Index :
0. O World Laboratory of Bugtraq
1. Identyfikacja not bezpieczeństwa w bazie WLB
2. Dodawanie wpisów
3. Specyfikacja opisu detali noty
4. Historia WLB i kontakt
0. O World Laboratory of Bugtraq (WLB)
World Laboratory of Bugtraq (WLB) to obszerny zbiór informacji na temat bezpieczeństwa teleinformatycznego. Jego głównym celem jest informowanie o błędach w różnorodnych aplikacjach.
Tolerancja WLB, nie wyklucza informacji o błędach w konfiguracji, czy też innych tego rodzaju wpisów mających charakter niebezpiecznych operacji. Jednym z podstawowych założeń "World Laboratory of Bugtraq" jest interakcja z użytkownikami SecurityReason. Każda nota bezpieczeństwa, może być modyfikowana przez użytkowników, a następnie weryfikowana przez zespół SecurityReason. Produkt WLB, różni się od istniejącej bazy SecurityAlert, swoją autonomią liberalności. Istniejący produkt (SecurityAlert) to lista autentycznych błędów, zweryfikowanych oraz posiadających swój własny numer CVE. W przypadku WLB, nie jest to wymagane jak i możliwe jest publikowanie nieprawdziwych podatności (oznaczenie Dispute), w celu obalenia istnienia owej podatności.
1. Identyfikacja not bezpieczeństwa w bazie WLB
Określanie numeru wpisu w bazie WLB odbywa się na zasadzie przydzielenia każdemu wpisowi indywidualnego numeru
WLB-YYYYMMNNNN
gdzie:
YYYY - rok w którym dana informacja została wpisana do bazy
MM - analogicznie, miesiąc
NNNN - to numer identyfikujący dany wpis w bazie
Przykładowy numer WLB może wyglądać następująco:
WLB-2000110108
co świadczy o tym, iż dany wpis został dodany do bazy w listopadzie 2000 roku. Ostatnie cyfry, określają numer id danej podatności w danym roku oraz miesiącu.
W celu odwołania się do numeru WLB, dozwolone jest użycie poniższej składni:
 http://securityreason.com/polish/pokaz_podwlb/[the number WLB]
lub też użycie wyszukiwarki znajdującej się pod adresem
http://securityreason.com//polish/szukaj/
2. Dodawanie wpisów
Lista WLB nie ma żadnych ograniczeń dotyczących informacji na temat bezpieczeństwa teleinformatycznego. Każdy po uprzednim zarejestrowaniu się w UCP ( User Control Panel ), ma prawo do wysłania propozycji noty na listę. Niewykluczone jest automatyczne dodawanie not bezpieczeństwa przez moderatorów.
3. Specyfikacja opisu detali noty
 Tytuł (Topic) - Tytuł podatności, zawierający ogólne informacje o oprogramowaniu i rodzaju błędu.
SecurityAlert - numer id wraz z odnośnikiem do bazy SA ( Baza SecurityAlert ).
Data - określa nam rok, miesiąc,dzień. Celem istnienia tej wartości, jest poinformowanie użytkownika, kiedy dany wpis został oficjalnie udostępniony. Analogicznie pole Aktualizacja (Updated), z małą różnicą, mówiącą o ostatniej zaakceptowanej zmianie w danej nocie.
Autor (Credit) - określa osobę, która jest autorem danej podatności przedstawionej i opisanej w nocie bezpieczeństwa WLB.
Poziom ryzyka (SecurityRisk) - to zmienna mówiąca o globalnym zagrożeniu, jakie może wynikać z danej informacji. Kryterium wyznaczający jeden z trzech poziomów, jest możliwość wykorzystania owej informacji, jaki ilość maszyn posiadających wadliwy kod. Klasyfikacja zagrożenia odbywa się w obrębie trzech poziomów przedstawionych i opisanych w O SecurityAlert.
Zdalny błąd (remote) lub lokalny błąd (local) - określają sposób wykorzystania podatności, gdyż każda maszyna może zostać zaatakowana zewnątrz czy też z poziomu wewnętrznego . Są to dość ważne parametry, gdyż mówią nam o taktycznym wykorzystaniu danej informacji.
Status - określa rolę danej informacji. Klasyfikacja występuje na trzech poziomach:
Błąd (Bug) - oznaczenie te, informuje, iż nota odnosi się do występującej podatności w danej aplikacji. Każda informacja z tym statusem, określa, iż podana podatność miała miejsce lub aktualnie występuje.
Zaprzeczenie błedu (Bogus) - każda informacja mająca właśnie ten status, ma za zadanie zaprzeczyć istnieniu nieprawdziwej informacji. Używanie tego statusu jest dozwolone w przypadku pomyłki lub zahamowaniu rozprzestrzeniania się niepotrzebnej paniki.
Sztuczka (Trick) - wszystkie informacje mające owy status mają charakter świadczący o braku spójności pomiędzy programistami, możliwości dokonania ataku z powodu złej konfiguracji, przedstawieniu nowego aspektu omijania zabezpieczeń czy też filozoficznego gdybania nad teorią bezpieczeństwa maszyn.
Historia (History) - określa jakie zmiany zostały wprowadzone w danej nocie, przez kogo i kiedy . Daty określają czas kiedy to nastąpiło.
Referencje (References) jest polem zawierającym odnośniki do dalszych informacji o danej podatności. Dozwolone jest wpisywanie odnośników prowadzących do stron autorów.
4. Historia WLB i kontakt
Projekt World Laboratory of Bugtraq, jest alternatywą dla pozostałych źródeł czerpania informacji o błędach z naciskiem na liberalne podejście do wpisywanych not. Ma to na celu nie tylko informowanie o błędach w różnorodnym oprogramowaniu, ale także o sposobach penetracji maszyn. Idea WLB narodziła się już w 2007 roku a oficjalne uruchomienie bazy miało miejsce w marcu 2008 roku. Głównymi moderatorami są członkowie SecurityReason.
Odejście od konserwatywnego sposobu publikowania informacji, jak i szczegółowe detale określające daną notę, były głównymi celami stworzenia nowego źródła informacji o błędach. W odróżnieniu od cieszącego się uznaniem, produktem SecurityAlert, zbiór WLB dopuszcza większy zakres informacji.
W razie jakichkolwiek pytań, prosimy o kontakt za pośrednictwem formularza lub też emailu info()securityreason()com.
|
Polski 
Angielski