stringtranslate.com

Багтрак

Bugtraq представлял собой электронный список рассылки , посвященный вопросам компьютерной безопасности . К актуальным вопросам относятся новые обсуждения уязвимостей, объявления поставщиков, связанные с безопасностью, методы эксплуатации и способы их устранения. Это был большой список рассылки, в котором в месяц содержалось до 776 сообщений [1] , и почти все новые уязвимости безопасности обсуждались в этом списке в первые дни его существования. Форум предоставил возможность всем желающим раскрывать и обсуждать компьютерные уязвимости , в том числе исследователям безопасности и поставщикам продуктов. Хотя сервис официально не закрыт, а его архивы по-прежнему находятся в публичном доступе, с января 2021 года новых публикаций не было.

История

Bugtraq был создан 5 ноября 1993 года Скоттом Чейсином [2] в ответ на очевидные недостатки существующей инфраструктуры интернет- безопасности того времени, в частности CERT . Политика Bugtraq заключалась в том, чтобы публиковать уязвимости, независимо от реакции поставщиков, в рамках движения за полное раскрытие уязвимостей. Список иногда назывался BugTraq, но на протяжении многих лет его часто называли Bugtraq. К 19 мая 1995 г. число подписчиков выросло до 2500 [3] и более 40 000 к февралю 2000 г. [4]

Элиас Леви , известный как Алеф Один (имеется в виду кардинальное число Алеф Один ), отметил в интервью, что «среда в то время была такова, что поставщики не делали никаких исправлений. Поэтому основное внимание уделялось тому, как исправить программное обеспечение, которое компании не исправляли». Леви считал, что идея абстрагирования Bugtraq зависит от платформы, чтобы уменьшить количество ненужной информации для тех, кто интересуется только конкретными операционными системами . [5] [6]

Первоначально Bugtraq размещался на сайте Crimelab.com, которым руководил Скотт Чейсин. Он был перенесен в проект NetSpace Университета Брауна, который с тех пор был реорганизован в NetSpace Foundation, 5 июня 1995 года, в тот же день, когда началась его модерация. В июле 1999 года он стал собственностью SecurityFocus и был перенесен туда. [7] [8] SecurityFocus был полностью приобретен Symantec 6 августа 2002 г. [9] По состоянию на 25 февраля 2020 г. трафик из списка прекратился без объяснения причин. [10] В 2002 году был создан список рассылки Full-Disclosure , поскольку многие люди считали, что список «изменился к худшему». [11]

30 апреля 2020 года Accenture Security завершила приобретение компании Symantec Cybersecurity Services, включая SecurityFocus , в которую входил Bugtraq. [12]

Споры

На модерации

Список рассылки изначально не модерировался, а затем модерировался лишь изредка, что многие участники считали неадекватным. В одном случае было разрешено опубликовать конфиденциальную информацию о кредитной карте. [13] Последующие сообщения оспаривали многие аспекты списка, включая полное раскрытие уязвимостей, и предлагали либо оставить его без модерации, либо модераторам изменить свой подход к нему. [14]

Модерация началась 5 июня 1995 года. Элиас Леви модерировал список с 14 июня 1996 года до тех пор, пока не ушел в отставку 15 октября 2001 года. от Леви и продолжал работать до тех пор, пока не ушел в отставку 23 февраля 2006 года. [15] Дэвид МакКинни, аналитик угроз DeepSight в Symantec , сменил Ахмада. Обязанности модератора теперь взял на себя другой аналитик DeepSight, Прасанна. [16]

Во время своего пребывания в должности Ахмад предложил, чтобы в списке было больше «участия сообщества» и «более демократичный процесс принятия важных решений о будущем Bugtraq и веб-сайта Security Focus». [17] Несмотря на получение обратной связи, по словам Альфреда Хьюгера, [18] дальнейшее участие сообщества не проявилось.

Задержки в модерации

Задержки в модерации списков происходили несколько раз, иногда из-за технических проблем [19] и DDoS-атак . [20] В других случаях сообщения в списках исчезали из-за неустановленных «проблем с почтой». [21] В августе 1997 года список замолчал на несколько дней, поскольку Алеф Один был в отпуске, а человек, которому было поручено модерировать, не смог этого сделать. [22] После того, как список был переведен в SecurityFocus и Symantec приобрела компанию, некоторые исследователи заметили, что их публикации в списках задерживаются, поскольку модерация больше не осуществляется по выходным. Несмотря на задержки, информация об уязвимостях из некоторых из этих публикаций была использована в коммерческом предложении Symantec DeepSight, которое включает базу данных уязвимостей. [23]

