Bugtraq era una lista de correo electrónico dedicada a temas de seguridad informática . Los temas principales eran las nuevas discusiones sobre vulnerabilidades, los anuncios de seguridad de los proveedores, los métodos de explotación y cómo solucionarlos. Era una lista de correo con un alto volumen de actividad, con hasta 776 publicaciones al mes, [ 1 ] y casi todas las nuevas vulnerabilidades de seguridad se discutían en ella en sus inicios. El foro proporcionaba un medio para que cualquier persona, incluidos investigadores de seguridad y proveedores de productos, divulgara y discutiera vulnerabilidades informáticas . Si bien el servicio no se ha cerrado oficialmente y sus archivos siguen siendo accesibles al público, no se han publicado nuevas entradas desde enero de 2021.
Historia
Bugtraq fue creada el 5 de noviembre de 1993 por Scott Chasin [ 2 ] en respuesta a las deficiencias percibidas en la infraestructura de seguridad de Internet existente en ese momento, en particular CERT . La política de Bugtraq era publicar vulnerabilidades, independientemente de la respuesta del proveedor, como parte del movimiento de divulgación completa de vulnerabilidades. La lista a veces se escribía BugTraq, pero el uso común a lo largo de los años la llamó Bugtraq. Creció hasta alcanzar los 2500 suscriptores el 19 de mayo de 1995 [ 3 ] y más de 40 000 en febrero de 2000. [ 4 ]
Elias Levy , conocido como Aleph One (en alusión al número cardinal aleph uno ), señaló en una entrevista que «el entorno en aquel momento era tal que los proveedores no estaban creando parches. Por lo tanto, el enfoque estaba en cómo arreglar el software que las empresas no estaban arreglando». Levy consideraba que la idea de abstraer Bugtraq para que fuera específico de la plataforma, reducía la información irrelevante para aquellos interesados únicamente en sistemas operativos particulares . [ 5 ] [ 6 ]
Bugtraq se alojaba originalmente en Crimelab.com, dirigido por Scott Chasin. Se trasladó al Proyecto NetSpace de la Universidad de Brown —que desde entonces se ha reorganizado como la Fundación NetSpace— el 5 de junio de 1995, el mismo día en que comenzó su moderación. En julio de 1999 pasó a ser propiedad de SecurityFocus y se trasladó allí. [ 7 ] [ 8 ] SecurityFocus fue adquirida en su totalidad por Symantec el 6 de agosto de 2002. [ 9 ] A partir del 25 de febrero de 2020, el tráfico de la lista cesó sin explicación. [ 10 ] En 2002, se creó la lista de correo Full-Disclosure porque muchas personas sentían que la lista había "cambiado para peor". [ 11 ]
El 30 de abril de 2020, Accenture Security completó la adquisición de los Servicios de Ciberseguridad de Symantec, incluido SecurityFocus , que incluía Bugtraq. [ 12 ]
Controversia
Moderación
La lista de correo inicialmente no estaba moderada, y posteriormente solo recibió moderación ocasional que muchos participantes consideraron insuficiente. En un incidente, se permitió la publicación de lo que parecía ser información confidencial de tarjetas de crédito. [ 13 ] Publicaciones posteriores cuestionaron muchos aspectos de la lista, incluida la divulgación completa de vulnerabilidades, y sugirieron que se dejara sin moderar o que los moderadores cambiaran su enfoque. [ 14 ]
La moderación comenzó el 5 de junio de 1995. Elias Levy moderó la lista desde el 14 de junio de 1996 hasta que renunció el 15 de octubre de 2001. David Mirza Ahmad, uno de los muchos coautores de Hack Proofing Your Network, Second Edition , sucedió a Levy y continuó hasta que renunció el 23 de febrero de 2006. [ 15 ] David McKinney, analista de amenazas de DeepSight en Symantec , sucedió a Ahmad. Las funciones de moderación ahora las ha asumido otro analista de DeepSight, Prasanna. [ 16 ]
Durante su mandato, Ahmad propuso que la lista adoptara una mayor "participación de la comunidad" y "un proceso más democrático para tomar decisiones importantes sobre el futuro de Bugtraq y el sitio web Security Focus". [ 17 ] A pesar de recibir comentarios, según Alfred Huger, [ 18 ] no se produjo una mayor participación de la comunidad.
