부그라크

Bugtraq

Bugtraq컴퓨터 보안에 관한 이슈에 관한 전자 메일링 리스트였다.온토픽 이슈는 취약성, 벤더 보안 관련 발표, 악용 방법, 해결 방법 등에 대한 새로운 논의다.한 달 동안 무려 776개의 게시물이 올라올 정도로 대량 메일링 리스트였고,[1] 초창기에는 거의 모든 새로운 보안 취약점이 리스트에서 논의됐다.포럼은 보안 연구원과 제품 판매업체 등 누구나 컴퓨터 취약점을 공개하고 토론할 수 있는 수단을 마련했다.

역사

Bugtraq는 1993년 11월 5일 Scott Chasin에[2] 의해 당시 기존의 인터넷 보안 인프라, 특히 CERT의 장애 인식에 대응하여 만들어졌다.Bugtraq의 방침은 취약성 공개의 전체 공개 이동의 일환으로 벤더 대응에 관계없이 취약성을 게시하는 것이었다.이 목록에는 때때로 BugTraq라는 철자가 붙기도 했지만, 몇 년 동안 흔히 사용되는 용어는 Bugtraq라고 불렸다.1995년[3] 5월 19일까지 2,500명, 2000년 2월까지 4만 명 이상의 가입자로 성장했다.[4]

엘리아스 레비(Aleph One)는 인터뷰에서 "당시 환경은 상인들이 어떤 패치도 만들지 않는 수준이었다"고 지적했다.그래서 기업들이 고치지 않는 소프트웨어를 어떻게 고칠 것인가에 초점이 맞춰져 있었다."레비는 특정 운영체제에만 관심이 있는 사람들에게 관련 없는 정보를 줄이기 위해 Bugtraq를 플랫폼별로 추상화하는 아이디어를 고려했다.[5][6]

Bugtraq는 원래 Scott Chasin에 의해 운영되는 Crimelab.com에서 주최되었다.그것은 그 이후 넷스페이스 재단으로 재편된 브라운 대학교 넷스페이스 프로젝트로 옮겨졌는데, 그 프로젝트는 그 절제가 시작된 바로 그날인 1995년 6월 5일이었다.1999년 7월에 그것은 보안의 소유물이 되었다.집중해서 그곳으로 옮겨졌다.[7][8]보안포커스는 2002년 8월 6일 Symantec에 의해 완전히 취득되었다.[9]2020년 2월 25일 현재, 리스트로부터의 트래픽은 설명 없이 중지되었다.[10]2002년에, "전면 공개 메일링 리스트"가 만들어졌는데, 그 이유는 많은 사람들이 이 리스트가 "더 나쁜 쪽으로 바뀌었다"고 느끼기 때문이다.[11]

2020년 4월 30일, Accenture Security는 Symantec의 사이버 보안 서비스(Symantec의 보안 포함) 인수를 완료했다.포커스, Bugtraq 포함.[12]

논란

절제

메일링 리스트는 원래 모호하지 않았고, 그리고 나서 많은 참가자들이 불충분하다고 생각하는 때때로 절제된 내용만 받았다.한 사건에서 민감한 신용카드 정보로 보이는 것이 게시될 수 있도록 허용되었다.[13]후속 게시물들은 취약성의 완전한 공개를 포함한 목록의 많은 측면에 도전했고, 그것이 더 이상 흔들리지 않거나 중재자들이 접근하는 방식을 바꾸자고 제안했다.[14]

절제는 1995년 6월 5일에 시작되었다.엘리아스 레비는 1996년 6월 14일부터 2001년 10월 15일 사임할 때까지 리스트를 조정했다.'네트워크 인증 해킹'의 많은 공동저자인 데이비드 미르자 아흐마드는 레비로부터 넘겨받아 2006년 2월 23일 사임할 때까지 계속되었다.[15]시만텍DeepSight 위협 분석가인 데이비드 맥키니는 아흐마드로부터 넘겨받았다.이제 또 다른 딥사이트 분석가인 프라산나에 의해 절제된 관세가 부과되었다.[16]

아흐마드 대통령은 재임 기간 중 이 명단이 더 많은 '커뮤니티 참여'와 "Bugtraq와 Security Focus 웹사이트의 미래에 대한 중요한 결정을 위한 보다 민주적인 절차"를 채택할 것을 제안했다.[17]알프레드 허거에 따르면, 피드백을 받았음에도 불구하고,[18] 더 이상의 지역사회 참여는 나타나지 않았다.

