Wikimedia Blog/Bozze/Heartbleed

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 97% complete.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

Risposta di Wikimedia alla vulnerabilità "Heartbleed"

Logo per il bug Heartbleed

Il 7 aprile è stato scoperto un problema in un componente centrale della sicurezza in Internet (OpenSSL). La vulnerabilità è stata ora individuata e risolta su tutti i progetti di Wikimedia. Se consulti semplicemente Wikipedia senza aver creato un account, questo problema non ti riguarda. Se, invece, hai un account su uno qualsiasi dei progetti Wikimedia, avrai bisogno di fare nuovamente il log in la prossima volta che accederai.

La vulnerabilità, denominata Heartbleed, permetteva ai malintenzionati di ottenere l'accesso a informazioni privilegiate su qualsiasi sito che utilizzasse una versione vulnerabile del software MediaWiki. I progetti wiki della Wikimedia Foundation sono stati, pertanto, potenzialmente affetti da tale problema per molte ore prima che il bug fosse scoperto. Non abbiamo, tuttavia, prove di nessuna compromissione dei nostri sistemi o delle informazioni utente. Per la maniera in cui i nostri server sono configurati, sarebbe stato molto difficile per un attaccante riuscire a sfruttare la vulnerabilità fino a compromettere le password degli utenti.

Dopo che ci siamo accorti del bug, abbiamo iniziato subito l'aggiornamento di tutti i nostri sistemi tramite l'installazione di versioni aggiornate del software in questione. Abbiamo iniziato a sostituire i certificati SSL compromessi e abbiamo resettato i token delle sessioni utenti. Guarda qui sotto la cronologia della nostra risposta alla vulnerabilità.

Tutti gli utenti che hanno effettuato l'accesso inviano un token segreto di sessione contenente le richieste di accesso al sito. Se un malintenzionato fosse capace di intercettare il token, potrebbe benissimo fingere di essere l'utente che ha mandato la richiesta al sito. Resettando tutti i token abbiamo ottenuto il vantaggio di dover far riconnettere tutti gli utenti ai nostri server che nel frattempo erano già stati aggiornati in modo tale da rimuovere la minaccia di un potenziale attacco.

Vi raccomandiamo, comunque, di cambiare la vostra password come misura standard di precauzione in questi casi ma non abbiamo intenzione di obbligarvi a farlo. Ancora una volta ripetiamo, sia ben chiaro, che non sono state trovate tracce di alcun attacco contro gli utenti della Wikimedia Foundation. Il motivo che ci spinge a richiedervi di cambiare password è che vogliamo che i nostri utenti siano quanto più possibile al sicuro.

Grazie per la tua comprensione e la tua pazienza.

Greg Grossmeier, a nome del team Operazioni e Piattaforme della WMF.

Cronologia della risposta di Wikimedia

(Ore in UTC)

7 aprile:

8 aprile:

9 aprile:

10 aprile:

FAQ (Domande Frequenti)

(Questa sezione verrà estesa secondo le necessità)

  • Come mai non è cambiata la data del "Valido dal" sul certificato SSL se è vero che l'avete sostituito?
    I provider dei nostri certificati SSL mantengono la data originale del "valido da" (a volte erroneamente chiamata "data di installazione") su ogni certificato sostituito. Questa non è da considerarsi una pratica insolita. A prescindere dal cambio dei file .pem linkati più su nella cronologia, un altro modo con cui si può verificare l'avvenuta sostituzione è quello di confrontare la firma digitale del nuovo certificato con quello vecchio.