# Friday, January 20, 2006
Dónde aprender seguridad de manera segura

Hoy en día existen muchas fuentes comerciales, noticiosas, educativas y científicas que nos hablan de seguridad informática; sin embargo, algunas de esas fuentes no son tan confiables como realmente quisiéramos. Y es que se aprovecha del lector neófito (o newbie como se le llama en el underground) dos cosas; primero, la expectante necesidad de saber más de lo que sea que suene a seguridad; y segundo, el relativo desconocimiento de los cada vez más novedosos sub-tópicos en éste campo informático. Esa es la razón, por la que desde nuestra experiencia, deseamos recomendar algunas fuentes en Internet de las que puede aprender de manera confiable. Por supuesto no son todas.

Primero empezaremos con desmentir el mito de que toda fuente en idioma extranjero es superior y confiable, y más precisamente en "idioma inglés". Este es el caso de la histeria ocasionada por el así llamado, experto de seguridad, Steve Gibson, al respecto de la vulnerabilidad WMF que estuvimos publicando durante parte del mes de enero. Aunque su análisis parece válido, sus conclusiones  dejan la objetividad. Podríamos añadir por qué, pero no es motivo de esta nota crear más discusión. Parte de esta histeria hasta fue llevada al español, por un sitio de seguridad hispano, que poco solemos leer.

Segundo, una buena fuente aclaratoria a la mayoría de histerias colectivas que aparecen, cada cierto tiempo en seguridad, la encontrará en la página de www.vmyths.com (actualmente en reconstrucción). Es el sitio de Rob Rosenberger, que trata de desmentir todas las histerias que se publican en Internet, que suenan como Chicken Little, “the sky is falling”. Rob, trabaja como editor desde hace muchos años atrás con el fin de desmentir y ventilar el muy explotado mundo de la seguridad.

En tercer lugar, conviene repasar y revisar conceptos y tecnologías nuevas de seguridad, desde los puntos de vista de escritores reconocidos. Hasta antes del 2005 hubiéramos recomendado los artículos de Rik Farrow; pero su editor lo removió. Pasando a los años corrientes, tenemos un buen crítico, que recomendamos sin temor, el señor Bruce Schneir. Aunque sabemos que también es empresario, no hemos visto hasta ahora si alguna vez ha empleado su blog para manipular al lector. Por otro lado, nos gustaría recomendar la revista 2600, pero tiene cierta dosis de contenido político, y la literatura (si se le puede llamar así) no es tan fácil de interpretar. Esta revista es leída por los veteranos de la seguridad, no estamos en ese nivel aún, pero una casual visita a este sitio nos ayuda a mantenernos en forma.

Como cuarto punto, SecurityFocus es sin duda una fuente bastante bien moderada y rica en comentarios, y artículos decentes, que son hechos por verdaderos especialistas de seguridad; por supuesto, muchos de ellos no tan famosos como quisiéramos pero que ofrecen información útil desde su especialidad, lo cual sin duda repercute al bien común y general. Un ejemplo del corte moderado de SF, lo tenemos en los comentarios aislados del señor Richard M. Smith, que sin abogar por Microsoft es capaz de despertar sana polémica al respecto de la vulnerabilidad WMF.

¿Busca Blogs? Al respecto, hace un tiempo atrás nos atrevimos a recomendar al MSRC, pero queremos reconocer que hoy en día anda escasos de fluencia de artículos con más profundidad; sin embargo, nuestro blog favorito es el de F-Secure, otra vez, aclaramos que no es propaganda.

¿Centros de respuesta a incidentes? Creo que no dejaré de mencionar que somos su primera opción, pero claro está que si quiere barrer con todas los hallazgos de la red, entonces conviene visitar Secunia y FrSIRT.

¿Conferencias y cursos de seguridad? Nuestros mentores SANS Institute tienen una buena fuente de conocimiento. Por otro lado, si lo que busca es algo específico, por ejemplo Computer Forensic, pues nos atrevemos a recomendar lo que los colegas de otras empresas y nosotros solemos anhelar, los cursos de Foundstone Inc. Acoto al respecto de SANS Institute que sus boletines, cursos y certificaciones son de tremenda utilidad, pero tenga cuidado siempre con los “descargos legales”. Por último, si lo que busca son conferencias en lengua castellana, pues recomendamos los DISC que anualmente celebra la UNAM. Aunque no hemos viajado aún a esas conferencias, conocemos personalmente al líder detrás de los DISC, y sabemos de su interés en ofrecer algo bueno.

Antes de cerrar nuestra tanda cultural, entendemos que con ésta transparencia hemos ocasionado un hoyo de seguridad informativa en nuestro departamento. Quizás algún día un hacker, si nos considera valiosos, quiera contaminarnos con información truculenta, atacando los sitios web que mencionamos (creo que se nos subió la paranoia) Sin embargo, nuestra mayor fuente se genera en más de 180 nodos en algún lugar de la Internet, a través del foro FIRST, donde discutimos, aprendemos y colaboramos en temas de seguridad. Por cierto, si está pensando seriamente en formar parte de FIRST, puede comunicarse con nosotros podríamos ser su auspiciador de ingreso.

Imaginamos que usted tiene otras fuentes, y esperamos que las mismas sean confiables. Sin embargo, creemos que éste artículo, puede ser útil. Finalmente, hacemos hincapié, a que estos sitios son algunos de los que a través de todos estos años hemos venido usando, y cuya reputación nos ha parecido confiable, tanto por su contenido como por el liderazgo que hay detrás de ellos. Por supuesto, deben existir mejores, y si fuera así agradeceríamos que lo comparta con nosotros.

Javier Romero
GCIA CISSP GCSC Dipl. SGSI
Departamento Especializado en Seguridad - Internet
http://www.telmex.com.pe/seguridad/internet

Friday, January 20, 2006 9:49:53 PM UTC  #    Comments [0]

© Copyright 2010 TELMEX PERU S.A.
Theme design by Bryan Bell

newtelligence dasBlog 2.3.9074.18820
Feed your aggregator (RSS 2.0)  Send mail to the author(s) | Page rendered at Thursday, September 09, 2010 9:34:35 PM UTC

Pick a theme: