Bugtraq es una lista de correo electrónico dedicada a temas relacionados con la seguridad informática . Los problemas sobre el tema son nuevas discusiones sobre vulnerabilidades, anuncios de proveedores relacionados con la seguridad, métodos de explotación y cómo solucionarlos. Era una lista de correo de gran volumen, con hasta 776 publicaciones en un mes, [1] y casi todas las nuevas vulnerabilidades de seguridad se discutieron en la lista en sus primeros días. El foro proporcionó un vehículo para que cualquiera pudiera revelar y discutir las vulnerabilidades informáticas , incluidos los investigadores de seguridad y los proveedores de productos.
Historia
Bugtraq fue creado el 5 de noviembre de 1993 por Scott Chasin [2] en respuesta a las fallas percibidas de la infraestructura de seguridad de Internet existente en ese momento, particularmente CERT . La política de Bugtraq era publicar las vulnerabilidades, independientemente de la respuesta del proveedor, como parte del movimiento de divulgación completa de la divulgación de vulnerabilidades. La lista a veces se escribía BugTraq, pero el uso común a lo largo de los años la llamó Bugtraq. La lista aumentó a 2.500 suscriptores el 19 de mayo de 1995 [3] y más de 40.000 suscriptores en febrero de 2000. [4]
Elias Levy , también conocido como Aleph One (aludiendo al número cardinal aleph one ), señaló en una entrevista que "el entorno en ese momento era tal que los proveedores no estaban haciendo ningún parche. Así que la atención se centró en cómo reparar el software que las empresas no se estaban arreglando ". Levy consideró la idea de abstraer Bugtraq como una plataforma específica para reducir el ruido para aquellos interesados, por ejemplo, en Unix sobre Windows. [5] [6]
Bugtraq estaba alojado originalmente en Crimelab.com, dirigido por Scott Chasin. Se trasladó al Proyecto NetSpace de la Universidad Brown, que desde entonces se ha reorganizado como la Fundación NetSpace , el 5 de junio de 1995, el mismo día en que comenzó su moderación. En julio de 1999 pasó a ser propiedad de SecurityFocus y se trasladó allí. [7] [8] SecurityFocus fue adquirido en su totalidad por Symantec el 6 de agosto de 2002. [9] A partir del 25 de febrero de 2020, el tráfico de la lista se detuvo sin explicación. [10] En 2002, se creó la lista de correo de divulgación completa debido a que muchas personas sintieron que la lista había "cambiado para peor". [11]
El 30 de abril de 2020, Accenture Security completó su adquisición de los servicios de ciberseguridad de Symantec, incluido SecurityFocus , que incluye Bugtraq. [12]
Controversia
Moderación
La lista de correo originalmente no estaba moderada, pero la relación señal-ruido eventualmente se volvió inaceptablemente mala. Una de las primeras preguntas sobre si se justificaba la moderación surgió después de lo que parecía ser información confidencial en forma de tarjetas de crédito. [13] Una llamada posterior cuestionó muchos aspectos de la lista, incluida la divulgación completa de las vulnerabilidades, y sugirió que la lista no se modere o que los moderadores cambien la forma en que abordaron la lista. [14]
La moderación comenzó el 5 de junio de 1995. Elias Levy moderó la lista desde el 14 de junio de 1996 hasta que renunció el 15 de octubre de 2001. David Mirza Ahmad, uno de los muchos coautores de Hack Proofing Your Network, Second Edition , se hizo cargo de Levy y continuó hasta que renunció el 23 de febrero de 2006. [15] David McKinney, un analista de amenazas de DeepSight en Symantec , reemplazó a Ahmad, aunque la moderación ahora se ha pasado a otro analista de DeepSight, Prasanna. [dieciséis]
Durante su mandato como moderador, Ahmad propuso que la lista adopte más "participación comunitaria" y "un proceso más democrático para tomar decisiones importantes sobre el futuro de Bugtraq y el sitio web Security Focus". [17] A pesar de recibir comentarios según Alfred Huger, [18] no se manifestó una mayor participación de la comunidad.
