Bugtraq
Список рассылки по компьютерной безопасности

Bugtraq был электронным списком рассылки, посвященным вопросам компьютерной безопасности . Тематические вопросы — это новые обсуждения уязвимостей, объявления поставщиков, связанные с безопасностью, методы эксплуатации и способы их устранения. Это был большой список рассылки, в котором было до 776 сообщений в месяц, [1] и почти все новые уязвимости безопасности обсуждались в списке в первые дни его существования. Форум предоставлял возможность всем желающим раскрывать и обсуждать уязвимости компьютеров , включая исследователей безопасности и поставщиков продуктов. Хотя служба официально не закрыта, а ее архивы по-прежнему общедоступны, с января 2021 года не было сделано никаких новых сообщений.

История

Bugtraq был создан 5 ноября 1993 года Скоттом Чейзином [2] в ответ на предполагаемые недостатки существующей инфраструктуры безопасности Интернета того времени, в частности CERT . Политика Bugtraq заключалась в публикации уязвимостей, независимо от ответа поставщика, как части движения за полное раскрытие уязвимостей. Список иногда писался как BugTraq, но общее использование на протяжении многих лет называло его Bugtraq. Он вырос до 2500 подписчиков к 19 мая 1995 года [3] и более 40 000 к февралю 2000 года. [4]

Элиас Леви , известный как Алеф Один (намек на количественное числительное алеф один ), отметил в интервью, что «в то время обстановка была такова, что поставщики не выпускали никаких исправлений. Поэтому основное внимание уделялось тому, как исправить программное обеспечение, которое компании не исправляли». Леви считал, что идея абстрагирования Bugtraq должна быть платформенно-специфичной, чтобы сократить нерелевантную информацию для тех, кто интересуется только определенными операционными системами . [5] [6]

Bugtraq изначально размещался на Crimelab.com, которым руководил Скотт Чейзин. Он был перемещен в проект NetSpace Project Университета Брауна, который с тех пор был реорганизован в NetSpace Foundation, 5 июня 1995 года, в тот же день, когда началась его модерация. В июле 1999 года он стал собственностью SecurityFocus и был перемещен туда. [7] [8] SecurityFocus был полностью приобретен Symantec 6 августа 2002 года. [9] По состоянию на 25 февраля 2020 года трафик из списка прекратился без объяснения причин. [10] В 2002 году был создан список рассылки Full-Disclosure , поскольку многие люди считали, что список «изменился в худшую сторону». [11]

30 апреля 2020 года компания Accenture Security завершила приобретение подразделения кибербезопасности Symantec, включая SecurityFocus , в состав которого входил Bugtraq. [12]

Противоречие

Модерация

Первоначально список рассылки не модерировался, затем модерировался лишь время от времени, что многие участники посчитали недостаточным. В одном случае было разрешено разместить то, что, по всей видимости, было конфиденциальной информацией о кредитной карте. [13] Последующие сообщения подвергли сомнению многие аспекты списка, включая полное раскрытие уязвимостей, и предложили либо оставить его не модерируемым, либо модераторам изменить свой подход к нему. [14]

Модерация началась 5 июня 1995 года. Элиас Леви модерировал список с 14 июня 1996 года до своей отставки 15 октября 2001 года. Дэвид Мирза Ахмад, один из многих соавторов Hack Proofing Your Network, Second Edition, сменил Леви и продолжал работать до своей отставки 23 февраля 2006 года. [15] Дэвид МакКинни, аналитик угроз DeepSight в Symantec , сменил Ахмада. Обязанности модератора теперь взял на себя другой аналитик DeepSight, Прасанна. [16]

Во время своего пребывания в должности Ахмад предложил списку принять более «участие сообщества» и «более демократичный процесс принятия важных решений о будущем Bugtraq и веб-сайта Security Focus». [17] Несмотря на получение отзывов, по словам Альфреда Хьюгера, [18] дальнейшего участия сообщества не наблюдалось.

Задержки в модерации

Задержки в модерации списков случались несколько раз, иногда из-за технических проблем [19] и DDoS-атак . [20] В других случаях сообщения в списках исчезали из-за неуказанных «проблем с почтой». [21] В августе 1997 года список затих на несколько дней, так как Aleph One был в отпуске, а человек, которому было поручено модерировать, не смог этого сделать. [22] После того, как список был передан SecurityFocus и Symantec приобрела компанию, некоторые исследователи заметили, что их сообщения в списках задерживались, так как модерация больше не производилась по выходным. Несмотря на задержки, информация об уязвимостях из некоторых из этих сообщений использовалась в коммерческом предложении Symantec DeepSight, которое включает базу данных уязвимостей. [23]

