Wikimedia Blog/Drafts/Heartbleed/pt-br: Difference between revisions

Content deleted Content added

Inline

Latest revision as of 03:33, 10 December 2022

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

Resposta da Wikimedia à vulnerabilidade de segurança "Heartbleed"

Em 7 de abril, foi revelado um problema generalizado em um componente central da segurança na internet (OpenSSL). A vulnerabilidade já foi corrigida em todas as wikis da Wikimedia. Se você apenas lê a Wikipédia sem criar uma conta de usuário, não é necessário que você faça nada. Se você possui uma conta em qualquer uma das wikis, você deve logar-se novamente da próxima vez que acessá-la.

Esse problema, chamado de Heartbleed, permitiria que pessoas mal intencionadas ganhassem acesso à informações privilegiadas em qualquer site que possuísse uma versão vulnerável do programa. Wikis da Fundação Wikimedia estiveram potencialmente afetadas por essa vulnerabilidade por várias horas após a divulgação da falha. Entretanto, não tivemos evidências de nenhum comprometimento em nossos sistemas ou nas informações de nossos usuários, e devido à forma particular como nossos bancos de dados são configurados, seria bem difícil para um hacker explorar a vulnerabilidade com o intuito de adquirir as senhas de usuários das wikis.

Após ficarmos cientes da vulnerabilidade, começamos a atualizar nossos sistemas com versões corrigidas do software em questão. Em seguida, começamos a substituir os certificados SSL críticos e resetamos todos os tokens de sessão dos usuários. Veja o cronograma completo da nossa resposta abaixo.

Todos os usuários logados enviam um token secreto a cada pedido ao site. Se uma pessoa mal-intencionada fosse capaz de intercetar este token, poderia fazer-se passar por esse usuário. Ao resetar todos os tokens, forçamos os usuários a se logarem aos nossos servidores utilizando a versão atualizada e corrigida do software OpenSSL, eliminando assim a possibilidade deste ataque.

Nós recomendamos que você altere sua senha como um ato de precaução, todavia não é nossa pretensão que essa mudança de senha seja para todos os usuários. Novamente, não houve evidência de que os usuários Wikimedia Foundation tenha sido atingidos por esse ataque, mas desejamos que todos os nossos usuários estejam tão seguros quanto possível.

Agradecemos pela sua compreensão e paciência.

Greg Grossmeier, no interesse da equipe de Operações e Plataformas da WMF

Linha do tempo da reposta da Wikimedia

(Os horários estão em UTC)

7 de abril:

17:30:O bug The Heartbleed é divulgado.
21:48: Ubuntu libera versões atualizadas do programa.

8 de abril:

04:03:Iniciamos a atualização da libssl em todos os nossos servidores, começando nas máquinas de maior prioridade.
09:08:Iniciamos a substituição dos certificados SSL.
13:09:Forçamos a atualização da libssl no WMF Tool Labs.
13:46:A atualização do libssl fica completa em todos os servidores públicos.
16:45:Todos os servidores wiki da Wikimedia acessíveis aos usuários que usam SSL passam a ter certificados novos.
23:08:Começámos a resetar os tokens de login dos usuários(forçando-os a fazer novamente login, usando a nova libssl e os novos certificados.)

9 de Abril:

13:54:É substituído o certificado ssl do ticket.wikimedia.org(o último)
16:44: É enviado um email a todos os utilizadores do ticket.wikimedia.org (OTRS) e do otrs-wiki.wikimedia.org solicitando que alterem suas senhas.
22:33: Todos os usuários do Bugzilla foram deslogados

10 de Abril:

08:42: Demos reset em todos os tokens dos usuários do Bugzilla (bugzilla.wikimedia.org).

Perguntas mais frequentes

(Esta secção será expandida conforme necessidade)

Porque é que a data "não válido antes de" não mudou no certificado SSL se vocês já o substituíram?
O nosso provedor de certificados SSL conserva a data original "não válido antes de" (algumas vezes chamado, ainda que incorretamente, de "publicado em") em qualquer certificado substituído. Não se trata de uma prática incomum. Para além de observar as mudanças nos arquivos .pem linkados acima na linha do tempo, pode-se também verificar que a substituição foi efetivada comparando a assinatura digital (fingerprint) do novo certificado com a do anterior.

