Full-Disclosure mailinglist sluit deuren na 12 jaar
De oprichters van het in 2002 gestarte Full-Disclosure, een populaire mailinglist waar security professionals allerlei nieuws, onderzoeken maar ook informatie over lekken in allerlei software op plaatsten of aankondigden, hebben na 12 jaar besloten om de deuren te sluiten.
Volgens medeoprichter John Cartwright was het verzoek van een niet nader genoemde beveiligingsonderzoeker de druppel die de emmer deed overlopen. Cartwright zou de afgelopen tijd veel bezig zijn geweest met deze verzoeken van dit individu om informatie van de mailinglist te verwijderen.
Grillen
"Om vanwege de grillen van een individu met een virtuele hakbijl op de archieven van de mailinglist los te gaan voelt gewoon niet goed. Dat 'één van ons' alle moeite van de afgelopen 12 jaar ondermijnt was de druppel die de emmer deed overlopen", aldus Cartwright. Hij zegt in de afscheidspost het gevecht niet langer meer te willen vechten. Ook zou het in het huidige juridische klimaat steeds lastiger worden om een open forum te beheren, laat staan een security-gerelateerd forum.
"Hackers hebben geen eer meer. Er is geen echte gemeenschap. Er zijn nog maar weinig echte vaardigheden. Het gehele securityspel wordt steeds meer gereguleerd. Dit is een voorbode van wat er komen gaat en een weerspiegeling van de treurige staat van een industrie die nooit een industrie had moeten worden", zo besluit Cartwright zijn afscheidspost.
Ik zat twee uur geleden zijn mailtje te lezen en dacht eerst dat het een soort vervroegde 1 april grap was ...
Ik zat twee uur geleden zijn mailtje te lezen en dacht eerst dat het een soort vervroegde 1 april grap was ...
Hier idem dito..wat zijn de alternatieven?
Is de reden om te stoppen gelegen in een overweldigend aantal verzoeken van een security onderzoeker om informatie te laten verwijderen onder dreiging van juridische maatregelen?
Waarom zou een security onderzoeker zich laten lenen voor werk van advocaten en belangen van software leveranciers?
Waarom wordt hier niet gewoon open kaart gespeeld en uitgelegd wat er precies aan de hand is?
Cryptisch.
wat zijn de alternatieven?
http://www.securityfocus.com/archive/1/description
http://seclists.org/bugtraq/
Enkele alternatieven:
- http://www.securityfocus.com/vulnerabilities
- http://www.us-cert.gov/ncas/alerts
- http://cve.mitre.org/cve/index.html
- http://www.cvedetails.com/browse-by-date.php
Eh, ja, als informatiebronnen,
maar niet voor wie het nodig heeft om zelf een full disclosure melding te kunnen posten, meen ik.
Of vergis ik me?
Ik noemde gisteravond BugTraq als mogelijk alternatief
voor wie het nodig heeft om full disclosure meldingen te kunnen posten.
http://www.securityfocus.com/archive/1/description
http://seclists.org/bugtraq/
Wat jammer. Hoop dat er een goed alternatief is voor die mailing list.
Is de reden om te stoppen gelegen in een overweldigend aantal verzoeken van een security onderzoeker om informatie te laten verwijderen onder dreiging van juridische maatregelen?
Waarom zou een security onderzoeker zich laten lenen voor werk van advocaten en belangen van software leveranciers?
Waarom wordt hier niet gewoon open kaart gespeeld en uitgelegd wat er precies aan de hand is?
Cryptisch.
Ik vermoed ook dat de lijst verzandt is in een soort flame war mailinglist met allerlei jonge 'hotshots' die hun laatste 0,000001% mogelijk lek willen delen met de wereld.
Check de laatste threats 'Google vulnerabilities with PoC ' maar eens, gaat nergens meer over.
Gaan mensen ook nog images en schelden gebruiken in de mails, dan is de lol er wel van af (plus de punten die je zelf al aanhaalt).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