Консультации, защищенные авторским правом

В конце 2000 года, когда Леви опубликовал в списке полное содержание рекомендаций по безопасности Microsoft, Microsoft пожаловалась, что это является нарушением авторских прав. [24]

Кончина

С 24 февраля 2020 года Symantec прекратила одобрять сообщения в Bugtraq. [25] Никакого окончательного сообщения от администраторов списка и никакого заявления от Symantec опубликовано не было. Это произошло после того, как база данных уязвимостей BID, поддерживаемая Symantec, перестала публично обновляться 26 июля 2019 года, всего за месяц до ее приобретения Broadcom . [26] 1 января 2021 года Accenture объявила о закрытии Bugtraq. [27] 15 января 2021 года в список было отправлено, по всей видимости, последнее электронное письмо с подтверждением его закрытия со ссылкой на то, что « ресурсы для списка рассылки BugTraq не были приоритетными ». [28] Однако решение было пересмотрено на основе отзывов сообщества; и 17 января 2021 года Accenture разместила сообщение в списке рассылки, объявляя о продолжении Bugtraq, [29] а затем опубликовала более длинный блог, объясняющий их цели. [30] Объявление о продолжении было последним сообщением, когда-либо опубликованным в списке рассылки, и никакой дальнейшей активности не зафиксировано ни в одном из публичных архивов.

Ссылки

  1. ^ "Бугтрак" . Проверено 17 января 2021 г.
  2. ^ "История" . Получено 2021-01-17 .
  3. ^ "От модератора: ПРОЧИТАЙТЕ, пожалуйста". 1995-05-19 . Получено 2021-01-17 .
  4. ^ "Администрация". 2000-02-14 . Получено 2021-01-17 .
  5. ^ "Администрация". 11 октября 1999 г. Получено 17 января 2021 г.
  6. ^ "Administrivia: Mailing List Software". 2001-03-10 . Получено 2021-01-17 .
  7. ^ "Администрация". 1999-07-05 . Получено 2021-01-17 .
  8. ^ Масник, Майк (17 июля 2002 г.). «Symantec покупает SecurityFocus/BugTraq». ТехДирт . Проверено 17 января 2021 г.
  9. ^ "Symantec Acquisition of SecurityFocus Completed". 2002-08-06. Архивировано из оригинала 6 декабря 2003 года . Получено 2021-01-17 .
  10. ^ "Bugtraq: 40 сообщений, начиная с 03.02.20 и заканчивая 25.02.20" . Получено 17.01.2021 .
  11. ^ "Re: Анонс нового списка рассылки по безопасности". 11 июля 2002 г. Получено 17 января 2021 г.
  12. ^ "Accenture завершает приобретение бизнеса Symantec Cyber ​​Security Services компании Broadcom". Accenture.com . 30 апреля 2020 г. Получено 17 января 2020 г.
  13. ^ «Время для модерации?».
  14. ^ «В чем здесь смысл?».
  15. ^ «Администрация: Новый модератор Bugtraq» .
  16. ^ БезопасностьФокус
  17. ^ «Администрация: [Важно] Участие сообщества в будущем Bugtraq».
  18. ^ "Результаты опроса голосов".
  19. ^ «Администрация: Недавние задержки списков».
  20. ^ "Администрация".
  21. ^ «Администрация: Проблемы с почтой».
  22. ^ «Мертвый эфир».
  23. ^ jerichoattrition (16 июня 2017 г.). «Ваше ежегодное напоминание о публикации в Full-Disclosure, а не в Bugtraq». Архивировано из оригинала 2018-11-01 . Получено 2020-05-17 .
  24. ^ «Администрация: больше никаких бюллетеней Microsoft».
  25. ^ "Bugtraq: по теме (Архив февраль 2020 г.)".
  26. ^ "Broadcom приобретает корпоративный бизнес Symantec за 10,7 млрд долларов". CNBC . 8 августа 2019 г. Получено 19 мая 2020 г.
  27. ^ "BugTraq Shutdown". seclists.org . 2021-01-15 . Получено 2021-01-17 .
  28. ^ «Bugtraq: Отключение BugTraq» . сайт seclists.org . Проверено 15 января 2021 г.
  29. ^ "Поразмыслив..." seclists.org . 2021-01-17 . Получено 2021-01-17 .
  30. ^ "Будущее Bugtraq | Accenture". WordPressBlog . Получено 2021-02-07 .
  • SecurityFocus - Списки рассылки (Bugtraq - первый список рассылки в разделе «Самые популярные»)
  • BUGTRAQ - ОТСЛЕЖИВАТЕЛЬ УЯЗВИМЫХ САЙТОВ (первый профессиональный отслеживатель уязвимых сайтов)
Взято с "https://en.wikipedia.org/w/index.php?title=Bugtraq&oldid=1238136704"