BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
++++++++++++++++++++++++++++++++++++++
Newsletter Autistici/Inventati
11/4/2014 - HEARTBLEED
++++++++++++++++++++++++++++++++++++++
ENGLISH VERSION BELOW
++++++++++++++++++++++++++++++++++++++
*** QUESTA COMUNICAZIONE RIGUARDA LA SICUREZZA DEL TUO ACCOUNT SU A/I ***
Il 7 aprile e' stata resa nota una vulnerabilita' molto grave
soprannominata "Heartbleed"; questa vulnerabilita' riguarda il
framework crittografico OpenSSL, usato da molti servizi su internet
(tra cui A/I stessa) per trasmettere dati in maniera sicura.
Ti suggeriamo caldamente di impostare una nuova password per TUTTI gli
account che hai su A/I, inclusi:
- caselle di posta
- siti web (WebDAV)
- mailing list / newsletter
- utenti su noblogs.org
Puoi impostare una nuova password andando su
https://www.autistici.org/pannello/
Se hai bisogno di qualche consiglio sulla scelta di una nuova password
ne abbiamo parlato su http://cavallette.noblogs.org/2014/04/8554
++++ Dettaglio tecnico
Il bug "Heartbleed" permette di leggere alcune aree di memoria di
qualunque "server" che faccia uso di OpenSSL: tecnicamente questo
significa che attaccante potrebbe aver estratto la password (in
chiaro!) del tuo account A/I, il cookie di autenticazione usato dal
tuo browser per accedere ai nostri servizi, parte del contenuto di una
email o altro. Questo attacco inoltre non lascia alcuna traccia,
pertanto il nostro approccio e' di considerare compromesse tutte le
password, incluse le nostre.
++++ Come siamo intervenuti
* abbiamo aggiornato OpenSSL sui nostri server poche ore dopo
l'annuncio pubblico della vulnerabilita'
* abbiamo generato nuovi certificati SSL per tutti i nostri servizi e
*revocato* i certificati vecchi
* abbiamo fatto un cambio di stagione delle password di
amministrazione
Ne abbiamo parlato sul blog:
- - http://cavallette.noblogs.org/2014/04/8550
- - http://cavallette.noblogs.org/2014/04/8554
Altre informazioni su "Heartbleed":
- - http://heartbleed.com/
- - https://www.openssl.org/news/secadv_20140407.txt
- - https://security-tracker.debian.org/tracker/CVE-2014-0160
- - http://xkcd.com/1354/
+++++++++++++++++++++++++++++++++++++
++++ ENGLISH VERSION ++++
*** THIS IS A COMMUNICATION ABOUT THE SECURITY OF YOUR A/I ACCOUNT ***
On the 7 of April a serious vulnerability nicknamed "Heartbleed" has
been disclosed; this vulnerability affects the OpenSSL framework,
which is used by many internet services, including A/I, to securely
trasmit data.
We strongly suggest you to change your password on EVERY account you
have on A/I, including:
- email accounts
- websites (WebDAV)
- mailing lists / newsletters
- users on noblogs.org
You can change your password on https://www.autistici.org/pannello/
If you need some suggestions on how to choose a new password you can
check our our blog post at http://cavallette.noblogs.org/2014/04/8554
++++ Technical detail
By exploiting "Heartbleed" an attacker can read some arbitrary data
from the memory of every server using OpenSSL: technically this means
that an attacker could have read the (cleartext) password of your A/I
account, the authenication cookie used by your web browser to access
our services, the partial content of an email or something else. This
attack is undetectable, so we chose to treat all the password as
compromised, including our owns.
++++ Our response to the vulnerability
* we upgraded OpenSSL on our servers a few hours after the public
disclosure of the vulnerabilty
* we generated new SSL certificates for all our services and *revoked*
the old ones
* we changed all of our administration passwords
More on our blog:
- - http://cavallette.noblogs.org/2014/04/8550
- - http://cavallette.noblogs.org/2014/04/8554
Some more details about "Heartbleed":
- - http://heartbleed.com/
- - https://www.openssl.org/news/secadv_20140407.txt
- - https://security-tracker.debian.org/tracker/CVE-2014-0160
- - http://xkcd.com/1354/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
iQJ8BAEBCgBmBQJTR/mnXxSAAAAAAC4AKGlzc3Vlci1mcHJAbm90YXRpb25zLm9w
ZW5wZ3AuZmlmdGhob3JzZW1hbi5uZXRFMzBENTY1MDEwOUU1MzUzMjEwNEI4NzlE
QTczM0Q1OUQ5OERBOUNFAAoJENpzPVnZjanObbYQAJQqR4iBKFcNNdkrtQ+p8FSg
H/0/DQJ+jx/ktNta6rfWOrGb/w0nEzNqhHZuCAiuqcd1YFOuCOJtP/YgADcbwwwB
C+S61IGwt5RpG83rAA81R5LdsXC0sHYsMLXHF5ocPNB9cMfne3SKesj4El8LMYRM
laZROQnteSkyWg4kGH9Uy5D9fxiZTNm6mvjcb1po4ONLrOYY5sqGdrv8WhyADNTZ
U31VTHTa0Gk4oi9mU9LBjw253XOArjGFWKUkH8hpSajvPVytX1RIaIQZIyKb6AfW
+DbJxwt9f2OBe2BFfE8Gu7JlekPxxhWs4CPAsI7Yn8e0DJVeWCMA6HzkyZqXIEfw
Xr3MDVzHVDo6wDt2mKmBvep0otsXMCgv9NsFh56EBAl2vX3QCe19BkyAF4ijzx6K
hoIfn4DjooW4HmYx4RfpylE88GcMJpSSyg3D/Sw5N97ZSGUVrpSC1tL2Iik3QXnf
u3M/QFxfdaMEkFq2eg0FAj/cUuB4g9b4T2QdcQMwMPYmhtehWlLebgylYBPfkmPn
A+VdK5DOKHMhsdQlzg4sal/l30u60IFDlzIaa8+x4OZYxdzGgkURZmrJic4LYfqQ
zLXUvuY8OxZLbeKjAgNYUbj2aLhx1z6Aqq6qgbXYj7Wgzhr/qchn2L02gNZOzyeH
oX/B4Wqdxhp3Q1andcy1
=lJ61
-----END PGP SIGNATURE-----