Bugtraq

Bugtraq był elektroniczną listą mailingową poświęconą kwestiom bezpieczeństwa komputerowego . Kwestie tematyczne to nowe dyskusje na temat luk w zabezpieczeniach, ogłoszeń dostawców związanych z bezpieczeństwem, metod wykorzystania i sposobów ich naprawy. Była to lista mailingowa o dużej objętości, z aż 776 postami w miesiącu, a prawie wszystkie nowe luki w zabezpieczeniach były omawiane na liście na początku jej istnienia. Forum stanowiło platformę dla każdego, kto mógł ujawnić i omówić luki w zabezpieczeniach komputera , w tym badaczy bezpieczeństwa i sprzedawców produktów. Chociaż usługa nie została oficjalnie zakończona, a jej archiwa są nadal publicznie dostępne, od stycznia 2021 r. nie pojawiły się żadne nowe posty.

Historia

Bugtraq został stworzony 5 listopada 1993 roku przez Scotta Chasina w odpowiedzi na dostrzegane wady istniejącej wówczas infrastruktury bezpieczeństwa internetowego , w szczególności CERT . Polityka Bugtraq polegała na publikowaniu luk w zabezpieczeniach, niezależnie od odpowiedzi dostawcy, w ramach pełnego ruchu ujawnienia luk w zabezpieczeniach. Lista była czasami zapisywana jako BugTraq, ale w powszechnym użyciu przez lata nazywano ją Bugtraq. Wzrosła do 2500 abonentów do 19 maja 1995 i ponad 40.000 do lutego 2000.

Elias Levy , znany jako Aleph One (nawiązując do liczby kardynalnej aleph jeden ), zauważył w wywiadzie, że „środowisko w tamtym czasie było takie, że dostawcy nie tworzyli żadnych łatek. Skupiono się więc na tym, jak naprawić oprogramowanie, które firmy nie naprawiali”. Levy uważał, że pomysł abstrakcji Bugtraq był specyficzny dla platformy, aby ograniczyć nieistotne informacje dla osób zainteresowanych tylko określonymi systemami operacyjnymi .

Bugtraq był pierwotnie hostowany na Crimelab.com, prowadzonym przez Scotta Chasina. Został przeniesiony do Brown University NetSpace Project - który od tego czasu został zreorganizowany jako Fundacja NetSpace - 5 czerwca 1995 r., Tego samego dnia, w którym rozpoczęło się jego moderowanie. W lipcu 1999 przeszedł na własność SecurityFocus i został tam przeniesiony. SecurityFocus został w całości przejęty przez firmę Symantec 6 sierpnia 2002 r. Od 25 lutego 2020 r. Ruch z listy został zatrzymany bez wyjaśnienia. W 2002 roku utworzono listę mailingową Full-Disclosure , ponieważ wiele osób uważało, że lista „zmieniła się na gorsze”.

30 kwietnia 2020 r. firma Accenture Security sfinalizowała przejęcie usług cyberbezpieczeństwa firmy Symantec, w tym SecurityFocus , w tym Bugtraq.

Spór

Umiar

Lista mailingowa była pierwotnie niemoderowana, a następnie była moderowana tylko okazjonalnie, co wielu uczestników uznało za niewystarczające. W jednym przypadku pozwolono opublikować coś, co wyglądało na poufne informacje o karcie kredytowej. Kolejne posty kwestionowały wiele aspektów listy, w tym pełne ujawnienie luk w zabezpieczeniach, i sugerowały, że albo nie będzie ona moderowana, albo moderatorzy zmienią sposób, w jaki do niej podeszli.

Moderacja rozpoczęła się 5 czerwca 1995 r. Elias Levy moderował listę od 14 czerwca 1996 r. do ustąpienia ze stanowiska 15 października 2001 r. David Mirza Ahmad, jeden z wielu współautorów Hack Proofing Your Network, Second Edition , przejął od Levy'ego i trwał aż do jego ustąpienia 23 lutego 2006 r. David McKinney, analityk zagrożeń DeepSight w firmie Symantec , przejął stanowisko od Ahmada. Obowiązki moderacji przejął teraz inny analityk DeepSight, Prasanna.

Podczas swojej kadencji Ahmad zaproponował, aby lista przyjęła większe „zaangażowanie społeczności” i „bardziej demokratyczny proces podejmowania ważnych decyzji dotyczących przyszłości Bugtraq i witryny Security Focus”. Pomimo otrzymania informacji zwrotnej według Alfreda Hugera, dalsze zaangażowanie społeczności nie ujawniło się.

Opóźnienia w moderacji

Kilkakrotnie wystąpiły opóźnienia w moderowaniu listy, czasami z powodu problemów technicznych i ataków DDoS . Innym razem posty na listach znikały z powodu nieokreślonych „problemów z pocztą”. W sierpniu 1997 roku lista ucichła na kilka dni, ponieważ Aleph One był na wakacjach, a osoba, której powierzono moderację, tego nie zrobiła. Po przeniesieniu listy do SecurityFocus i przejęciu firmy przez firmę Symantec niektórzy badacze zauważyli, że ich posty na listach były opóźnione, ponieważ moderacja nie odbywała się już w weekendy. Pomimo opóźnień informacje o lukach w zabezpieczeniach z niektórych z tych postów zostały wykorzystane w komercyjnej ofercie firmy Symantec DeepSight, która obejmuje bazę danych luk w zabezpieczeniach.

