4 razões para terceirizar seu DNS
O lendário lista de discussão Full Disclosure, onde pesquisadores de segurança publicou detalhes de exploits e vulnerabilidades de software, está sendo desligado.
O serviço, que tinha sido executado por quase 12 anos, desde julho de 2002, foi suspenso por tempo indeterminado após a lista de Administradores John Cartwright já não estava preparado para colocar-se com o trabalho de execução da coisa. Ele atingiu o ponto de ruptura quando um pesquisador não identificado exigiu que ele apagar várias mensagens a partir do arquivo, como Cartwright explicou em um posto na lista na quarta-feira:
Quando Len [Rose] e criei a lista de forma Full-Disclosure de volta em Julho de 2002, sabíamos que teríamos o nosso quinhão de problemas legais ao longo do caminho. Nós estávamos certos. Até o momento, tivemos todos os tipos de solicitações de exclusão de coisas, os pedidos não para excluir coisas, e uma variedade de ameaças legais ambos válidos ou não.No entanto, sempre do princípio de que o ponto de viragem seria um pedido de varrimento para supressão em larga escala de informação que alguns ou outro fornecedor foi exceção fazer.
Eu nunca imaginei que o pedido poderia vir de um pesquisador dentro da "comunidade" em si (e eu uso essa palavra vagamente nos tempos modernos). Mas hoje, depois de ter passado uma quantidade razoável de tempo lidando com reclamações de um indivíduo em particular (que deve permanecer anônimo) eu percebi que eu sou feito. A lista teve seu quinhão de trolling, inundações, pornografia peludo, exploits falsos e ataques DoS ao longo dos anos, mas nenhuma dessas coisas realmente afetou a integridade da própria lista.
No entanto, tendo um machado virtual para os arquivos da lista no capricho de um indivíduo apenas não se sente bem. Isso é um dos nossos "minaria os esforços dos últimos 12 anos é realmente a palha que quebrou o camelo para trás.
Eu não estou disposto a lutar essa luta por mais tempo. Está ficando mais difícil de operar um fórum aberto em clima legal de hoje, e muito menos um relacionado com a segurança. Não há honra entre hackers mais. Não há uma comunidade real. Há muito pouco de habilidade. Todo o jogo de segurança está se tornando mais e mais regulado. Isso tudo é um sinal das coisas por vir, e uma reflexão sobre o triste estado de uma indústria que nunca deveria ter se tornado uma indústria.
Estou suspender o serviço por tempo indeterminado. Obrigado por jogar.
A lista Full Disclosure servido um papel importante em alertar rapidamente TI e profissionais infosec a recém-descoberta de vulnerabilidades de segurança do computador: alguns buracos foram documentados na lista com nota de zero dias para o fornecedor afetada, alguns foram divulgados após correções tinha sido desenvolvido e distribuído. Em ambos os casos, a ameaça de divulgação era visto como suficiente para incentivar os fornecedores a tomar escorar a segurança a sério.
Mas o surgimento de explorar os corretores ea capacidade de ganhar dinheiro com a venda de exploits de dia zero para os governos mudou tudo. Em alguns aspectos Full Disclosure é uma relíquia de uma época mais inocente de segurança na Internet.
Mesmo que tenha sido o lugar para encontrar banco de dados Oracle, o servidor web Apache e do kernel Linux zero-dias, nos últimos anos, é reconhecidamente levava um monte de mensagens reveladoras de cross-site scripting falhas em blogs e similares frutas baixas. No entanto, sua morte atraiu forte reação da indústria de segurança.
Russ Spitler, veep para a estratégia de produto da AlienVault, comentou: ". Este é um verdadeiro retrocesso para a comunidade de segurança Embora a perda de uma fonte de notícias como Full Disclosure será substituído, a razão para o desligamento é a perda real para a comunidade .
"Durante anos a segurança por obscuridade foi a abordagem predominante, mesmo entre os grandes fornecedores de software - a pressão de fóruns como o Full Disclosure ajudou a mudar essa abordagem Os grandes fornecedores encarregou-se de seus problemas de segurança, processos de divulgação privadas estabelecidas, canais de comunicação criados sobre os seus problemas de segurança. e formalizou sua abordagem para resolver as causas profundas.
"A Microsoft tem que ser dado o crédito e pode ser tomado como um exemplo de como a maior das empresas podem criar e estabelecer programas de segurança de afastar esses problemas."
Nenhum comentário:
Postar um comentário