Abo
  • IT-Karriere:

Mailingliste: Neustart von Full Disclosure

Die Sicherheitsmailingliste Full Disclosure wird fortgeführt. Gordon Lyon, der Entwickler von Nmap, wird sie künftig betreuen. Bisherige Teilnehmer müssen ihre Mailadresse erneut eintragen.

Artikel veröffentlicht am , Hanno Böck
Neustart der Mailingliste Full Disclosure
Neustart der Mailingliste Full Disclosure (Bild: Seclist.org)

Eine Woche nach der Schließung der Mailingliste Full Disclosure gibt es Ersatz: Gordon Lyon, bekannt unter seinem Nickname Fyodor, wird künftig eine neue Mailingliste unter demselben Namen betreuen. Lyon ist Entwickler des Portscanners Nmap und hat bereits ein Archiv der alten Full Disclosure-Liste betreut.

Stellenmarkt
  1. THD - Technische Hochschule Deggendorf, Deggendorf
  2. Allianz Deutschland AG, Stuttgart

Vor einer Woche hatte John Cartwright das Ende der Mailingliste Full Disclosure angekündigt. Die Liste galt vor allem als einfache Möglichkeit für Sicherheitsforscher, Informationen über Sicherheitslücken schnell einer großen Öffentlichkeit bekanntzumachen. Cartwright begründete seine Entscheidung mit nicht näher erläuterten rechtlichen Problemen.

Mailinglisten als Archiv von Sicherheitslücken notwendig

Die Schließung von Full Disclosure hatte zu intensiven Diskussionen in der Security-Community geführt. In einem längeren Blogbeitrag äußerten sich die Betreiber der Open Source Vulnerability Database (OSVDB) und betonten, dass Mailinglisten weiterhin ein wichtiges Instrument seien. Viele würden heute dazu neigen, Berichte über Sicherheitslücken nur noch über private Blogs oder über Pastebin zu verteilen und dann auf Twitter darauf zu verweisen. Das führe jedoch dazu, dass nach längerer Zeit viele der Berichte nicht mehr abrufbar seien. Die Archive von wichtigen Sicherheitsmailinglisten würden hingegen an mehreren Stellen publiziert und Berichte seien damit in der Regel auch nach Jahren noch erreichbar.

Die von Symantec betriebene Mailingliste Bugtraq ist für die OSVDB-Betreiber keine Alternative zu Full Disclosure. Dort würden Beiträge oft aus nicht nachvollziehbaren Gründen moderiert und manchmal dauere es sehr lange, bis Informationen über die Liste verbreitet würden.

Nach wie vor unklar ist, warum genau die alte Full-Disclosure-Mailingliste schließen musste. John Cartwright erwähnte in seiner Ankündigung, dass er von einer bestimmten Person aus der Security-Community zahlreiche Aufforderungen zur Löschung von Inhalten erhalten hatte, erwähnte aber nicht, um wen es sich handelt. Die OSVDB-Autoren fordern Cartwright auf, selbst "Full Disclosure" zu betreiben und öffentlich zu erklären, was die genauen Hintergründe sind. Dies sei vor allem deshalb wichtig, damit künftige Betreiber von Sicherheitsmailinglisten wüssten, worauf sie sich einlassen.

Die neue Full-Disclosure-Mailingliste soll laut Lyon ähnlich wie bisher nur sehr zurückhaltend moderiert werden. Die Mitgliederdatenbank der alten Full-Disclosure-Liste wird nicht übernommen, wer künftig Mails von Full Disclosure erhalten will, muss sich erneut eintragen. Mit rechtlichen Drohungen von Herstellern habe er bereits Erfahrungen, schreibt Lyon, üblicherweise würde er sie schlicht ignorieren.

Nachtrag vom 26. März 2014, 11:58 Uhr

Inzwischen sind weitere Details zum Grund der Schließung der bisherigen Full Disclosure-Mailingliste bekannt geworden. Im Blog der OSVDB wurde eine E-Mail veröffentlicht, die offenbar Auslöser für den Frust von John Cartwright war. Ein Nutzer hatte eine mutmaßliche Sicherheitslücke bei Youtube auf Full Disclosure gepostet und sich beklagt, dass er von Google kein Geld für die Entdeckung erhalten hat. Nachdem andere Listenteilnehmer den Poster mehrfach darauf hinwiesen, dass es sich um keine Sicherheitslücke handle, forderte der Ursprungsposter den Listenbetreiber offenbar auf, sämtliche Mails von ihm aus den öffentlichen Listenarchiven zu entfernen.



Anzeige
Spiele-Angebote
  1. 51,95€
  2. 43,99€
  3. 3,99€
  4. 2,80€

Anonymer Nutzer 26. Mär 2014

..der libertären US Verfassung zum Schutz aller höchster Werte in wenigen Wörtern. Wir...


Folgen Sie uns
       


Asus Studiobook Pro X (Ifa 2019)

Das Studiobook Pro X ist mit Xeon-Prozessor, Quadro GPU und einem Preis von 4300 Euro eindeutig auf professionelle Anwender ausgerichtet.

Asus Studiobook Pro X (Ifa 2019) Video aufrufen
Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger


    Elektrautos auf der IAA: Die Gezeigtwagen-Messe
    Elektrautos auf der IAA
    Die Gezeigtwagen-Messe

    IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
    Ein Bericht von Dirk Kunde

    1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
    2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
    3. Batterieprobleme Auslieferung des e.Go verzögert sich

      •  /