Porady chronione prawami autorskimi

Pod koniec 2000 roku, kiedy Levy umieścił na liście pełną treść poradnika bezpieczeństwa Microsoftu, Microsoft zarzucił, że to naruszenie praw autorskich.

Zgon

Od 24 lutego 2020 r. firma Symantec przestała zatwierdzać posty w Bugtraq. Nie opublikowano żadnej końcowej wiadomości od administratorów listy ani oświadczenia firmy Symantec. Nastąpiło to po tym, jak baza danych luk w zabezpieczeniach BID prowadzona przez firmę Symantec przestała być publicznie aktualizowana 26 lipca 2019 r., nieco ponad miesiąc przed przejęciem jej przez firmę Broadcom . 1 stycznia 2021 roku Accenture ogłosiło zamknięcie Bugtraq. 15 stycznia 2021 r. do listy wysłano coś, co wyglądało na ostatnią wiadomość e-mail, potwierdzającą, że jest zamykana, powołując się na „ zasoby dla listy mailingowej BugTraq nie zostały nadane priorytetowo ”. Jednak decyzja została ponownie rozważona na podstawie opinii społeczności; a 17 stycznia 2021 r. firma Accenture opublikowała wiadomość na liście, ogłaszając kontynuację Bugtraq, a następnie zamieściła dłuższy blog wyjaśniający ich cele. Ogłoszenie o kontynuacji było ostatnią wiadomością kiedykolwiek opublikowaną na liście mailingowej i żadne dalsze działania nie są rejestrowane w żadnym z publicznych archiwów.

  1. Bibliografia _ _ Źródło 2021-01-17 .
  2. Bibliografia _ _ Źródło 2021-01-17 .
  3. ^ „Od moderatora: PRZECZYTAJ, proszę” . 1995-05-19 . Źródło 2021-01-17 .
  4. Bibliografia _ _ 2000-02-14 . Źródło 2021-01-17 .
  5. Bibliografia _ _ 1999-10-11 . Źródło 2021-01-17 .
  6. ^ „Administrivia: oprogramowanie listy mailingowej” . 2001-03-10 . Źródło 2021-01-17 .
  7. Bibliografia _ _ 1999-07-05 . Źródło 2021-01-17 .
  8. ^ Masnick, Mike (17.07.2002). „Symantec kupuje SecurityFocus/BugTraq” . TechDirt . Źródło 2021-01-17 .
  9. ^ „Zakończono przejęcie SecurityFocus przez firmę Symantec” . 2002-08-06. Zarchiwizowane od oryginału w dniu 6 grudnia 2003 r . . Źródło 2021-01-17 .
  10. ^ „Bugtraq: 40 wiadomości od 20 lutego 2003 do 25 20 lutego” . Źródło 2021-01-17 .
  11. ^ „Re: Ogłoszenie nowej listy mailingowej dotyczącej bezpieczeństwa” . 11 lipca 2002 . Źródło 2021-01-17 .
  12. ^ „Accenture finalizuje przejęcie firmy Broadcom zajmującej się usługami bezpieczeństwa cybernetycznego Symantec” . Accenture.com . 30 kwietnia 2020 . Źródło 2020-01-17 .
  13. ^ „Czas na moderację?” .
  14. ^ „O co tu chodzi?” .
  15. ^ „Administrivia: nowy moderator Bugtraq” .
  16. ^ BezpieczeństwoFocus
  17. ^ „Administrivia: [Ważne] Zaangażowanie społeczności w przyszłość Bugtraq” .
  18. ^ „Wyniki zapytania o głosowanie” .
  19. ^ „Administrivia: ostatnie opóźnienia na liście” .
  20. Bibliografia _ _
  21. ^ „Administrivia: problemy z pocztą” .
  22. Bibliografia _ _
  23. ^ jerichoattrition (16 czerwca 2017). „Twoje coroczne przypomnienie o publikowaniu w Full-Disclosure, a nie w Bugtraq” . Zarchiwizowane od oryginału w dniu 2018-11-01.
  24. ^ „Administrivia: koniec biuletynów firmy Microsoft” .
  25. ^ „Bugtraq: według wątku (Archiwum z lutego 2020 r.)” .
  26. ^ „Broadcom przejmuje działalność korporacyjną firmy Symantec za 10,7 miliarda dolarów” . Źródło 19 maja 2020 r .
  27. ^ „Wyłączenie BugTraq” . seclists.org . 2021-01-15 . Źródło 2021-01-17 .
  28. ^ „Bugtraq: wyłączenie BugTraq” . seclists.org . Źródło 2021-01-15 .
  29. ^ „Po namyśle…” seclists.org . 2021-01-17 . Źródło 2021-01-17 .
  30. ^ „Przyszłość Bugtraqa | Accenture” . WordPressBlog . Źródło 2021-02-07 .

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Bugtraq&oldid=1128695605