Багтрак
Bugtraq представлял собой электронный список рассылки, посвященный вопросам компьютерной безопасности . К актуальным вопросам относятся новые обсуждения уязвимостей, объявления поставщиков, связанные с безопасностью, методы эксплуатации и способы их устранения. Это был большой список рассылки, в котором в месяц содержалось до 776 сообщений. [1] и почти все новые уязвимости безопасности обсуждались в списке в первые дни его существования. Форум предоставил возможность всем желающим раскрывать и обсуждать компьютерные уязвимости , в том числе исследователям безопасности и поставщикам продуктов. Хотя сервис официально не закрыт, а его архивы по-прежнему общедоступны, с января 2021 года новых публикаций не было.
История
[ редактировать ]Bugtraq был создан 5 ноября 1993 года Скоттом Чейсином. [2] в ответ на очевидные недостатки существующей инфраструктуры интернет- безопасности того времени, особенно CERT . Политика Bugtraq заключалась в том, чтобы публиковать уязвимости, независимо от реакции поставщиков, в рамках движения за полное раскрытие информации об уязвимостях. Список иногда назывался BugTraq, но на протяжении многих лет его часто называли Bugtraq. К 19 мая 1995 года число подписчиков выросло до 2500. [3] и более 40 000 к февралю 2000 г. [4]
Элиас Леви , известный как Алеф Один (с намеком на кардинальное число Алеф Один ), отметил в интервью, что «среда в то время была такова, что поставщики не делали никаких исправлений. Поэтому основное внимание уделялось тому, как исправить программное обеспечение, которое компании не исправляли». Леви считал, что идея абстрагирования Bugtraq зависит от платформы, чтобы уменьшить количество ненужной информации для тех, кто интересуется только конкретными операционными системами . [5] [6]
Первоначально Bugtraq размещался на сайте Crimelab.com, которым руководил Скотт Чейсин. Он был перенесен в проект NetSpace Университета Брауна, который с тех пор был реорганизован в NetSpace Foundation , 5 июня 1995 года, в тот же день, когда началась его модерация. В июле 1999 года он стал собственностью SecurityFocus и был перенесен туда. [7] [8] SecurityFocus была полностью приобретена Symantec 6 августа 2002 г. [9] По состоянию на 25 февраля 2020 года трафик из списка прекратился без объяснения причин. [10] В 2002 году был создан список рассылки Full-Disclosure, поскольку многие люди считали, что список «изменился к худшему». [11]
30 апреля 2020 года Accenture Security завершила приобретение служб кибербезопасности Symantec, включая SecurityFocus , в которую входил Bugtraq. [12]
Споры
[ редактировать ]Модерация
[ редактировать ]Список рассылки изначально не модерировался, а затем модерировался лишь изредка, что многие участники считали неадекватным. В одном случае было разрешено опубликовать конфиденциальную информацию о кредитной карте. [13] Последующие сообщения оспаривали многие аспекты списка, включая полное раскрытие уязвимостей, и предлагали либо оставить его без модерации, либо модераторам изменить свой подход к нему. [14]
Модерация началась 5 июня 1995 года. Элиас Леви Дэвид Мирза Ахмад, один из многих соавторов книги Hack Proofing Your Network, Second Edition модерировал список с 14 июня 1996 года до тех пор, пока не ушел в отставку 15 октября 2001 года. Его место занял . от Леви и продолжал до тех пор, пока он не ушел в отставку 23 февраля 2006 года. [15] Дэвид МакКинни, аналитик угроз DeepSight в Symantec , сменил Ахмада. Обязанности модератора теперь взял на себя другой аналитик DeepSight, Прасанна. [16]
Во время своего пребывания в должности Ахмад предложил, чтобы в списке было больше «участия сообщества» и «более демократичный процесс принятия важных решений о будущем Bugtraq и веб-сайта Security Focus». [17] Несмотря на получение отзывов, по словам Альфреда Хьюгера, [18] дальнейшее участие сообщества не проявилось.