Консультации, защищенные авторским правом

В конце 2000 года, когда Леви разместил в списке полное содержание рекомендаций по безопасности Microsoft, Microsoft пожаловалась, что это нарушение авторских прав. [24]

Кончина

С 24 февраля 2020 г. Symantec прекратила одобрять публикации в Bugtraq. [25] Никаких окончательных сообщений от администраторов списков и никаких заявлений от Symantec опубликовано не было. Это произошло после того, как база данных уязвимостей BID, поддерживаемая Symantec, перестала публично обновляться 26 июля 2019 года, чуть более чем за месяц до того, как она была приобретена Broadcom . [26] 1 января 2021 г. Accenture объявила о закрытии Bugtraq. [27] 15 января 2021 года в список рассылки было отправлено последнее электронное письмо с подтверждением его закрытия со ссылкой на то, что « ресурсы для списка рассылки BugTraq не были приоритетными ». [28] Однако решение было пересмотрено на основе отзывов сообщества; а 17 января 2021 года Accenture разместила в списке сообщение, объявляющее о продолжении Bugtraq [29] , а затем опубликовала более длинный блог, объясняющий их цели. [30] Объявление о продолжении было последним сообщением, когда-либо опубликованным в списке рассылки, и никакой дальнейшей активности не зафиксировано ни в одном из публичных архивов.

Рекомендации

  1. ^ "Бугтрак" . Проверено 17 января 2021 г.
  2. ^ "История" . Проверено 17 января 2021 г.
  3. ^ «От модератора: ПРОЧТИТЕ, пожалуйста». 19 мая 1995 г. Проверено 17 января 2021 г.
  4. ^ "Администрация". 14 февраля 2000 г. Проверено 17 января 2021 г.
  5. ^ "Администрация". 11 октября 1999 г. Проверено 17 января 2021 г.
  6. ^ «Администрация: Программное обеспечение для списков рассылки» . 10 марта 2001 г. Проверено 17 января 2021 г.
  7. ^ "Администрация". 5 июля 1999 г. Проверено 17 января 2021 г.
  8. ^ Масник, Майк (17 июля 2002 г.). «Symantec покупает SecurityFocus/BugTraq». ТехДирт . Проверено 17 января 2021 г.
  9. ^ «Приобретение Symantec SecurityFocus завершено» . 06 августа 2002 г. Архивировано из оригинала 6 декабря 2003 года . Проверено 17 января 2021 г.
  10. ^ «Bugtraq: 40 сообщений, начиная с 20 3 февраля и заканчивая 25 20 февраля» . Проверено 17 января 2021 г.
  11. ^ «Re: Объявление нового списка рассылки по безопасности» . 11 июля 2002 года . Проверено 17 января 2021 г.
  12. ^ «Accenture завершает приобретение подразделения Broadcom по оказанию услуг Symantec в области кибербезопасности» . Accenture.com . 30 апреля 2020 г. . Проверено 17 января 2020 г.
  13. ^ «Время модерации?».
  14. ^ «Какой здесь смысл?».
  15. ^ «Администрация: Новый модератор Bugtraq» .
  16. ^ БезопасностьФокус
  17. ^ «Администрация: [важное] участие сообщества в будущем Bugtraq» .
  18. ^ «Результаты запроса голосования» .
  19. ^ «Администрация: недавние задержки списка» .
  20. ^ "Администрация".
  21. ^ «Администрация: Проблемы с почтой» .
  22. ^ "Мертвый воздух".
  23. иерихонное истощение (16 июня 2017 г.). «Ваше ежегодное напоминание о публикации в Full-Disclosure, а не в Bugtraq». Архивировано из оригинала 1 ноября 2018 г. Проверено 17 мая 2020 г.
  24. ^ «Администрирование: больше никаких бюллетеней Microsoft» .
  25. ^ «Bugtraq: по темам (архив за февраль 2020 г.)» .
  26. ^ «Broadcom приобретает корпоративный бизнес Symantec за 10,7 миллиарда долларов» . CNBC . 8 августа 2019 года . Проверено 19 мая 2020 г.
  27. ^ "Отключение BugTraq" . сайт seclists.org . 15 января 2021 г. Проверено 17 января 2021 г.
  28. ^ «Bugtraq: Отключение BugTraq» . сайт seclists.org . Проверено 15 января 2021 г.
  29. ^ «Поразмыслив...» seclists.org . 17 января 2021 г. Проверено 17 января 2021 г.
  30. ^ «Будущее Bugtraq | Accenture» . WordPressБлог . Проверено 7 февраля 2021 г.

Внешние ссылки