Risposta di Wikimedia alla vulnerabilità “Heartbleed”

Logo per il bug Heartbleed

Il 7 Aprile è stato scoperto un problema in un componente centrale della sicurezza in Internet (OpenSSL). La vulnerabilità è stata ora individuata e risolta su tutti i progetti di Wikimedia. Se consulti semplicemente Wikipedia senza aver creato un account, questo problema non ti riguarda. Se, invece, hai un account su uno qualsiasi dei progetti Wikimedia, avrai bisogno di fare nuovamente il log in la prossima volta che accederai.

La vulnerabilità, denominata Heartbleed, permetteva agli attaccanti di guadagnarsi l’accesso a informazioni privilegiate su qualsiasi sito utilizzasse una versione vulnerabile del software MediaWiki. I progetti wiki della Wikimedia Foundation sono state, pertanto, potenzialmente affette da tale problema per molte ore prima che il bug fosse scoperto. Non abbiamo, tuttavia, prove di nessuna compromissione dei nostri sistemi o delle informazioni utente e per la maniera in cui i nostri server sono configurati, sarebbe stato molto difficile per un attaccante riuscire a servirsi della vulnerabilità fino a compromettere le password degli utenti.

Dopo che ci siamo accorti del bug, abbiamo iniziato da subito l’aggiornamento di tutti i nostri sistemi tramite l’installazione di versioni aggiornate del software in questione. Abbiamo iniziato a sostituire i certificati SSL compromessi e abbiamo resettato i token delle sessioni utenti. Guarda in basso il timeline della nostra risposta alla vulnerabilità.

Tutti gli utenti che hanno effettuato l’accesso inviano un token segreto di sessione contenente le richieste di accesso al sito. Se un malintenzionato fosse capace di intercettare il token, potrebbe benissimo fingere di essere l’utente che ha mandato la richiesta al sito. Resettando tutti i token abbiamo ottenuto il vantaggio di dover far riconnettere tutti gli utenti ai nostri server che nel frattempo erano già stati aggiornati in modo tale da rimuovere la minaccia di un potenziale attacco.

Vi raccomandiamo, comunque, di cambiare la vostra password come misura standard di precauzione in questi casi ma non abbiamo intenzione di forzarvi a farlo. Ancora una volta ripetiamo, sia ben chiaro, che non sono state trovate tracce di alcun attacco contro gli utenti della Wikimedia Foundation. Il motivo che ci spinge a richiedervi di cambiare password è che vogliamo che i nostri utenti siano quanto più possibile al sicuro.

Grazie per la tua comprensione e la tua pazienza.

Greg Grossmeier, a nome del team Operazioni e Piattaforme della WMF.

Cronologia della risposta di Wikimedia

(Ore in UTC)

7 Aprile:

8 Aprile:

9 Aprile:

10 Aprile:

FAQ (Domande Frequenti)

(Questa sezione verrà estesa quanto sarà necessario)

  • Come mai non è cambiata la data del “Valido dal” sul certificato SSL se è vero che l’avete sostituito?
    I provider dei nostri certificati SSL mantengono la data originale del “valido da” (a volte incorretamente chiamata “data di installazione”) su ogni certificato sostituito. Questa non è da considerarsi una pratica insolita. A prescindere dal cambio dei file .pem linkati più su nella cronologia, un altro modo con cui si può verificare l’avvenuta sostituzione è quello di comparare la firma digitale del nuovo certificato con quello vecchio.

Archive notice: This is an archived post from blog.wikimedia.org, which operated under different editorial and content guidelines than Diff.