Seguimiento de errores

Lista de correo de seguridad informática

Bugtraq era una lista de correo electrónico dedicada a temas relacionados con la seguridad informática . Los temas de interés son nuevas discusiones sobre vulnerabilidades, anuncios de proveedores relacionados con la seguridad, métodos de explotación y cómo solucionarlos. Era una lista de correo de gran volumen, con hasta 776 publicaciones en un mes, ^[1] y casi todas las nuevas vulnerabilidades de seguridad se discutían en la lista en sus inicios. El foro proporcionó un vehículo para que cualquiera pudiera divulgar y discutir vulnerabilidades informáticas , incluidos investigadores de seguridad y proveedores de productos. Si bien el servicio no ha sido cancelado oficialmente y sus archivos aún son de acceso público, no se han realizado nuevas publicaciones desde enero de 2021.

Historia

Bugtraq fue creado el 5 de noviembre de 1993 por Scott Chasin ^[2] en respuesta a las fallas percibidas de la infraestructura de seguridad de Internet existente en ese momento, particularmente CERT . La política de Bugtraq era publicar vulnerabilidades, independientemente de la respuesta del proveedor, como parte del movimiento de divulgación completa de vulnerabilidades. La lista a veces se escribía BugTraq, pero el uso común a lo largo de los años la llamó Bugtraq. Creció hasta 2500 suscriptores el 19 de mayo de 1995 ^[3] y más de 40 000 en febrero de 2000. ^[4]

Elias Levy , conocido como Aleph One (en alusión al número cardinal aleph one ), señaló en una entrevista que "el entorno en ese momento era tal que los proveedores no estaban haciendo ningún parche. Por lo tanto, el enfoque estaba en cómo arreglar el software que las empresas no estaban arreglando". Levy consideró que la idea de abstraer Bugtraq era específica de la plataforma, para reducir la información irrelevante para aquellos interesados ​​​​solo en sistemas operativos particulares . ^{[5] [6]}

Bugtraq se alojaba originalmente en Crimelab.com, dirigido por Scott Chasin. Se trasladó al Proyecto NetSpace de la Universidad Brown (que desde entonces se ha reorganizado como la Fundación NetSpace) el 5 de junio de 1995, el mismo día en que comenzó su moderación. En julio de 1999 pasó a ser propiedad de SecurityFocus y se trasladó allí. ^{[7] [8]} SecurityFocus fue adquirida en su totalidad por Symantec el 6 de agosto de 2002. ^[9] A partir del 25 de febrero de 2020, el tráfico de la lista se detuvo sin explicación. ^[10] En 2002, se creó la lista de correo Full-Disclosure porque muchas personas sintieron que la lista había "cambiado para peor". ^[11]

El 30 de abril de 2020, Accenture Security completó la adquisición de los servicios de ciberseguridad de Symantec, incluido SecurityFocus , que incluía Bugtraq. ^[12]

Controversia

Moderación

La lista de correo no tenía en un principio ningún moderador, pero luego sólo recibió una moderación ocasional que muchos participantes consideraron inadecuada. En un incidente, se permitió que se publicara lo que parecía ser información confidencial de tarjetas de crédito. ^[13] En publicaciones posteriores se cuestionaron muchos aspectos de la lista, incluida la divulgación completa de vulnerabilidades, y se sugirió que no se moderara o que los moderadores cambiaran la forma en que la abordaban. ^[14]

La moderación comenzó el 5 de junio de 1995. Elias Levy moderó la lista desde el 14 de junio de 1996 hasta que dimitió el 15 de octubre de 2001. David Mirza Ahmad, uno de los muchos coautores de Hack Proofing Your Network, Second Edition, reemplazó a Levy y continuó hasta que dimitió el 23 de febrero de 2006. ^[15] David McKinney, un analista de amenazas de DeepSight en Symantec , reemplazó a Ahmad. Las funciones de moderación han sido asumidas ahora por otro analista de DeepSight, Prasanna. ^[16]

Durante su mandato, Ahmad propuso que la lista adoptara una mayor "participación de la comunidad" y "un proceso más democrático para tomar decisiones importantes sobre el futuro de Bugtraq y el sitio web Security Focus". ^[17] A pesar de recibir comentarios según Alfred Huger, ^[18] no se manifestó una mayor participación de la comunidad.