Retrasos en la moderación
Se produjeron retrasos en la moderación de la lista en varias ocasiones, a veces debido a problemas técnicos [ 19 ] y ataques DDoS . [ 3 ] Otras veces, las publicaciones en las listas desaparecieron debido a "problemas de correo" no especificados. [ 20 ] En agosto de 1997, la lista permaneció inactiva durante varios días, ya que Aleph One estaba de vacaciones y la persona encargada de la moderación no la llevó a cabo. [ 21 ] Después de que la lista pasara a SecurityFocus y Symantec adquiriera la empresa, algunos investigadores notaron que sus publicaciones en las listas se retrasaban, ya que la moderación ya no se realizaba los fines de semana. A pesar de los retrasos, la información sobre vulnerabilidades de algunas de esas publicaciones se utilizó en la oferta comercial DeepSight de Symantec, que incluye una base de datos de vulnerabilidades . [ 22 ]
Avisos sobre derechos de autor
A finales de 2000, cuando Levy publicó el contenido completo de un aviso de seguridad de Microsoft en la lista, Microsoft se quejó de que era una violación de derechos de autor. [ 23 ]
Fallecimiento
A partir del 24 de febrero de 2020, Symantec dejó de aprobar publicaciones en Bugtraq. [ 24 ] No se publicó ningún mensaje final de los administradores de la lista ni ninguna declaración de Symantec. Esto ocurrió después de que la base de datos de vulnerabilidades BID mantenida por Symantec dejara de actualizarse públicamente el 26 de julio de 2019, poco más de un mes antes de que fuera adquirida por Broadcom . [ 25 ] El 1 de enero de 2021, Accenture anunció que Bugtraq se cerraría. [ 26 ] El 15 de enero de 2021, se envió a la lista lo que parecía ser un correo electrónico final confirmando que se estaba cerrando, citando que " los recursos para la lista de correo BugTraq no se han priorizado ". [ 27 ] Sin embargo, la decisión se reconsideró en función de los comentarios de la comunidad; El 17 de enero de 2021, Accenture publicó un mensaje en la lista anunciando la continuación de Bugtraq [ 28 ] y posteriormente publicó una entrada de blog más extensa explicando sus objetivos [ 29 ] . El anuncio de la continuación fue el último mensaje publicado en la lista de correo y no se registra ninguna otra actividad en los archivos públicos.
Referencias
- ↑ «Bugtraq» . Consultado el 17 de enero de 2021 .
- ↑ "Historia" . Consultado el 17 de enero de 2021 .
- 1 2 "Del moderador: LEA por favor" . 1995-05-19 . Recuperado el 2021-01-17 .
- ↑ "Administrivia" . 14 de febrero de 2000. Consultado el 17 de enero de 2021 .
- ↑ "Administrivia" . 11 de octubre de 1999. Consultado el 17 de enero de 2021 .
- ↑ "Administrivia: Software para listas de correo" . 10 de marzo de 2001. Consultado el 17 de enero de 2021 .
- ↑ "Administrivia" . 5 de julio de 1999. Consultado el 17 de enero de 2021 .
- ^ Masnick, Mike (17 de julio de 2002). "Symantec compra SecurityFocus/BugTraq" . TechDirt . Consultado el 17 de enero de 2021 .
- ↑ "Adquisición de SecurityFocus por Symantec completada" . 6 de agosto de 2002. Archivado del original el 6 de diciembre de 2003. Consultado el 17 de enero de 2021 .
- ↑ "Bugtraq: 40 mensajes desde el 3 de febrero de 2020 hasta el 25 de febrero de 2020" . Consultado el 17 de enero de 2021 .
- ↑ "Re: Anuncio de nueva lista de correo de seguridad" . 11 de julio de 2002. Consultado el 17 de enero de 2021 .
- ↑ "Accenture completa la adquisición del negocio de servicios de ciberseguridad Symantec de Broadcom" . Accenture.com . 30 de abril de 2020. Consultado el 17 de enero de 2020 .
- ↑ "¿Es hora de la moderación?" .
- ↑ "¿Qué sentido tiene esto?" .
- ↑ «Administrivia: Nuevo moderador de Bugtraq» .
- ↑ Enfoque en la seguridad
- ↑ "Administrivia: [ Importante ] Participación de la comunidad en el futuro de Bugtraq" .
- ↑ "Resultados de la consulta de votación" .
- ↑ "Administrativos: Retrasos recientes en las listas" .
- ↑ "Administración: Problemas con el correo" .
- ↑ "Silencio" .
- ↑ jerichoattrition (16 de junio de 2017). "Su recordatorio anual para publicar en Full-Disclosure, no en Bugtraq" . Recuperado el 17 de mayo de 2020 .
{{cite web}}: CS1 maint: servicio de archivado obsoleto ( enlace ) - ↑ "Administrivia: No más boletines de Microsoft" .
- ↑ "Bugtraq: por hilo (archivo de febrero de 2020)" .
- ↑ "Broadcom adquiere el negocio empresarial de Symantec por 10.700 millones de dólares" . CNBC . 8 de agosto de 2019. Consultado el 19 de mayo de 2020 .
- ↑ "BugTraq Shutdown" . seclists.org . 15 de enero de 2021. Consultado el 17 de enero de 2021 .
- ^ "Bugtraq: Apagado de BugTraq" . seclistas.org . Consultado el 15 de enero de 2021 .
- ↑ "Pensándolo bien..." seclists.org . 17-01-2021 . Consultado el 17-01-2021 .
- ↑ "El futuro de Bugtraq | Accenture" . Blog de WordPress . Consultado el 7 de febrero de 2021 .
Enlaces externos
- SecurityFocus - Listas de correo (Bugtraq es la primera lista de correo bajo el encabezado "Más populares")
- BUGTRAQ - RASTREADOR DE SITIOS VULNERABLES (Primer rastreador profesional de sitios vulnerables)
- Listas de correo electrónico