Задержки в модерации
[ редактировать ]Задержки в модерации списка происходили несколько раз, иногда из-за технических проблем. [19] и DDoS-атаки . [20] В других случаях сообщения в списках исчезали из-за неустановленных «проблем с почтой». [21] В августе 1997 года список замолчал на несколько дней, поскольку Aleph One был в отпуске, а человек, которому было поручено модерировать, не смог этого сделать. [22] После того, как список был переведен в SecurityFocus и Symantec приобрела компанию, некоторые исследователи заметили, что их публикации в списках задерживаются, поскольку модерация больше не осуществляется по выходным. Несмотря на задержки, информация об уязвимостях из некоторых из этих публикаций была использована в коммерческом предложении Symantec DeepSight, которое включает базу данных уязвимостей. [23]
Консультации, защищенные авторским правом
[ редактировать ]В конце 2000 года, когда Леви разместил в списке полное содержание рекомендаций по безопасности Microsoft, Microsoft пожаловалась, что это нарушение авторских прав. [24]
Кончина
[ редактировать ]С 24 февраля 2020 г. Symantec прекратила одобрять публикации в Bugtraq. [25] Никакого окончательного сообщения от администраторов списков и заявления Symantec опубликовано не было. Это произошло после того, как база данных уязвимостей BID , поддерживаемая Symantec, перестала публично обновляться 26 июля 2019 года, чуть более чем за месяц до того, как она была приобретена Broadcom . [26] 1 января 2021 года Accenture объявила о закрытии Bugtraq. [27] 15 января 2021 года в список рассылки было отправлено последнее электронное письмо с подтверждением его закрытия со ссылкой на то, что « ресурсы для списка рассылки BugTraq не были приоритетными ». [28] Однако решение было пересмотрено на основе отзывов сообщества; а 17 января 2021 года Accenture разместила в списке сообщение, объявляющее о продолжении Bugtraq, [29] а затем написал более длинный блог, объясняющий их цели. [30] Объявление о продолжении было последним сообщением, когда-либо опубликованным в списке рассылки, и ни в одном из публичных архивов не зафиксировано никакой дальнейшей активности.
Ссылки
[ редактировать ]- ^ «Бугтрак» . Проверено 17 января 2021 г.
- ^ «История» . Проверено 17 января 2021 г.
- ^ «От модератора: ПРОЧТИТЕ, пожалуйста» . 19 мая 1995 г. Проверено 17 января 2021 г.
- ^ «Администрация» . 14 февраля 2000 г. Проверено 17 января 2021 г.
- ^ «Администрация» . 11 октября 1999 г. Проверено 17 января 2021 г.
- ^ «Администрирование: Программное обеспечение для списков рассылки» . 10 марта 2001 г. Проверено 17 января 2021 г.
- ^ «Администрация» . 5 июля 1999 г. Проверено 17 января 2021 г.
- ^ Масник, Майк (17 июля 2002 г.). «Symantec покупает SecurityFocus/BugTraq» . ТехДирт . Проверено 17 января 2021 г.
- ^ «Приобретение Symantec компании SecurityFocus завершено» . 06 августа 2002 г. Архивировано из оригинала 6 декабря 2003 года . Проверено 17 января 2021 г.
- ^ «Bugtraq: 40 сообщений, начиная с 20 февраля 20 и заканчивая 25 февраля 20» . Проверено 17 января 2021 г.
- ^ «Re: Объявление о новом списке рассылки по безопасности» . 11 июля 2002 года . Проверено 17 января 2021 г.
- ^ «Accenture завершает приобретение подразделения Broadcom по предоставлению услуг кибербезопасности Symantec» . Accenture.com . 30 апреля 2020 г. . Проверено 17 января 2020 г.
- ^ «Время модерации?» .
- ^ «Какой здесь смысл?» .
- ^ «Администрация: Новый модератор Bugtraq» .
- ^ БезопасностьФокус
- ^ «Администрация: [важное] участие сообщества в будущем Bugtraq» .
- ^ «Результаты запроса голосования» .
- ^ «Администрация: недавние задержки со списками» .
- ^ «Администрация» .
- ^ «Администрирование: Проблемы с почтой» .
- ^ «Мертвый воздух» .
- ^ иерихонское истощение (16 июня 2017 г.). «Ваше ежегодное напоминание о публикации в Full-Disclosure, а не в Bugtraq» . Архивировано из оригинала 1 ноября 2018 г. Проверено 17 мая 2020 г.
- ^ «Администрирование: больше никаких бюллетеней Microsoft» .
- ^ «Bugtraq: по темам (Архив за февраль 2020 г.)» .
- ^ «Broadcom приобретает корпоративный бизнес Symantec за 10,7 миллиарда долларов» . CNBC . 8 августа 2019 года . Проверено 19 мая 2020 г.
- ^ «Отключение BugTraq» . сайт seclists.org . 15 января 2021 г. Проверено 17 января 2021 г.
- ^ «Bugtraq: отключение BugTraq» . сайт seclists.org . Проверено 15 января 2021 г.
- ^ «Поразмыслив…» seclists.org . 17 января 2021 г. Проверено 17 января 2021 г.
- ^ «Будущее Bugtraq | Accenture» . WordPressБлог . Проверено 7 февраля 2021 г.
Внешние ссылки
[ редактировать ]- SecurityFocus — списки рассылки (Bugtraq — первый список рассылки в разделе «Самые популярные»)
- BUGTRAQ — ТРЕКЕР УЯЗВИМЫХ САЙТОВ (Первый профессиональный трекер уязвимых сайтов)