Bugtraq — Википедия

Bugtraq

Bugtraq — модерируемый список рассылки об уязвимостях в программном обеспечении. Название происходит от выражения «bug track» — отслеживание багов.

Bugtraq был создан 5 ноября 1993 года Скоттом Чейсином^[1] в ответ на предполагаемые недостатки существующей инфраструктуры безопасности в Интернете того времени, в частности CERT.

Политика Bugtraq заключалась в публикации уязвимостей вне зависимости от ответа поставщика на сообщение, что соответствовало идеям движения полного раскрытия. Элиас Леви^[англ.], отметил в интервью, что «в то время не было принято выпускать патчи для своего оборудования. Поэтому основное внимание было уделено ошибкам, которые не исправляли».

Список рассылки первоначально был немодерируемым, но со временем полезные сообщения стали теряться в потоке бесполезных, и 5 июня 1995 года Bugtraq начали модерировать. Элиас Леви был модератором с 14 июня 1996 года по 15 октября 2001 года.

Сперва Bugtraq размещался на Crimelab.com. Он был переведён в проект NetSpace Университета Брауна, который был реорганизован как Фонд NetSpace в тот же день, когда появилась модерация.

В июле 1999 года он стал собственностью новостного портала SecurityFocus^[англ.] и был перемещён на его сервера. Symantec купила SecurityFocus в полном объёме 6 августа 2002 года^[2]^[3]^[4].

См. также

Примечания

↑ Scott Chasin | ProtectWise Inc | ZoomInfo.com (неопр.). Дата обращения: 23 мая 2017. Архивировано 29 октября 2017 года.
↑ Symantec Acquisition of SecurityFocus Completed
↑ SYMANTEC приобретает SECURITYFOCUS (неопр.). Дата обращения: 24 мая 2017. Архивировано из оригинала 6 сентября 2008 года.
↑ Symantec’s SecurityFocus buyout met with pessimism • The Register (неопр.). Дата обращения: 24 мая 2017. Архивировано 12 апреля 2018 года.

Ссылки

Bugtraq mailing list (англ.)
bugtraq.ru - Один из самых старых и популярных русскоязычных серверов, посвященных информационной безопасности (рус.)
How do you fix a leaky Net? — Salon.com, 2001 (англ.)

Похожие исследовательские статьи

FTP — протокол передачи файлов по сети, появившийся в 1971 году задолго до HTTP и даже до TCP/IP, благодаря чему является одним из старейших прикладных протоколов. Изначально FTP работал поверх протокола NCP, на сегодняшний день широко используется для распространения ПО и доступа к удалённым хостам. В отличие от TFTP, гарантирует передачу за счёт применения квотируемого протокола.

Спам — массовая рассылка корреспонденции лицам, не выражавшим желания её получить. Распространителей спама называют спáмерами.

HTTPS — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов TLS или устаревшего в 2015 году SSL. В отличие от HTTP с TCP-портом 80, для HTTPS по умолчанию используется TCP-порт 443.

SSL — криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP в таких приложениях, как электронная почта, интернет-факс и др. В 2014 году правительство США сообщило об уязвимости в текущей версии протокола. SSL должен быть исключён из работы в пользу TLS.

TLS, как и его предшественник SSL , — криптографические протоколы, обеспечивающие защищённую передачу данных между узлами в сети Интернет. TLS и SSL используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений.

Атака посредника, или атака «человек посередине» — вид атаки в криптографии и компьютерной безопасности, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом. Является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию.

<span class="mw-page-title-main">Verisign</span>

VeriSign, Inc. — американская компания из города Рестона, штат Вирджиния, поддерживающая разнообразные сетевые инфраструктуры, включая поддержку двух из тринадцати существующих корневых серверов DNS, авторитетный реестр доменов верхнего уровня .com, .net, общих доменов верхнего уровня .name и доменов верхнего уровня с кодом страны .cc и .tv, а также серверных систем для доменов .jobs и .edu. Verisign также предлагает услуги по обеспечению безопасности, включая управляемую службу DNS, противодействие распределённым атакам типа «отказ в обслуживании» (DDoS) и уведомление о кибер-угрозах.

qmail — MTA, который работает под Unix. Он был написан Дэниелом Бернштейном как более безопасная замена для популярного MTA Sendmail.

Центр обеспечения безопасности — компонент Microsoft Windows, включенный в Windows XP, Windows Vista и Windows 7. Представляет собой комплекс программного обеспечения по защите компьютера от сетевых атак, организации регулярного обновления Windows и мониторингу состояния установленного антивирусного ПО. В случае обнаружения дыры в безопасности компьютера предупреждает пользователя всплывающим сообщением. В Windows 7 переименован в «Центр поддержки», где, помимо всего прочего, добавлены функции обслуживания системы.

