¿Hay organizaciones independientes que estén realizando investigaciones de seguridad de TI (disponibles al público)?

8

Al buscar riesgos de seguridad en la red, encuentro que todas las investigaciones que se citan (si se citan) siempre provienen de las compañías de Anti-Malware. (solo, por ejemplo, este artículo cita a F-secure, AVG y McAfee).

Principalmente hago "investigación" de este tipo para comprobar qué tan peligrosos son realmente los últimos titulares de seguridad de TI en los medios. (Eso es: ¿Peligroso para mi abuela? ¿Para mi hermana? ¿O para mí? Como alguien que conoce su camino.)

Aunque creo que no soy propenso a las "teorías de conspiración", me parece un poco decepcionante que todas las investigaciones y las afirmaciones profesionales terminen. a los riesgos de seguridad para mí y mi familia que parece poder encontrar , parecen ser las compañías que intentan vender sus paquetes Anti- *.

¿Hay partes "independientes" (como uni deps, agencias de gobierno) que publiquen información? ¿A nuevas amenazas de seguridad?

(Nota: no estoy diciendo que estarán libres de sesgos, pero tendrán un sesgo ligeramente diferente, o eso espero :-))

Editar: Después de algunas respuestas y comentarios, parece que puede ser que los medios de comunicación (masivos) suelen citar a las compañías de malware, como lo hacen fácilmente. citados comunicados de prensa sobre nuevos riesgos de seguridad para los consumidores.

    
pregunta Martin 31.07.2011 - 10:09
fuente

2 respuestas

6

Hay millones de organizaciones independientes y personas que publican información sobre seguridad informática. El problema no es encontrarlos; El problema es hacer un seguimiento de todas estas fuentes de información. Dos ejemplos de lugares de inicio incluyen blog de Bruce Schneier y Krebs sobre seguridad .

Si piensa que todas las investigaciones sobre seguridad informática provienen de compañías antimalware, no está buscando las fuentes correctas. Hay muchos otros que también publican investigaciones sobre seguridad informática, entre ellas, investigadores profesionales en universidades, laboratorios de investigación de la industria, laboratorios de pruebas independientes, etc.

Otra nota de precaución: hay algunos en la industria que desean secuestrar la palabra "investigación" para que signifique algo como, por ejemplo, encontrar una nueva vulnerabilidad en algún sitio web aleatorio. Esas personas están tratando de liberarse de la credibilidad positiva y la reputación asociada con la investigación científica. No se deje llevar. Hay un significado más antiguo y establecido para la palabra "investigación", y hay una comunidad entera involucrada en la investigación científica sobre seguridad informática que actúa de manera muy diferente.

Un comentario general: es posible que su pregunta sea demasiado amplia para satisfacer sus necesidades. Si ve alguna investigación en particular sobre la que le gustaría tener una opinión independiente, ¿por qué no intenta publicar una pregunta específicamente sobre eso?

    
respondido por el D.W. 01.08.2011 - 05:40
fuente
6

Si sigue la Divulgación completa ( enlace ) y bugtraq ( enlace ) en las listas de correo puede ver que hay mucha investigación de seguridad realizada por individuos o entidades no comerciales.

Debes unirte a las listas de correo de divulgación y bugtraq, y también seguir los exploits y documentos publicados por enlace . Algunos de los avisos de proveedores comerciales también se basan en estos avisos públicos de terceros.

    
respondido por el Serkan Özkan 31.07.2011 - 23:03
fuente

Lea otras preguntas en las etiquetas