중간 지연

때때로[19] 기술적 문제와 DDoS 공격으로 인해 목록 조정 지연이 여러 번 발생했다.[20]또 특정되지 않은 '메일 문제'로 명부에 올라오는 글들이 사라진 경우도 있다.[21]1997년 8월 알레프원이 휴가 중이고 온건파에게 위탁받은 사람이 그렇게 하지 못하면서 명단은 며칠 동안 잠잠해졌다.[22]목록이 보안으로 전환된 후포커스와 Symantec이 회사를 인수했고, 일부 연구자들은 주말에 절제가 더 이상 일어나지 않기 때문에 리스트에 올린 글들이 지연되고 있다는 것을 알아챘다.지연에도 불구하고, 이러한 게시물 중 일부의 취약성 정보는 취약성 데이터베이스를 포함하는 Symantec의 DeepSight 상업용 제품에서 사용되었다.[23]

저작권이 있는 권고 사항

2000년 말 레비가 마이크로소프트(MS)[24] 보안 권고의 전체 내용을 목록에 올리자 마이크로소프트는 저작권 침해라고 불만을 표시했다.

일시적 소멸

2020년 2월 24일부로 시만텍은 부그트라크에 대한 직위 승인을 중단했다.[25]목록 관리자의 최종 메시지와 Symantec의 문장이 게시되지 않았다.이는 시만텍이 관리하는 BID 취약성 데이터베이스브로드컴에 인수되기 불과 한 달 전인 2019년 7월 26일 공개 업데이트를 중단한 데 따른 것이다.[26]2021년 1월 1일 액센츄어는 Bugtraq가 폐쇄될 것이라고 발표했다.[27]2021년 1월 15일에는 "BugTraq 메일링 리스트에 대한 자원이 우선순위를 정하지 않았다"는 이유로 최종 메일인 것으로 보이는 것이 종료되고 있음을 확인하는 목록으로 발송되었다.[28]그러나, 그 결정은 지역사회의 피드백을 바탕으로 재고되었다; 그리고 2021년 1월 17일, 액센츄어는 Bugtraq의 계속을 알리는 메시지를 목록에 올렸고, 그들의 목표를 설명하는 더 긴 블로그를 뒤따랐다.[30]

참조

  1. ^ "Bugtraq". Retrieved 2021-01-17.
  2. ^ "History". Retrieved 2021-01-17.
  3. ^ "From the moderator: READ Please". 1995-05-19. Retrieved 2021-01-17.
  4. ^ "Administrivia". 2000-02-14. Retrieved 2021-01-17.
  5. ^ "Administrivia". 1999-10-11. Retrieved 2021-01-17.
  6. ^ "Administrivia: Mailing List Software". 2001-03-10. Retrieved 2021-01-17.
  7. ^ "Administrivia". 1999-07-05. Retrieved 2021-01-17.
  8. ^ Masnick, Mike (2002-07-17). "Symantec Buys SecurityFocus/BugTraq". TechDirt. Retrieved 2021-01-17.
  9. ^ "Symantec Acquisition of SecurityFocus Completed". 2002-08-06. Archived from the original on December 6, 2003. Retrieved 2021-01-17.
  10. ^ "Bugtraq: 40 messages starting Feb 03 20 and ending Feb 25 20". Retrieved 2021-01-17.
  11. ^ "Re: Announcing new security mailing list". July 11, 2002. Retrieved 2021-01-17.
  12. ^ "Accenture Completes Acquisition of Broadcom's Symantec Cyber Security Services Business". Accenture.com. April 30, 2020. Retrieved 2020-01-17.
  13. ^ "Time for moderation?".
  14. ^ "What is the point here?".
  15. ^ "Administrivia: New Bugtraq moderator".
  16. ^ 보안초점
  17. ^ "Administrivia: [Important] Community Involvement in the Future of Bugtraq".
  18. ^ "Results of the vote query".
  19. ^ "Administrivia: Recent list delays".
  20. ^ "Administrivia".
  21. ^ "Administrivia: Mail Problems".
  22. ^ "Dead Air".
  23. ^ jerichoattrition (June 16, 2017). "Your yearly reminder to post to Full-Disclosure, not Bugtraq". Archived from the original on 2018-11-01.
  24. ^ "Administrivia: No More Microsoft Bulletins".
  25. ^ "Bugtraq: by thread (Feb 2020 Archive)".
  26. ^ "Broadcom acquires Symantec's enterprise business for $10.7 billion". Retrieved 19 May 2020.
  27. ^ "BugTraq Shutdown". seclists.org. 2021-01-15. Retrieved 2021-01-17.
  28. ^ "Bugtraq: BugTraq Shutdown". seclists.org. Retrieved 2021-01-15.
  29. ^ "On Second Thought..." seclists.org. 2021-01-17. Retrieved 2021-01-17.
  30. ^ "The Future of Bugtraq Accenture". WordPressBlog. Retrieved 2021-02-07.

외부 링크