Retrasos con moderación
Se han producido retrasos en la moderación de la lista varias veces durante el historial de la lista, a veces debido a problemas técnicos [19] y un ataque DDoS . [20] Otras veces, las publicaciones en las listas desaparecían debido a "problemas de correo". [21] En agosto de 1997, la lista se mantuvo en silencio durante varios días, ya que Aleph One estaba de vacaciones y la persona encargada de moderar no lo hizo. [22] Después de que la lista se transfirió a SecurityFocus y Symantec adquirió la empresa, algunos investigadores notaron que sus publicaciones en las listas se retrasaron. Se sabía que la moderación no ocurría los fines de semana, lo que explicaba el retraso. A pesar del retraso en la moderación de la lista, la información de vulnerabilidad de algunas de esas publicaciones se utilizó en la oferta comercial DeepSight de Symantec, que incluye una base de datos de vulnerabilidades. [23]
Avisos con derechos de autor
A finales de 2000, después de que Levy publicara el contenido completo de un aviso de seguridad de Microsoft en la lista, Microsoft se quejó de que se trataba de una violación de derechos de autor. [24]
Fallecimiento temporal
A partir del 24 de febrero de 2020, Symantec dejó de aprobar publicaciones en la lista de correo de Bugtraq. [25] No se publicó ningún mensaje final de los administradores de la lista ni ninguna declaración de Symantec. Esto se produce después de que la base de datos de vulnerabilidades BID mantenida por Symantec dejó de actualizarse públicamente el 26 de julio de 2019, poco más de un mes antes de ser adquirida por Broadcom . [26] El 1 de enero de 2021, Accenture anunció que cerraría la lista de correo de Bugtraq. [27] El 15 de enero de 2021, lo que parecía ser un correo electrónico final fue enviado a la lista confirmando que se estaba cerrando, citando "los recursos para la lista de correo de BugTraq no han sido priorizados ". [28] Sin embargo, esta decisión fue reconsiderada en base a los comentarios de la comunidad; el 17 de enero de 2021, Accenture publicó inicialmente un mensaje en la lista anunciando la continuación del Bugtraq, [29] y siguió con un blog más extenso explicando sus objetivos. [30]
Referencias
- ^ "Bugtraq" . Consultado el 17 de enero de 2021 .
- ^ "Historia" . Consultado el 17 de enero de 2021 .
- ^ "Del moderador: LEER, por favor" . 1995-05-19 . Consultado el 17 de enero de 2021 .
- ^ "Administrivia" . 2000-02-14 . Consultado el 17 de enero de 2021 .
- ^ "Administrivia" . 1999-10-11 . Consultado el 17 de enero de 2021 .
- ^ "Administrivia: software de listas de correo" . 2001-03-10 . Consultado el 17 de enero de 2021 .
- ^ "Administrivia" . 1999-07-05 . Consultado el 17 de enero de 2021 .
- ^ Masnick, Mike (17 de julio de 2002). "Symantec compra SecurityFocus / BugTraq" . TechDirt . Consultado el 17 de enero de 2021 .
- ^ "Adquisición de Symantec de SecurityFocus completada" . 2002-08-06. Archivado desde el original el 6 de diciembre de 2003 . Consultado el 17 de enero de 2021 .
- ^ "Bugtraq: 40 mensajes a partir del 3 de febrero del 20 y hasta el 25 de febrero del 20" . Consultado el 17 de enero de 2021 .
- ^ "Re: Anuncio de una nueva lista de correo de seguridad" . 11 de julio de 2002 . Consultado el 17 de enero de 2021 .
- ^ "Accenture completa la adquisición del negocio de servicios de seguridad cibernética Symantec de Broadcom" . Accenture.com . 30 de abril de 2020 . Consultado el 17 de enero de 2020 .
- ^ "¿Es hora de la moderación?" .
- ^ "¿Cuál es el punto aquí?" .
- ^ "Administrivia: Nuevo moderador de Bugtraq" .
- ^ Enfoque de seguridad
- ^ "Administrivia: [importante] participación de la comunidad en el futuro de Bugtraq" .
- ^ "Resultados de la consulta de voto" .
- ^ "Administrivia: Recientes retrasos en la lista" .
- ^ "Administrivia" .
- ^ "Administrivia: problemas de correo" .
- ^ "Dead Air" .
- ^ jerichoattrition (16 de junio de 2017). "Su recordatorio anual para publicar en Full-Disclosure, no en Bugtraq" . Archivado desde el original el 1 de noviembre de 2018.
- ^ "Administrivia: No más boletines de Microsoft" .
- ^ "Bugtraq: por hilo (Archivo de febrero de 2020)" .
- ^ "Broadcom adquiere el negocio empresarial de Symantec por $ 10,7 mil millones" . Consultado el 19 de mayo de 2020 .
- ^ "Cierre de BugTraq" . seclists.org . 2021-01-15 . Consultado el 17 de enero de 2021 .
- ^ "Bugtraq: cierre de BugTraq" . seclists.org . Consultado el 15 de enero de 2021 .
- ^ "Sobre el segundo pensamiento ..." seclists.org . 2021-01-17 . Consultado el 17 de enero de 2021 .
- ^ "El futuro de Bugtraq | Accenture" . WordPressBlog . Consultado el 7 de febrero de 2021 .
enlaces externos
- SecurityFocus - Listas de correo (Bugtraq es la primera lista de correo bajo el encabezado Más popular)
- BUGTRAQ - RASTREADOR DE SITIOS VULNERABLES (Primer rastreador profesional de sitios vulnerables)