Full Disclosure – Berühmte Sicherheits-Mailingliste geschlossen und wieder neu geöffnet
Die Mailingliste, die seit Juli 2002 immer wieder wichtige Sicherheitslücken enthüllt hatte, wird laut ihrem Betreiber schon bald für unbestimmte Zeit geschlossen. Full Disclosure war in der IT-Sicherheitsgemeinde hoch geschätzt, vor allem, weil Art und Umfang der veröffentlichten Artikel kaum vom Betreiber beeinflusst wurden.
Die Liste nahm alle möglichen anonymen Informationen in Zusammenhang mit Sicherheitslücken an und deckte dadurch so manche Zero-Day-Lücken auf. Der Mitbegründer und Betreiber, John Cartwright, nannte Beschwerden rechtlicher Art als Grund für die Schließung der Liste. Ein Mitglied der „Security-Community“ habe sich vermehrt mit Anfragen zur Löschung großer Mengen bestimmter Veröffentlichung an Carthwright gewendet. Carthwright empfindet es aufgrund der heutigen Rechtslage immer schwieriger, offene Foren zu betreiben. Er hätte jedoch nie erwartet, dass er die Liste aufgrund von Druck aus den eigenen Reihen schließen müsste.
Die Zeiten haben sich für die Betreiber solcher Seiten generell geändert. In schnelllebigen Zeiten wie dieser, werden Eilmeldungen zu IT-Sicherheitsthemen lieber über Twitter verbreitet. Tod Beardsley, ein technischer Direktor bei Rapid7, beschrieb die IT-Sicherheits-Szene derzeit als so umfangreich in Qualität und Quantität wie nie zuvor. Project wie OSCDB und Exploit-DB füllen die gleiche Rolle, bei der Full Disclosure Pionierarbeitet geleistet hat, heute sehr gut aus. Der Niedergang der Mailingliste hat heftige Reaktionen aus der IT-Sicherheits-Industrie nach sich gezogen.
Russ Spitler, Vizepräsident von AlienVault, nannte es einen echten Schritt rückwärts für die IT-Sicherheitsbranche. Die Lücke wird zwar schnell geschlossen werden durch andere Quellen, aber der Schließungsgrund sei ein Armutszeugnis der Sicherheitsgemeinschaft. Jon French, Sicherheitsanalyst bei AppRiver, war ähnlicher Meinung und ergänzte, dass der große Unterschied in der Anwender-Basis liege.
Eine Basis, die aus ruchlosen Usern und Hackern besteht, hat ein anderes Ansehen als die von professionellen IT-Sicherheitsexperten. Andere Experten wie Tom Cross, Direktor für Sicherheitsforschung bei Lancope, hoffen, dass sich ein alternatives Forum mit gleichartigem Ansinnen auftut. Einige Sicherheitsleute sagen voraus, dass die Schließung von Full Disclosure kaum Auswirkungen haben werde. Andere dagegen denken schon darüber nach, wie die Lücke gefüllt werden könnte.
Neuestes Update in diesem Fall ist die erfreuliche Meldung, dass die Liste unter neuem Management weitergeführt wird. Gordon Lyon, auch bekannt als Fyodor, welcher NMap Scanning Tool in den 1990er Jahren entwickelt hatte, wir die Liste fortführen. Carthwrigth selbst hatte Lyon hierfür grünes Licht gegeben. Lyon wird sich eines Teams von freiwilligen Moderatoren aus der aktiven Mitgliederliste bedienen. Er sieht Mailinglisten nicht als veraltete Relikte an, sondern ist der Ansicht, dass sie eine viel bleibendere Datensammlung darstellen.
Mitglieder werden sich jedoch in Folge der Umgestaltung neu registrieren lassen müssen.
Artikel von theregister.co.uk, 19.03.2014: RIP Full Disclosure: Security world reacts to key mailing list’s death
Artikel von zdnet.com, 27.03.2014: Full Disclosure mailing list returns
Artikel von theregister.co.uk, 27.03.2014: Full Disclosure redux: under new management