Retrasos en la moderación

En varias ocasiones se produjeron retrasos en la moderación de listas, a veces debido a problemas técnicos ^[19] y ataques DDoS . ^[20] En otras ocasiones, las publicaciones en las listas desaparecieron debido a "problemas de correo" no especificados. ^[21] En agosto de 1997, la lista estuvo en silencio durante varios días porque Aleph One estaba de vacaciones y la persona encargada de moderar no lo hizo. ^[22] Después de que la lista se transfiriera a SecurityFocus y Symantec adquiriera la empresa, algunos investigadores notaron que sus publicaciones en las listas se retrasaban, ya que la moderación ya no se producía los fines de semana. A pesar de los retrasos, la información sobre vulnerabilidades de algunas de esas publicaciones se utilizó en la oferta comercial DeepSight de Symantec, que incluye una base de datos de vulnerabilidades. ^[23]

Avisos de derechos de autor

A finales de 2000, cuando Levy publicó el contenido completo de un aviso de seguridad de Microsoft en la lista, Microsoft se quejó de que se trataba de una violación de los derechos de autor. ^[24]

Fallecimiento

A partir del 24 de febrero de 2020, Symantec dejó de aprobar publicaciones en Bugtraq. ^[25] No se publicó ningún mensaje final de los administradores de la lista ni ninguna declaración de Symantec. Esto se produjo después de que la base de datos de vulnerabilidades BID mantenida por Symantec dejara de actualizarse públicamente el 26 de julio de 2019, poco más de un mes antes de que Broadcom la adquiriera . ^[26] El 1 de enero de 2021, Accenture anunció que Bugtraq se cerraría. ^[27] El 15 de enero de 2021, se envió lo que parecía ser un correo electrónico final a la lista confirmando que se estaba cerrando, citando " los recursos para la lista de correo BugTraq no han sido priorizados ". ^[28] Sin embargo, la decisión se reconsideró en función de los comentarios de la comunidad; y el 17 de enero de 2021, Accenture publicó un mensaje en la lista anunciando la continuación de Bugtraq, ^[29] y siguió con un blog más extenso explicando sus objetivos. ^[30] El anuncio de continuación fue el último mensaje publicado en la lista de correo y no se registra ninguna actividad adicional en ninguno de los archivos públicos.

Referencias

1. "Bugtraq" . Consultado el 17 de enero de 2021 .
2. "Historia" . Consultado el 17 de enero de 2021 .
3. "Del moderador: LEA por favor". 1995-05-19 . Consultado el 2021-01-17 .
4. "Administración". 14 de febrero de 2000. Consultado el 17 de enero de 2021 .
5. "Administración". 11 de octubre de 1999. Consultado el 17 de enero de 2021 .
6. "Administrivia: software de listas de correo". 10 de marzo de 2001. Consultado el 17 de enero de 2021 .
7. "Administración". 5 de julio de 1999. Consultado el 17 de enero de 2021 .
8. Masnick, Mike (17 de julio de 2002). "Symantec compra SecurityFocus/BugTraq". TechDirt . Consultado el 17 de enero de 2021 .
9. "Completada la adquisición de SecurityFocus por parte de Symantec". 2002-08-06. Archivado desde el original el 6 de diciembre de 2003. Consultado el 17 de enero de 2021 .
10. "Bugtraq: 40 mensajes desde el 3 de febrero de 2020 hasta el 25 de febrero de 2020" . Consultado el 17 de enero de 2021 .
11. "Re: Anuncio de nueva lista de correo de seguridad". 11 de julio de 2002. Consultado el 17 de enero de 2021 .
12. "Accenture completa la adquisición del negocio de servicios de ciberseguridad de Symantec de Broadcom". Accenture.com . 30 de abril de 2020 . Consultado el 17 de enero de 2020 .
13. "¿Es hora de la moderación?"
14. "¿Cuál es el punto aquí?"
15. "Administrivia: nuevo moderador de Bugtraq".
16. Enfoque de seguridad
17. "Administrivia: [Importante] Participación de la comunidad en el futuro de Bugtraq".
18. "Resultados de la consulta de votación".
19. "Administrivia: Retrasos en las listas recientes".
20. "Curiosidades administrativas".
21. "Administrivia: Problemas con el correo".
22. "Aire muerto".
23. jerichoattrition (16 de junio de 2017). "Su recordatorio anual para publicar en Full-Disclosure, no en Bugtraq". Archivado desde el original el 2018-11-01 . Consultado el 2020-05-17 .
24. "Administrivia: No más boletines de Microsoft".
25. "Bugtraq: por hilo (archivo de febrero de 2020)".
26. "Broadcom adquiere el negocio empresarial de Symantec por 10.700 millones de dólares". CNBC . 8 de agosto de 2019 . Consultado el 19 de mayo de 2020 .
27. "BugTraq Shutdown" (Apagado de BugTraq). seclists.org . 2021-01-15 . Consultado el 2021-01-17 .
28. "Bugtraq: cierre de BugTraq". seclistas.org . Consultado el 15 de enero de 2021 .
29. "Pensándolo bien..." seclists.org . 2021-01-17 . Consultado el 2021-01-17 .
30. "El futuro de Bugtraq | Accenture". WordPressBlog . Consultado el 7 de febrero de 2021 .

Enlaces externos

• SecurityFocus - Listas de correo (Bugtraq es la primera lista de correo bajo el encabezado Más populares)
• BUGTRAQ - SEGUIMIENTO DE SITIOS VULNERABLES (Primer rastreador profesional de sitios vulnerables)