Bugtraq

Bugtraq был списком электронной рассылки, посвященным вопросам, связанным с компьютерной безопасностью. К тематическим вопросам относятся новые обсуждения уязвимостей, объявления поставщиков, связанные с безопасностью, методы эксплуатации и способы их устранения. Это был крупномасштабный список рассылки, в который было отправлено 776 сообщений в месяц, и почти все новые уязвимости обсуждались в этом списке на первых порах. Форум предоставил возможность всем, в том числе исследователям безопасности и поставщикам продуктов, раскрыть и обсудить компьютерные уязвимости.

С 24 февраля 2020 г. Symantec прекратила утверждать сообщения в списке рассылки Bugtraq.

• 1 История
• 2 Противоречие
  • 2.1 Модерация
  • 2.2 Задержки модерации
  • 2.3 Консультации, защищенные авторским правом
• 3 Гибель
• 4 Ссылки
• 5 Внешние ссылки

Bugtraq был создан 5 ноября 1993 года Скоттом Часином в ответ на предполагаемые недостатки существующая Интернет инфраструктура безопасности того времени, в частности CERT. Политика Bugtraq заключалась в том, чтобы публиковать уязвимости независимо от ответа поставщика в рамках движения полного раскрытия раскрытия уязвимостей. Список вырос до 2500 подписчиков к 19 мая 1995 года и более 40 000 подписчиков к февралю 2000 года.

Элиас Леви, также известный как Алеф Один (имеется в виду кардинальное число алеф один ), отметил в интервью, что «среда в то время была такова, что поставщики не делали никаких исправлений. Поэтому основное внимание уделялось тому, как исправить программное обеспечение, которое компании не исправляли». Леви считал идею абстрагирования Bugtraq специфичной для платформы, чтобы уменьшить шум для тех, кто, например, Unix поверх Windows.

Изначально Bugtraq размещался на Crimelab.com, которым руководил Скотт Часин. Он был перемещен в проект NetSpace университета Брауна, который с тех пор был реорганизован в NetSpace Foundation, 5 июня 1995 года, в тот же день, когда началась его модерация. В июле 1999 года он стал собственностью SecurityFocus и был перенесен туда. SecurityFocus был полностью приобретен Symantec 6 августа 2002 г. По состоянию на 25 февраля 2020 г. трафик из списка прекратился без объяснения причин. В 2002 году был создан список рассылки Full-Disclosure, поскольку многие люди считали, что список «изменился в худшую сторону».

Модерация

Изначально список рассылки не модерировался, но со временем отношение сигнал / шум стало неприемлемо плохим. Один из первых вопросов о том, была ли модерация оправданной, возник после того, как информация о кредитных картах оказалась конфиденциальной. Последующий звонок поставил под сомнение многие аспекты списка, включая полное раскрытие уязвимостей, и предложил либо оставить список без модерации, либо модераторам изменить способ обращения к списку.

Модерация началась 5 июня 1995 года. Элиас Леви модерировал список с 14 июня 1996 года до своего ухода в отставку 15 октября 2001 года. Дэвид Мирза Ахмад, один из многих соавторов Hack Proofing Your Network, Second Edition, сменил Леви и продолжал работать до тех пор, пока он не ушел в отставку 23 февраля 2006 г. Дэвид МакКинни, аналитик угроз DeepSight в Symantec, занял место Ахмада, хотя модерация теперь была передана другой аналитик DeepSight, Прасанна.

Во время своего пребывания на посту модератора Ахмад предложил включить в список большее «участие сообщества» и «более демократичный процесс принятия важных решений относительно будущего Bugtraq и веб-сайта Security Focus». Несмотря на получение обратной связи по словам Альфреда Хугера, дальнейшего участия сообщества не проявилось.

Задержки в модерации

Задержки в модерации списка происходили несколько раз на протяжении истории списка, иногда из-за технических проблем и DDoS-атаки. В других случаях сообщения в списках пропадали из-за «проблем с почтой». В августе 1997 года список замолчал на несколько дней, так как Aleph One был в отпуске, а человек, которому было поручено модерировать, не смог этого сделать. После того, как список был передан в SecurityFocus и Symantec приобрела компанию, некоторые исследователи заметили, что их публикации в списках задерживаются. Было известно, что модерация не происходит по выходным, что и объясняет задержку. Несмотря на задержку модерации списка, информация об уязвимостях из некоторых из этих сообщений была использована в коммерческом предложении Symantec DeepSight, которое включает базу данных уязвимостей.

Защищенные авторским правом рекомендации

В конце 2000 года, после того, как Леви опубликовал полный контент рекомендации Microsoft по безопасности в список, Microsoft пожаловалась на нарушение авторских прав.

С 24 февраля 2020 года Symantec прекратила одобрение сообщений в списке рассылки Bugtraq. Не было опубликовано окончательного сообщения от администраторов списка и заявления от Symantec. Это произошло после того, как база данных уязвимостей BID, поддерживаемая Symantec, перестала публично обновляться 26 июля 2019 года, чуть более чем за месяц до того, как была приобретена Broadcom.

1. ^https: // seclists.org / bugtraq /. Отсутствует или пусто | title =()
2. ^ «Bugtraq: by thread (Feb 2020 Archive)».
3. ^https: // www.securityfocus.com/archive/1/description#0.2.1.Отсутствует или пусто | title =()
4. ^«От модератора: ПРОЧИТАЙТЕ, пожалуйста».
5. ^«Администрация».
6. ^«Администрация».
7. ^«Администрация: программное обеспечение списков рассылки».
8. ^«Администрация».
9. ^«Symantec Buys SecurityFocus / BugTraq». Дата обращения 19 мая 2020 г.
10. ^Приобретение Symantec SecurityFocus завершено Архивировано 6 декабря 2003 г. на Wayback Machine
11. ^https://seclists.org/bugtraq/2020/Feb/index.html. Отсутствует или пусто | title =()
12. ^https://seclists.org/fulldisclosure/2002/Jul/7. Отсутствует или пусто | title =()
13. ^"Время модера ция? ".
14. ^" Какой здесь смысл? ".
15. ^" Администрация: новый модератор Bugtraq ".
16. ^SecurityFocus
17. ^" Администрация: [Важно] Участие сообщества в будущем Bugtraq ".
18. ^" Результаты запроса для голосования ".
19. ^" Администрация: последние задержки в списке ".
20. ^" Администрация ".
21. ^" Администрация: проблемы с почтой ".
22. ^" Dead Air ".
23. ^https://blog.osvdb.org/ 2017/06/16 / your-Annual-Напоминание-до-после-к-полному раскрытию-не-bugtraq /. Отсутствует или пусто | title =()
24. ^«Администрация: бюллетеней Microsoft больше нет».
25. ^«Broadcom приобретает корпоративный бизнес Symantec за 10,7 млрд долларов». Проверено 19 мая 2020 г.

• SecurityFocus - Списки рассылки (Bugtraq - это первый список рассылки под заголовком «Самые популярные»)
• BUGTRAQ - ТРЕКЕР УЯЗВИМЫХ САЙТОВ (Первый профессиональный трекер уязвимых сайтов)