Интернет-проект Full Disclosure, ставший одной из основных площадок для обсуждения уязвимостей и эксплойтов, прекращает свое существование. Причиной, как заявил его соучредитель, является «стремление одного из единомышленников свести на нет плоды 12-летних усилий».

В своем обращении к участникам форума Джон Картрайт (John Cartwright) пояснил, что закрывает Full Disclosure, так как некий представитель security-сообщества без указания причины попросил удалить из архива большое количество записей. Картрайт не назвал имя, однако подчеркнул, что не будет «кромсать архивы, потворствуя чьим бы то ни было капризам».

Проект Full Disclosure был запущен в 2002 году как альтернатива списку Bugtraq; тот управлялся модератором, и некоторых участников это раздражало. Согласно замыслу новый ресурс должен был придать обсуждениям более свободную форму. Здесь часто публиковалась также информация об уязвимостях нулевого дня и коды соответствующих эксплойтов, особенно в период становления форума. Многих разработчиков ПО не устраивало раскрытие багов в их продуктах на страницах Full Disclosure, однако в 2002 году большинство этих вендоров еще не имели отлаженных процессов решения проблем, регламента для отчетов о программных ошибках и даже почтовых адресов для приема соответствующих информационных бюллетеней. Новый ресурс оказался ценным источником данных об уязвимостях в самых разных программах и устройствах, и со временем многие вендоры начали публиковать здесь свои бюллетени.

Троллинга и прочих проказ на Full Disclosure хватало с лихвой, временами какой-нибудь разработчик софта начинал грозить судом. Однако Картрайт, по его словам, и представить не мог, что площадку придется закрыть из-за конфликта с участником списка. «Я потратил кучу времени, препираясь с одним-единственным человеком (его имя я называть не буду), и понял, что с меня хватит, — признается создатель проекта. — Не хочу продолжать эту борьбу. Поддерживать открытый форум в условиях нынешнего правового климата становится все труднее, особенно если тема — компьютерная безопасность».

Full Disclosure появился на свет в то время, когда редкого вендора заботили вопросы безопасности или дефекты, найденные исследователями в его продукте. Публикация всех деталей бага с помощью списков рассылки была одним из немногих методов, позволявших побороть это равнодушие и заставить разработчика исправить ошибку. В наши дни большинство крупных вендоров имеют устоявшийся регламент решения проблем безопасности, поддерживают прямой контакт с исследователями, некоторые даже ввели систему денежных премий за поиск багов и достойно вознаграждают этот труд. Исследователь может также опубликовать ссылку в Twitter или сделать запись в блоге, и новость об уязвимости дойдет до нужных ушей быстрее, чем если бы она разошлась по списку почтовой рассылки.

«Большинство моих знакомых давным-давно отказались от рассылок Full Disclosure, — комментирует  Крис Энг (Chris Eng), вице-президент по ИБ-исследованиям Veracode. — Отношение сигнал/шум слишком низко, да и сами списки утратили актуальность. Современный исследователь оглашает уязвимости в блогах и Twitter, не говоря уж о сотнях специализированных конференций. Думаю, многие вспоминают ранние годы Full Disclosure с ностальгией, однако закрытие списка рассылки вряд ли будет большой потерей для индустрии или ограничит наши возможности по обмену информацией».

UPDATE. Несогласный с решением Картрайта оператор Seclists.org и Nmapсписков Гордон Лайон (Gordon Lyon), он же Fyodor, решил подхватить знамя, покинутое его коллегой, приглашает участников Full Disclosure обновить подписку и обещает блюсти славные традиции этого ресурса.

В миниатюре использовано фото с Flickr, коллекция Rianna_reo.

Категории: Кибероборона, Уязвимости