@@ Line 1: / Line 1: @@
-''This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/ . You are welcome to add translations here.''
+<span lang="en" dir="ltr" class="mw-content-ltr">''This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.''</span>
 <languages />
@@ Line 31: / Line 31: @@
 de abril:
 * 04:03:[https://wikitech.wikimedia.org/w/index.php?title=Server_Admin_Log&diff=prev&oldid=108927 Iniciamos a atualização da ''libssl'' em todos os nossos servidores, começando nas máquinas de maior prioridade.]
-* 09:08:[https://git.wikimedia.org/commit/operations%2Fpuppet.git/48a4b710d56f9af3ce46db34b7f7cd3858ed09cd Iniciamos a substituição dos certificados SSL.]
+* <span class="mw-translate-fuzzy">09:08:[https://phabricator.wikimedia.org/rOPUP48a4b710d56f9af3ce46db34b7f7cd3858ed09cd Iniciamos a substituição dos certificados SSL.]</span>
-* 13:09:[https://git.wikimedia.org/commit/operations%2Fpuppet.git/843433f93f51436eb4bd7c93ad55fee1888dd062 Forçamos a atualização da ''libssl'' no WMF Tool Labs.]
+* <span class="mw-translate-fuzzy">13:09:[https://phabricator.wikimedia.org/rOPUP843433f93f51436eb4bd7c93ad55fee1888dd062 Forçamos a atualização da ''libssl'' no WMF Tool Labs.]</span>
 * 13:46:[https://wikitech.wikimedia.org/w/index.php?title=Server_Admin_Log&diff=prev&oldid=109006 A atualização do ''libssl'' fica completa em todos os servidores públicos.]
-* 16:45:[https://git.wikimedia.org/commit/operations%2Fpuppet.git/89ec3fbbb99cf4d856ea5632c95d57ee88d2f0eb Todos os servidores wiki da Wikimedia acessíveis aos usuários que usam SSL passam a ter certificados novos.]
+* <span class="mw-translate-fuzzy">16:45:[https://phabricator.wikimedia.org/rOPUP89ec3fbbb99cf4d856ea5632c95d57ee88d2f0eb Todos os servidores wiki da Wikimedia acessíveis aos usuários que usam SSL passam a ter certificados novos.]</span>
 * 23:08:[https://wikitech.wikimedia.org/w/index.php?title=Server_Admin_Log&diff=prev&oldid=109094 Começámos a resetar os ''tokens'' de login dos usuários](forçando-os a fazer novamente login, usando a nova ''libssl'' e os novos certificados.)
 de Abril:
-* 13:54: [https://git.wikimedia.org/commit/operations%2Fpuppet.git/6edfa15e170e71872b24ee156210db845448ff8b ticket.wikimedia.org's ssl certificate is replaced] (the last one)
+* <span class="mw-translate-fuzzy">13:54:[https://phabricator.wikimedia.org/rOPUP6edfa15e170e71872b24ee156210db845448ff8b É substituído o certificado ssl do ticket.wikimedia.org](o último)</span>
-* 16:44: Email to all users of ticket.wikimedia.org (OTRS) and otrs-wiki.wikimedia.org to change their passwords.
+* 16:44: É enviado um email a todos os utilizadores do ticket.wikimedia.org (OTRS) e do otrs-wiki.wikimedia.org solicitando que alterem suas senhas.
-* 22:33: [https://wikitech.wikimedia.org/w/index.php?title=Server_Admin_Log&diff=109188&oldid=109168 Logged out all Bugzilla users]
+* 22:33: [https://wikitech.wikimedia.org/w/index.php?title=Server_Admin_Log&diff=109188&oldid=109168 Todos os usuários do Bugzilla foram deslogados]
+de Abril:
-April 10th:
-* 08:42: [https://wikitech.wikimedia.org/w/index.php?title=Server_Admin_Log&diff=prev&oldid=109250 We reset all Bugzilla (bugzilla.wikimedia.org) user login tokens].
+* 08:42: [https://wikitech.wikimedia.org/w/index.php?title=Server_Admin_Log&diff=prev&oldid=109250 Demos reset em todos os ''tokens'' dos usuários do Bugzilla (bugzilla.wikimedia.org)].
-== Frequently Asked Questions ==
+== Perguntas mais frequentes ==
+(Esta secção será expandida conforme necessidade)
-(This section will be expanded as needed.)
+* Porque é que a data "não válido antes de" não mudou no certificado SSL se vocês já o substituíram?
-* Why hasn't the "not valid before" date on your SSL certificate changed if you have already replaced it?
+*: O nosso provedor de certificados SSL conserva a data original "não válido antes de" (algumas vezes chamado, ainda que incorretamente, de "publicado em") em qualquer certificado substituído. Não se trata de uma prática incomum. Para além de observar as mudanças nos arquivos  .pem linkados acima na linha do tempo, pode-se também verificar que a substituição foi efetivada comparando a assinatura digital (fingerprint) do novo certificado com a do anterior.
-*: Our SSL certificate provider keeps the original "not valid before" date (sometimes incorrectly referred to as an "issued on" date) in any replaced certificates. This is not an uncommon practice. Aside from looking at the change to the .pem files linked above in the Timeline, the other way of verifying that the replacement took place is to compare the fingerprint of our new certificate with our previous one.
-[[Category:Archived blog posts{{Langcat|Wikimedia Blog/Drafts/Heartbleed}}|Heartbleed]]
+[[Category:Archived blog posts{{#translation:}}|Heartbleed]]