Bugtraq - Bugtraq

Bugtraq был список электронной рассылки посвященный вопросам о компьютерная безопасность. Актуальные вопросы - это новые обсуждения уязвимостей, объявления поставщиков, связанные с безопасностью, методы эксплуатации и способы их устранения. Это был крупномасштабный список рассылки, в котором было 776 сообщений в месяц,[1] и почти все новые уязвимости обсуждались в списке на первых порах. Форум предоставил возможность каждому рассказать и обсудить компьютерные уязвимости, включая исследователей в области безопасности и поставщиков продуктов.

С 24 февраля 2020 года Symantec прекратила одобрение сообщений в списке рассылки Bugtraq.[2]

История

Bugtraq был создан 5 ноября 1993 года Скоттом Часином.[3] в ответ на предполагаемые недостатки существующих Интернет инфраструктура безопасности того времени, особенно CERT. Политика Bugtraq заключалась в том, чтобы публиковать уязвимости независимо от ответа поставщика как часть полное раскрытие движение раскрытия уязвимости. К 19 мая 1995 года список вырос до 2500 подписчиков.[4] и более 40 000 подписчиков к февралю 2000 года.[5]

Элиас Леви, также известный как Алеф Один (ссылаясь на кардинальное число алеф один ), отметил в интервью, что «среда в то время была такова, что поставщики не делали никаких исправлений. Поэтому основное внимание уделялось тому, как исправить программное обеспечение, которое компании не исправляли». Леви считал идею абстрагирования Bugtraq специфичной для платформы, чтобы уменьшить шум для тех, кто, например, Unix поверх Windows.[6][7]

Изначально Bugtraq размещался на сайте Crimelab.com, которым руководил Скотт Часин. Он был переведен в проект NetSpace университета Брауна, который с тех пор был реорганизован в Фонд NetSpace - 5 июня 1995 г., в день начала его модерации. В июле 1999 г. он перешел в собственность Безопасность и был перемещен туда.[8][9] SecurityFocus был полностью приобретен Symantec 6 августа 2002 года.[10] По состоянию на 25 февраля 2020 года движение из списка остановилось без объяснения причин.[11] В 2002 г. Список рассылки полного раскрытия информации был создан из-за того, что многие считали, что список «изменился в худшую сторону».[12]

Полемика

На модерации

Первоначально список рассылки не модерировался, но со временем отношение сигнал / шум стало неприемлемо плохим. Один из первых вопросов о том, была ли модерация оправданной, возник после того, как информация о кредитных картах оказалась конфиденциальной.[13] Последующий звонок поставил под сомнение многие аспекты списка, включая полное раскрытие уязвимостей, и предложил либо оставить список без модерации, либо модераторам изменить подход к списку.[14]

Модерация началась 5 июня 1995 года. Элиас Леви модерировал список с 14 июня 1996 г. до своего ухода в отставку 15 октября 2001 г. Давид Мирза Ахмад, один из многих соавторов Защита вашей сети от взлома, второе издание, сменил Леви и продолжал до ухода в отставку 23 февраля 2006 года.[15] Дэвид МакКинни, а Аналитик DeepSight угроз в Symantec, сменил Ахмада, хотя модерация теперь была передана другому аналитику DeepSight, Прасанне.[16]

Во время своего пребывания в должности модератора Ахмад предложил включить в список большее «участие сообщества» и «более демократичный процесс принятия важных решений относительно будущего Bugtraq и веб-сайта Security Focus».[17] Несмотря на полученные отзывы по словам Альфреда Хугера,[18] дальнейшее участие сообщества не проявилось.

Задержки в модерации

Задержки в модерации списка происходили несколько раз на протяжении истории списка, иногда из-за технических проблем[19] и DDoS-атака.[20] В других случаях сообщения в списках пропадали из-за «проблем с почтой».[21] В августе 1997 года список замолчал на несколько дней, так как Aleph One был в отпуске, а человек, которому было поручено модерировать, не смог этого сделать.[22] После того, как список был передан в SecurityFocus и Symantec приобрела компанию, некоторые исследователи заметили, что их публикации в списках задерживаются. Было известно, что модерация не происходит по выходным, что и объясняет задержку. Несмотря на задержку модерации списка, информация об уязвимостях из некоторых из этих сообщений была использована в коммерческом предложении Symantec DeepSight, которое включает базу данных уязвимостей.[23]

Консультации, защищенные авторским правом

В конце 2000 года, после того как Леви разместил в списке все содержание рекомендации по безопасности Microsoft, Microsoft пожаловалась на нарушение авторских прав.[24]

Смерть

С 24 февраля 2020 года Symantec прекратила одобрение сообщений в списке рассылки Bugtraq.[2] Не было опубликовано окончательного сообщения от администраторов списка и заявления от Symantec. Это происходит после База данных уязвимостей BID поддерживаемая Symantec перестала публично обновляться 26 июля 2019 г., то есть за месяц до того, как была приобретена компанией Broadcom.[25]

использованная литература

  1. ^ https://seclists.org/bugtraq/. Отсутствует или пусто | название = (Помогите)
  2. ^ а б «Bugtraq: по ветке (архив за февраль 2020 г.)».
  3. ^ https://www.securityfocus.com/archive/1/description#0.2.1. Отсутствует или пусто | название = (Помогите)
  4. ^ «От модератора: ПРОЧИТАЙТЕ, пожалуйста».
  5. ^ «Администрация».
  6. ^ «Администрация».
  7. ^ «Администрация: программное обеспечение списков рассылки».
  8. ^ «Администрация».
  9. ^ «Symantec покупает SecurityFocus / BugTraq». Получено 19 мая 2020.
  10. ^ Приобретение компании Symantec SecurityFocus завершено В архиве 6 декабря 2003 г. Wayback Machine
  11. ^ https://seclists.org/bugtraq/2020/Feb/index.html. Отсутствует или пусто | название = (Помогите)
  12. ^ https://seclists.org/fulldisclosure/2002/Jul/7. Отсутствует или пусто | название = (Помогите)
  13. ^ "Время модерации?".
  14. ^ "Какой здесь смысл?".
  15. ^ "Администрация: новый модератор Bugtraq".
  16. ^ Безопасность
  17. ^ «Администрация: [Важное] участие сообщества в будущем Bugtraq».
  18. ^ «Результаты голосования по запросу».
  19. ^ «Администрация: последние задержки в списке».
  20. ^ «Администрация».
  21. ^ «Администрация: проблемы с почтой».
  22. ^ "Мертвый воздух".
  23. ^ https://blog.osvdb.org/2017/06/16/your-yearly-reminder-to-post-to-full-disclosure-not-bugtraq/. Отсутствует или пусто | название = (Помогите)
  24. ^ «Администрация: больше никаких бюллетеней Microsoft».
  25. ^ «Broadcom приобретает корпоративный бизнес Symantec за 10,7 млрд долларов». Получено 19 мая 2020.

внешняя ссылка