Wikimedia Blog/Drafts/ast/Heartbleed

El 7 d'abril revelóse un problema estendíu nun componente central de la seguridá d'Internet (OpenSSL). Yá ta iguada esta escalabradura en toles wikis de Wikimedia. Si sólo llee Wikipedia sin crear nenguna cuenta, nun necesita facer nada. Si tien una cuenta d'usuari en cualquier wiki de Wikimedia, tendrá qu'aniciar una sesión nueva la próxima vez qu'use la so cuenta.

El problema, llamáu Heartbleed, permitiría a unos atacantes ganar accesu a información privilexada en cualquier sitiu qu'execute una versión frañada d'esi software. Les wikis agospiaes pola Fundación Wikimedia tuvieron afeutaes demientres delles hores después de que s'espublizara esti fallu. Sicasí, nun tenemos evidencia nenguna de que los nuestros sistemes o la información de los usuarios pudieran tar comprometíos y, pola forma particular en que tenemos configuraos los nuesos sirvidores, sedría mui difícil pa un atacante esplotar el fallu pa collechar les contraseñes de los usuarios de la wiki.

Después de conocer el problema, principiamos por anovar tolos sistemes con versiones iguáes del software en cuestión. Darréu, empezamos a sustituir los certificaos SSL críticos cara al usuariu y reaniciar tolos pases de sesión d'usuariu. Vea más abaxo un diagrama temporal completu de la nuesa respuesta.

Tolos usuarios rexistraos unvien un pase de sesión secretu con cada solicitú al sitiu. Si una persona fuina pudiera interceptar esi pase, podría suplantar a otros usuarios. El reaniciu de los pases pa tolos usuarios tien la ventaya de facer que tolos usuarios vuelvan a coneutase a los sirvidores usando la versión anovada ya iguada del software OpenSSL, torgando asina esti ataque potencial.

Recomendamos que cambie la contraseña como midida de precaución estándar, pero nesti momentu nun tenemos la intención d'obligar a tolos usuarios a facelo. Insistimos en que nun hai evidencia de que los usuarios de la Fundación Wikimedia fueran blanco d'esti ataque, pero queremos que tolos nuesos usuarios tean lo más seguros posible.

Gracies pola so comprensión y paciencia.

Greg Grossmeier, nel nome de los equipos d'Operaciones y Plataforma de la Fundación Wikimedia.

(Les hores tan en UTC)

7 d'abril:

• 17:30: El fallu Heartbleed faise públicu.
• 21:48: Ubuntu asoleya versiones reparaes del software.

8 d'abril:

• 04:03: Principiamos l'anovamientu de libssl en tolos nuesos sirvidores, principiando colos equipos d'alta prioridá.
• 09:08: Principiamos el reemplazu de los certificaos SSL.
• 13:09: Forzamos l'anovamientu de libssl en WMF Tool Labs.
• 13:46: L'anovamientu de libssl complétase'n tolos sirvidores públicos.
• 16:45: Tolos sirvidores wiki qu'usen SSL de Wikimedia con accesu pa los usuarios tienen certificaos nuevos.
• 23:08: Principiamos el reaniciu de los pases d'aniciu de sesión d'usuariu (obligando a los usuarios a volver a aniciar sesión usando los nuevos libssl y certificaos).

9 d'abril:

• 13:54: Cámbiase'l certificáu ssl ticket.wikimedia.org (l'últimu)
• 16:44: Unviamos un corréu electrónicu a tolos usuarios de ticket.wikimedia.org (OTRS) y otrs-wiki.wikimedia.org pa que cambien les contraseñes.
• 22:33: Zarróse la sesión de tolos usuarios de Bugzilla

10 d'abril:

• 08:42: Reaniciamos tolos pases d'aniciu de sesión d'usuariu de Bugzilla (bugzilla.wikimedia.org).

(Esta sección s'espanderá según se necesite).

• ¿Por qué nun cambió la data «non válidu antes de» del certificáu SSL si yá lu trocaron?

  El nuesu fornidor de certificáu SSL caltién la data orixinal «non válidu antes de» (incorreutamente llamada dacuando data de «asoleyáu el») en cualquier certificáu trocáu. Esto nun ye una práctica estraña. Amás de mirar el cambiu de los ficheros .pem enllazaos más arriba na cronoloxía, la otra manera de comprobar que tuvo llugar el cambiu ye comparar la buelga dixital del certificáu nuevu cola del anterior.