidades e política de divulgação

O programa de gerenciamento de vulnerabilidades da Blackboard é regido pelo Compromisso com o gerenciamento de vulnerabilidades e política de divulgação, voltados ao público. Nenhum fornecedor de software é perfeito — no caso de uma vulnerabilidade de segurança ser identificada em um produto lançado, a equipe de segurança do Blackboard está pronta para responder.

Para obter ajuda para fazer logon, você precisa entrar em contato com o suporte técnico de TI da instituição. A Blackboard não tem acesso às informações de conta, aos sites da web ou ao conteúdo da instituição. Se você não souber como entrar em contato com o suporte técnico, tente pesquisar na web o nome da instituição “+ suporte técnico” ou procure por um link de suporte ou informações de contato na página de logon.

A Blackboard está comprometida em resolver as vulnerabilidades de segurança com rapidez e cuidado. Essas resoluções podem levar ao lançamento de um informativo de segurança e/ou qualquer atualização de produto necessária para nossos clientes. Para proteger nossos clientes e seus dados, solicitamos que as vulnerabilidades sejam relatadas de forma responsável e confidencial para que possamos investigar e responder. As vulnerabilidades não devem ser anunciadas até que tenhamos desenvolvido e testado exaustivamente uma atualização de produto e a disponibilizado aos clientes licenciados.

Os produtos da Blackboard são complexos. Eles são executados em diversas configurações de hardware e software e são conectados a muitos aplicativos de terceiros. Todas as modificações de software — grandes ou pequenas — exigem análise completa, bem como desenvolvimento e implementação em várias linhas e versões de produtos. O software também deve passar por localização, acessibilidade e testes apropriados a seu escopo, complexidade e gravidade. Dada a importância crucial dos nossos produtos para nossos clientes, a Blackboard deve garantir que eles funcionem corretamente não apenas em nossas instalações de testes, mas também nos ambientes do cliente. Portanto, a Blackboard não pode fornecer atualizações de produto de acordo com uma linha de tempo definida, mas estamos comprometidos a trabalhar com rapidez.

Partes mal-intencionadas frequentemente exploram vulnerabilidades de software fazendo engenharia reversa de informativos de segurança publicados e atualizações de produtos. É importante que os clientes atualizem o software imediatamente e usem nosso sistema de classificação de gravidade como um guia para melhor programar as atualizações. Portanto, a discussão pública da vulnerabilidade só é apropriada depois que os clientes têm a oportunidade de obter atualizações de produtos.

Teste de vulnerabilidades de segurança

Você deve realizar todos os testes de vulnerabilidade em relação a instâncias de não produção de nossos produtos para minimizar o risco a dados e serviços.


Como relatar uma vulnerabilidade

Compartilhe de forma confidencial detalhes da possível vulnerabilidade preenchendo um formulário de envio de vulnerabilidade.

Forneça detalhes da possível vulnerabilidade para que a equipe de segurança da Blackboard possa validar e reproduzir o problema rapidamente. Sem as informações acima, pode ser difícil ou mesmo impossível lidar com a possível vulnerabilidade. Os relatórios que relacionarem várias possíveis vulnerabilidades sem fornecer detalhes não serão tratados sem maiores esclarecimentos. Os detalhes devem incluir:

  • o tipo de vulnerabilidade;
  • se as informações foram publicadas ou compartilhadas com outras partes;
  • os produtos e versões afetados;
  • as configurações afetadas e
  • instruções passo-a-passo ou o código de prova de conceito para reproduzir o problema.

Compromisso de segurança da Blackboard

Para todos os relatórios de vulnerabilidades que seguirem essa política, a Blackboard tentará fazer o seguinte:

  • confirmar o recebimento do relatório;
  • investigar em tempo hábil, confirmando, quando for possível, a vulnerabilidade em potencial;
  • fornecer um plano e um cronograma para tratar a vulnerabilidade, se apropriado, e
  • notificar o informante da vulnerabilidade quando a vulnerabilidade tiver sido resolvida.

Reconhecimento de contribuição

A Blackboard não tem um programa de recompensas para relatos de vulnerabilidade. Dessa forma, a Blackboard não fornecerá reconhecimento ou compensação para quem relatar vulnerabilidades de segurança.