<span class="mw-page-title-main">Norton Internet Security</span>

Norton Internet Security — пакет безопасности, разработанный компанией Symantec. Включает в себя антивирус, брандмауэр, сканер электронной почты, фильтр спама, защиту от фишинга. Дополнительные функции, такие как, например,Родительский контроль, имеются в расширениях, разработанных компанией Symantec. Доля Norton Internet Security составляла 61 % всего рынка аналогичного ПО в США в 2007 году.

Шифропанки — неформальная группа людей, заинтересованных в сохранении анонимности и интересующихся криптографией. Первоначально шифропанки общались с помощью сети анонимных ремейлеров. Целью данной группы было достижение анонимности и безопасности посредством активного использования криптографии. Проекты, подобные GURPS Cyberpunk, придали вес идеям о том, что частные лица должны сами принимать меры по сохранению личного пространства. В период своего расцвета сеть шифропанков пестрила обсуждениями мер, принимаемых общественной политикой в отношении криптографии наряду с практическими разговорами на математические, вычислительные, технологические и криптографические темы как таковые.

В области компьютерной безопасности, независимые исследователи часто находят недостатки в программном обеспечении, которые могут быть использованы для вызова непредвиденного поведения программы. Эти недостатки называются уязвимостями. Процесс, посредством которого результаты исследований становятся доступны третьим лицам, является объектом жарких споров и называется политикой раскрытия исследователя.

<span class="mw-page-title-main">Heartbleed</span> уязвимость, которая позволяет читать память вне буфера

Heartbleed (CVE-2014-0160) — ошибка чтения за пределами буфера в OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Информация об уязвимости была опубликована в апреле 2014 года, ошибка существовала с конца 2011 года.

WannaCry — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая компьютеры под управлением операционной системы Microsoft Windows. После заражения компьютера программный код червя шифрует почти все хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп в криптовалюте за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда.

Атака программы-вымогателя CryptoLocker — кибератака с использованием программы-вымогателя CryptoLocker, которая произошла в период с 5 сентября 2013 года по конец мая 2014 года. В результате атаки была использована троянская программа, заражающая компьютеры под управлением операционной системы Microsoft Windows, и, как предполагается, данная программа была впервые размещена в Интернете 5 сентября 2013 года. Троян распространялся через заражённые вложения электронной почты, заражённые сайты и через существующий на компьютере пользователя ботнет. При заражении компьютера вредоносная программа шифрует определённые типы файлов, хранящихся на локальных и подключённых сетевых дисках, используя криптосистему с открытым ключом RSA, причём закрытый ключ хранится только на серверах управления вредоносной программой. Затем вредоносное ПО отображает сообщение, которое предлагает расшифровать данные, если платёж производится в указанный срок, и пользователю будет угрожать удаление закрытого ключа в случае истечения срока. Если этот срок не соблюдается, вредоносное ПО предлагает расшифровать данные через онлайн-сервис, предоставляемый операторами вредоносного ПО, за значительно более высокую цену в биткойнах, при этом нет никакой гарантии, что оплата приведёт к расшифровке контента.

Интернет-безопасность — это отрасль компьютерной безопасности, связанная специальным образом не только с Интернетом, но и с сетевой безопасностью, поскольку она применяется к другим приложениям или операционным системам в целом. Её цель — установить правила и принять меры для предотвращения атак через Интернет. Интернет представляет собой небезопасный канал для обмена информацией, который приводит к высокому риску вторжения или мошенничества, таких как фишинг, компьютерные вирусы, трояны, черви и многое другое.

POODLE — вид атаки в компьютерной безопасности типа «человек посередине», когда злоумышленник путём блокировки TLS 1.0 и увеличения числа попыток соединения вызывает принудительное использование интернет-клиентами и пользователями защитного программного обеспечения SSL версии 3.0. После того как был произведен откат системы до SSL 3.0, злоумышленник использует атаку Padding Oracle.

Symantec Endpoint Protection, разработанный корпорацией Broadcom Inc., пакет программного обеспечения безопасности, который включает функции защиты от вредоносных программ, предотвращения вторжений и брандмауэра для серверов и настольных компьютеров. Он занимает самую большую долю рынка среди продуктов для обеспечения безопасности конечных точек.

TLS 1.3 — версия протокола защиты транспортного уровня, являющаяся седьмой итерацией протокола TLS и его предшественника SSL. Протокол предназначен для защиты передаваемых данных между узлами сети, а именно предоставление шифрования, аутентификации и целостности соединения.

Безопасность браузера — это приложение интернет-безопасности к веб-браузерам для защиты сетевых данных и компьютерных систем от нарушений конфиденциальности или вредоносных программ. Эксплойты безопасности браузеров часто используют JavaScript, иногда с межсайтовым скриптингом (XSS) с дополнительной полезной нагрузкой, использующей Adobe Flash. Эксплойты безопасности также могут использовать уязвимости, которые обычно используются во всех браузерах.

Эта страница основана на статье Википедии.
Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия.
Изображения, видео и звуки доступны по их собственным лицензиям.