¿Dónde publicar la investigación de seguridad?

Navega tus respuestas
1

Estoy considerando realizar una investigación sobre un vector de ataque que creo que no recibe suficiente atención. No es un vector tembloroso, pero creo que puedo demostrar un ataque en el que no ha habido ninguno en el pasado.

Pero una vez que haya hecho esto, y tenga (digamos) un código de demostración y un PDF de diez páginas, ¿qué haría? ¿Cómo conseguiría esto delante de las narices de la gente? ¿Podría / debería simplemente enviarlo a algunas listas de correo y olvidarme de ello? No tengo mucho a mi nombre (además de unos pocos días informados ahora), por lo que no estoy seguro de poder comenzar a hablar a la comunidad, por ejemplo (aunque algunos videos de demos de YouTube pueden ser útiles). / p>

Como digo, no es la siguiente sensación súper sexy, pero es una nueva técnica de exfiltración de datos que opera en un lugar que actualmente se pasa por alto.

Idealmente, lo que me gustaría fuera de esto es un mejor conocimiento de la comunidad sobre los ataques en este lugar, y otro párrafo o dos en el CV. ¿Alguna idea sobre cómo llegar desde "Atacé X y conseguí que Y ocurriera"?

    
pregunta randomdude 20.11.2013 - 00:38
fuente

3 respuestas

7

Puedo pensar en algunas opciones.

  1. Puede intentar enviarlo como una charla en una o dos conferencias de seguridad. Esta es probablemente una de las mejores maneras de hacer que tu investigación sea más interesante si es semi interesante. Incluso si el tema no es aceptado para una de las charlas principales, muchas conferencias tienen secciones de charla de rayos donde los asistentes pueden subir y hablar durante unos minutos.

  2. Publique el ataque en su sitio web / blog personal y envíelo a r / netsec o Hacker News. Esto es bastante impredecible, sin embargo, no hay garantía de que la gente lo vea debido al gran volumen en esos sitios.

  3. ¡Publícalo en el blog Security Security Stackexchange ! Es un tráfico (relativamente) alto, puede apuntar fácilmente a la publicación del blog en un CV y puede garantizar que al menos los clientes habituales en el sitio la leerán.

respondido por el Ayrx 20.11.2013 - 02:54
fuente
3

Terry Chia había dado un buen número de opciones. Solo para agregar algo más: si crees que lo que has investigado es algo novedoso, puedes intentar acercarte a alguna revista para publicar los datos. Comité Técnico de Seguridad y Privacidad de IEEE Computer Society , Las transacciones de ACM sobre la información y la seguridad del sistema pueden ser algunos de los buenos lugares para buscar. Sin embargo, es posible que desee ver cómo están otros artículos (lo digo de una manera que debería analizar el contenido; el documento de investigación también tiene una cantidad decente de contenido estadístico sobre sus hallazgos. Además, estos documentos también tienden a proporcionar soluciones a los problemas que demuestran. Espero que sepas de lo que estoy hablando.)

    
respondido por el TheRookierLearner 20.11.2013 - 05:05
fuente
3

Algunos grandes enfoques ya sugeridos, aquí está mi adición:

Dado que el investigador de seguridad promedio a menudo tendrá una formación académica menos típica que la de los investigadores en otros campos, a veces es necesario utilizar diferentes enfoques para publicar, distribuir o, de otro modo, simplemente "conocer". No he publicado ninguna investigación de seguridad, pero he publicado otras investigaciones "externas" en campos técnicos, y estos son mis consejos útiles:

  • Las conferencias ya han sido mencionadas. Cabe destacar que, al igual que hay grandes conferencias como DefCon, BlackHat, etc., existen conferencias específicamente dedicadas a las cosas que no pueden llegar a los confs más grandes. Un ejemplo es B-sides de seguridad , que organiza conferencias en las mismas ciudades que algunos confs más grandes, y Aborda las investigaciones de menor perfil. Hacer confs más pequeños es una buena puerta para hacer confs más grandes en el futuro.

  • Académicos. Si usted no es un académico publicado (y la mayoría de nosotros no lo somos), ¿por qué no hablar con uno? Por su naturaleza, los académicos son personas que aman una nueva e interesante idea de algo, por lo que no es una buena idea llamar por teléfono a tu universidad local para pedirte un encuentro. Funcionó para mí, de nuevo en un ámbito diferente al de la seguridad.

  • Los hackerspaces son excelentes para este tipo de cosas. Si no los ha encontrado, HAckerspaces son grupos locales de personas que se reúnen y se meten con la tecnología. A pesar de que no pueden publicarte, pueden actuar como una revisión decente antes de que te corrijan los errores antes de enviarlos a cualquier otro lugar, y pueden ayudarte a desarrollar tus ideas aún más. También son muy divertidos.

Finalmente, buena suerte con esto, es bueno ver que las personas se interesan decentemente en publicar sus proezas en el ámbito más amplio.

    
respondido por el Owen 20.11.2013 - 14:07
fuente

Lea otras preguntas en las etiquetas

¿Qué tan malo es usar la fecha para generar una contraseña "aleatoria"? Departamento de seguridad falso de Microsoft [duplicado]