Bugtraq представлял собой электронный список рассылки , посвященный вопросам компьютерной безопасности . К актуальным вопросам относятся новые обсуждения уязвимостей, объявления поставщиков, связанные с безопасностью, методы эксплуатации и способы их устранения. Это был большой список рассылки, в котором в месяц содержалось до 776 сообщений [1] , и почти все новые уязвимости безопасности обсуждались в этом списке в первые дни его существования. Форум предоставил возможность всем желающим раскрывать и обсуждать компьютерные уязвимости , в том числе исследователям безопасности и поставщикам продуктов. Хотя сервис официально не закрыт, а его архивы по-прежнему находятся в публичном доступе, с января 2021 года новых публикаций не было.
Bugtraq был создан 5 ноября 1993 года Скоттом Чейсином [2] в ответ на очевидные недостатки существующей инфраструктуры интернет- безопасности того времени, в частности CERT . Политика Bugtraq заключалась в том, чтобы публиковать уязвимости, независимо от реакции поставщиков, в рамках движения за полное раскрытие уязвимостей. Список иногда назывался BugTraq, но на протяжении многих лет его часто называли Bugtraq. К 19 мая 1995 г. число подписчиков выросло до 2500 [3] и более 40 000 к февралю 2000 г. [4]
Элиас Леви , известный как Алеф Один (имеется в виду кардинальное число Алеф Один ), отметил в интервью, что «среда в то время была такова, что поставщики не делали никаких исправлений. Поэтому основное внимание уделялось тому, как исправить программное обеспечение, которое компании не исправляли». Леви считал, что идея абстрагирования Bugtraq зависит от платформы, чтобы уменьшить количество ненужной информации для тех, кто интересуется только конкретными операционными системами . [5] [6]
Первоначально Bugtraq размещался на сайте Crimelab.com, которым руководил Скотт Чейсин. Он был перенесен в проект NetSpace Университета Брауна, который с тех пор был реорганизован в NetSpace Foundation, 5 июня 1995 года, в тот же день, когда началась его модерация. В июле 1999 года он стал собственностью SecurityFocus и был перенесен туда. [7] [8] SecurityFocus был полностью приобретен Symantec 6 августа 2002 г. [9] По состоянию на 25 февраля 2020 г. трафик из списка прекратился без объяснения причин. [10] В 2002 году был создан список рассылки Full-Disclosure , поскольку многие люди считали, что список «изменился к худшему». [11]
30 апреля 2020 года Accenture Security завершила приобретение компании Symantec Cybersecurity Services, включая SecurityFocus , в которую входил Bugtraq. [12]
Список рассылки изначально не модерировался, а затем модерировался лишь изредка, что многие участники считали неадекватным. В одном случае было разрешено опубликовать конфиденциальную информацию о кредитной карте. [13] Последующие сообщения оспаривали многие аспекты списка, включая полное раскрытие уязвимостей, и предлагали либо оставить его без модерации, либо модераторам изменить свой подход к нему. [14]
Модерация началась 5 июня 1995 года. Элиас Леви модерировал список с 14 июня 1996 года до тех пор, пока не ушел в отставку 15 октября 2001 года. от Леви и продолжал работать до тех пор, пока не ушел в отставку 23 февраля 2006 года. [15] Дэвид МакКинни, аналитик угроз DeepSight в Symantec , сменил Ахмада. Обязанности модератора теперь взял на себя другой аналитик DeepSight, Прасанна. [16]
Во время своего пребывания в должности Ахмад предложил, чтобы в списке было больше «участия сообщества» и «более демократичный процесс принятия важных решений о будущем Bugtraq и веб-сайта Security Focus». [17] Несмотря на получение обратной связи, по словам Альфреда Хьюгера, [18] дальнейшее участие сообщества не проявилось.
Задержки в модерации списков происходили несколько раз, иногда из-за технических проблем [19] и DDoS-атак . [20] В других случаях сообщения в списках исчезали из-за неустановленных «проблем с почтой». [21] В августе 1997 года список замолчал на несколько дней, поскольку Алеф Один был в отпуске, а человек, которому было поручено модерировать, не смог этого сделать. [22] После того, как список был переведен в SecurityFocus и Symantec приобрела компанию, некоторые исследователи заметили, что их публикации в списках задерживаются, поскольку модерация больше не осуществляется по выходным. Несмотря на задержки, информация об уязвимостях из некоторых из этих публикаций была использована в коммерческом предложении Symantec DeepSight, которое включает базу данных уязвимостей. [23]
В конце 2000 года, когда Леви разместил в списке полное содержание рекомендаций по безопасности Microsoft, Microsoft пожаловалась, что это нарушение авторских прав. [24]
С 24 февраля 2020 г. Symantec прекратила одобрять публикации в Bugtraq. [25] Никаких окончательных сообщений от администраторов списков и никаких заявлений от Symantec опубликовано не было. Это произошло после того, как база данных уязвимостей BID, поддерживаемая Symantec, перестала публично обновляться 26 июля 2019 года, чуть более чем за месяц до того, как она была приобретена Broadcom . [26] 1 января 2021 г. Accenture объявила о закрытии Bugtraq. [27] 15 января 2021 года в список рассылки было отправлено последнее электронное письмо с подтверждением его закрытия со ссылкой на то, что « ресурсы для списка рассылки BugTraq не были приоритетными ». [28] Однако решение было пересмотрено на основе отзывов сообщества; а 17 января 2021 года Accenture разместила в списке сообщение, объявляющее о продолжении Bugtraq [29] , а затем опубликовала более длинный блог, объясняющий их цели. [30] Объявление о продолжении было последним сообщением, когда-либо опубликованным в списке рассылки, и никакой дальнейшей активности не зафиксировано ни в одном из публичных архивов.