Wikimedia Blog/Bozze/Heartbleed

Il 7 aprile è stato scoperto un problema in un componente centrale della sicurezza in Internet (OpenSSL). La vulnerabilità è stata ora individuata e risolta su tutti i progetti di Wikimedia. Se consulti semplicemente Wikipedia senza aver creato un account, questo problema non ti riguarda. Se, invece, hai un account su uno qualsiasi dei progetti Wikimedia, avrai bisogno di fare nuovamente il log in la prossima volta che accederai.

La vulnerabilità, denominata Heartbleed, permetteva ai malintenzionati di ottenere l'accesso a informazioni privilegiate su qualsiasi sito che utilizzasse una versione vulnerabile del software MediaWiki. I progetti wiki della Wikimedia Foundation sono stati, pertanto, potenzialmente affetti da tale problema per molte ore prima che il bug fosse scoperto. Non abbiamo, tuttavia, prove di nessuna compromissione dei nostri sistemi o delle informazioni utente. Per la maniera in cui i nostri server sono configurati, sarebbe stato molto difficile per un attaccante riuscire a sfruttare la vulnerabilità fino a compromettere le password degli utenti.

Dopo che ci siamo accorti del bug, abbiamo iniziato subito l'aggiornamento di tutti i nostri sistemi tramite l'installazione di versioni aggiornate del software in questione. Abbiamo iniziato a sostituire i certificati SSL compromessi e abbiamo resettato i token delle sessioni utenti. Guarda qui sotto la cronologia della nostra risposta alla vulnerabilità.

Tutti gli utenti che hanno effettuato l'accesso inviano un token segreto di sessione contenente le richieste di accesso al sito. Se un malintenzionato fosse capace di intercettare il token, potrebbe benissimo fingere di essere l'utente che ha mandato la richiesta al sito. Resettando tutti i token abbiamo ottenuto il vantaggio di dover far riconnettere tutti gli utenti ai nostri server che nel frattempo erano già stati aggiornati in modo tale da rimuovere la minaccia di un potenziale attacco.

Vi raccomandiamo, comunque, di cambiare la vostra password come misura standard di precauzione in questi casi ma non abbiamo intenzione di obbligarvi a farlo. Ancora una volta ripetiamo, sia ben chiaro, che non sono state trovate tracce di alcun attacco contro gli utenti della Wikimedia Foundation. Il motivo che ci spinge a richiedervi di cambiare password è che vogliamo che i nostri utenti siano quanto più possibile al sicuro.

Grazie per la tua comprensione e la tua pazienza.

Greg Grossmeier, a nome del team Operazioni e Piattaforme della WMF.

(Ore in UTC)

7 aprile:

• 17:30 La vulnerabilità è resa pubblica.
• 21:48: Ubuntu rilascia una versione aggiornata del software

8 aprile:

• 04:03: Iniziamo ad aggiornare le librerie ssl su tutti i nostri server, a iniziare dalle macchine ad alta priorità.
• 09:08: Iniziamo la sostituzione dei certificati.
• 13:09: Aggiorniamo d'autorità le librerie ssl sul WMF Tool Labs.
• 13:46: Aggiornamento delle librerie completato.
• 16:45: Tutti i server wiki che usano SSL hanno ora i certificati nuovi correttamente sostituiti.
• 23:08: Iniziamo il reset dei token di accesso (costringendo gli utenti a rifare l'accesso usando i nuovi certificati e le nuove librerie).

9 aprile:

• 13:54: Il certificato ssl di ticket.wikimedia.org è anch'esso sostituito (ultima sostituzione).
• 16:44: È inviata una mail a tutti gli utenti OTRS (ticket.wikimedia.org)e otrs-wiki.wikimedia.org, chiedendo loro di cambiare le password.
• 22:30: Disconnessi tutti gli utenti di Bugzilla

10 aprile:

• 08:42: Resettiamo anche tutti i token d'accesso utente su bugzilla (bugzilla.wikimedia.org).

(Questa sezione verrà estesa secondo le necessità)

• Come mai non è cambiata la data del "Valido dal" sul certificato SSL se è vero che l'avete sostituito?

  I provider dei nostri certificati SSL mantengono la data originale del "valido da" (a volte erroneamente chiamata "data di installazione") su ogni certificato sostituito. Questa non è da considerarsi una pratica insolita. A prescindere dal cambio dei file .pem linkati più su nella cronologia, un altro modo con cui si può verificare l'avvenuta sostituzione è quello di confrontare la firma digitale del nuovo certificato con quello vecchio.