Il 7 Aprile è stato scoperto un problema in un componente centrale della sicurezza in Internet (OpenSSL). La vulnerabilità è stata ora individuata e risolta su tutti i progetti di Wikimedia. Se consulti semplicemente Wikipedia senza aver creato un account, questo problema non ti riguarda. Se, invece, hai un account su uno qualsiasi dei progetti Wikimedia, avrai bisogno di fare nuovamente il log in la prossima volta che accederai.
La vulnerabilità, denominata Heartbleed, permetteva agli attaccanti di guadagnarsi l’accesso a informazioni privilegiate su qualsiasi sito utilizzasse una versione vulnerabile del software MediaWiki. I progetti wiki della Wikimedia Foundation sono state, pertanto, potenzialmente affette da tale problema per molte ore prima che il bug fosse scoperto. Non abbiamo, tuttavia, prove di nessuna compromissione dei nostri sistemi o delle informazioni utente e per la maniera in cui i nostri server sono configurati, sarebbe stato molto difficile per un attaccante riuscire a servirsi della vulnerabilità fino a compromettere le password degli utenti.
Dopo che ci siamo accorti del bug, abbiamo iniziato da subito l’aggiornamento di tutti i nostri sistemi tramite l’installazione di versioni aggiornate del software in questione. Abbiamo iniziato a sostituire i certificati SSL compromessi e abbiamo resettato i token delle sessioni utenti. Guarda in basso il timeline della nostra risposta alla vulnerabilità.
Tutti gli utenti che hanno effettuato l’accesso inviano un token segreto di sessione contenente le richieste di accesso al sito. Se un malintenzionato fosse capace di intercettare il token, potrebbe benissimo fingere di essere l’utente che ha mandato la richiesta al sito. Resettando tutti i token abbiamo ottenuto il vantaggio di dover far riconnettere tutti gli utenti ai nostri server che nel frattempo erano già stati aggiornati in modo tale da rimuovere la minaccia di un potenziale attacco.
Vi raccomandiamo, comunque, di cambiare la vostra password come misura standard di precauzione in questi casi ma non abbiamo intenzione di forzarvi a farlo. Ancora una volta ripetiamo, sia ben chiaro, che non sono state trovate tracce di alcun attacco contro gli utenti della Wikimedia Foundation. Il motivo che ci spinge a richiedervi di cambiare password è che vogliamo che i nostri utenti siano quanto più possibile al sicuro.
Grazie per la tua comprensione e la tua pazienza.
Greg Grossmeier, a nome del team Operazioni e Piattaforme della WMF.
Cronologia della risposta di Wikimedia
(Ore in UTC)
7 Aprile:
8 Aprile:
- 04:03: Iniziamo ad aggiornare le librerie ssl su tutti i nostri server, a iniziare dalle macchine ad alta priorità.
- 09:08: Iniziamo la sostituzione dei certificati
- 13:09: Aggiorniamo energicamente le librerie ssl sul WMF Tool Labs.
- 13:46: Aggiornamento delle librerie completato.
- 16:45: Tutti i server wiki che usano SSL hanno ora i certificati nuovi correttamente sostituiti
- 23:08: Iniziamo il reset dei token di accesso (costringendo gli utenti a rifare l’accesso usando i nuovi certificati e le nuove librerie).
9 Aprile:
- 13:54: Il certificato di ticket.wikimedia.or è anch’esso sostituito (ultima sostituzione)
- 16:44: È inviata una mail a tutti gli utenti OTRS (ticket.wikimedia.org)e otrs-wiki.wikimedia.org, chiedendo loro di cambiare le password.
- 22:30: Disconnessi tutti gli utenti di Bugzilla
10 Aprile:
FAQ (Domande Frequenti)
(Questa sezione verrà estesa quanto sarà necessario)
- Come mai non è cambiata la data del “Valido dal” sul certificato SSL se è vero che l’avete sostituito?
- I provider dei nostri certificati SSL mantengono la data originale del “valido da” (a volte incorretamente chiamata “data di installazione”) su ogni certificato sostituito. Questa non è da considerarsi una pratica insolita. A prescindere dal cambio dei file .pem linkati più su nella cronologia, un altro modo con cui si può verificare l’avvenuta sostituzione è quello di comparare la firma digitale del nuovo certificato con quello vecchio.
Can you help us translate this article?
In order for this article to reach as many people as possible we would like your help. Can you translate this article to get the message out?
Start translation