Vor 30 Jahren, am 5. November 1993, hat Scott Chasin eine Mailingliste für IT-Sicherheit ins Leben gerufen und ihr den Namen BugTraq gegeben. Als Sicherheitsverantwortlicher bei einer Öl- und Gasfirma verspürte Chasin vor 30 Jahren den Wunsch, angesichts der mangelhaften IT-Sicherheitsinfrastruktur im schnell wachsenden Internet einen Gegenimpuls zu setzen.
Von Anfang an entschied sich BugTraq dafür, das Konzept des Full Disclosures zu verfolgen, was bedeutet, dass Sicherheitslücken detailliert und frühzeitig veröffentlicht wurden. Die Mailingliste wurde schnell zum führenden Medium für die aufstrebende Gemeinschaft von Sicherheitsforschern im Internet.
In den Anfangsjahren war die BugTraq-Liste nicht moderiert, was sich im Jahr 1995 als unpraktisch herausstellte, als die Zahl der Abonnenten auf über zweitausend stieg. Elias Levy, der unter dem Pseudonym Aleph One bekannt war und die Sicherheitsfirma SecurityFocus gründete, übernahm die Moderation der Liste für einen Zeitraum von fünf Jahren, bis er sie zusammen mit seiner Firma an Symantec verkaufte.
Im Jahr 2002 entstand aus Frustration über die als zu streng und langsam empfundene Moderation sowie aus Protest gegen die als Verkauf empfundene Übernahme ein ebenso bekannter Ableger namens Full Disclosure, der eine eigene Mailingliste gründete. Von da an existierten beide Listen harmonisch nebeneinander: Diejenigen, die weniger Lesematerial in ihrem Postfach wollten, abonnierten BugTraq, während Sicherheitsexperten mit einem hohen Anspruch an Aktualität und Lesedauer weiterhin dem Full-Disclosure-Ansatz treu blieben.
Ähnlich wie BugTraq in den Anfangstagen des Internets für die Idee einer engagierten Community stand, die gemeinsam Probleme anging, symbolisierte das Ende der Mailingliste den wachsenden Einfluss von Finanzinvestoren. Kurz vor der Ankündigung von Symantec, die im Vorjahr von Broadcom übernommen wurden, den Verkauf ihrer Cyber-Security-Sparte an Accenture im Frühjahr 2020, wurden auf der Liste keine neuen Beiträge mehr veröffentlicht. Die Moderatoren entschieden sich dazu, keine weiteren Meldungen mehr freizugeben. Schließlich verkündete der neue Eigentümer im Januar 2021 das Ende der Mailingliste. Nachdem die Community lautstark reagierte, nahm Accenture vorübergehend eine andere Position ein und gab in einem mittlerweile gelöschten Blogeintrag bekannt, dass sie die Liste weiterführen möchten. Dies sollte die abschließende Mitteilung auf BugTraq sein.
BugTraq hatte einen erheblichen Einfluss auf die Sicherheitsszene. Die Mailingliste etablierte die heute noch gültige Praxis der Offenlegung von Sicherheitslücken: Gemäß der von ihrem Gründer festgelegten Charta informierte man zunächst den Hersteller und enthüllte die Details erst nach angemessener Reaktionszeit der Öffentlichkeit. Diese Vorgehensweise stieß auch in den frühen 2000er Jahren auf Kontroversen. Inzwischen haben viele Hersteller Belohnungsprogramme eingeführt und zahlen großzügige Bug Bounties für das Auffinden von Sicherheitslücken. Als Gegenleistung treten die Entdecker dieser Lücken ihre Veröffentlichungsrechte ab.
Aus diesem Grund ist die Mailingliste Full Disclosure, die bis heute weiter besteht, nur noch ein Schatten ihrer früheren Selbst: Von den einst über Tausend monatlichen E-Mails, die in den Postfächern landeten, ist nur noch ein kleiner Teil übrig geblieben. Mailinglisten wirken heutzutage etwas veraltet, da sie von X, Mastodon und Bug-Bounty-Programmen stark konkurrenziert werden.
Schlagwörter: BugTraq + Mailingliste + SicherheitsSzene
Wie bewerten Sie den Schreibstil des Artikels?