Chromatins Aussage ist wohl eher dahingehend zu verstehen, dass, wenn du dich für ein spezielles Problem oder einen eingeschränkten Bereich interessierst, du dort auch auf bestimmte Personen stoßen wirst, die sich in genau diesem Thema hervorragend auskennen und in der Regel auch die Standardwerke dazu verfasst haben. Penetration Testing ist ein gutes Beispiel: Verstehst du die Netzwerkgrundlagen brauchst du kein Buch, das dir nochmal vorkaut, welche Flags wie gesetzt sein müssen, um ein bestimmtes Ziel zu erreichen. Aus Programmierersicht ist das System einfach falsch implementiert, das Ausnutzen wird zum Kinderspiel, da du das Problem verstanden hast.
Insofern kannst du es dieses Buch auch nur als Übersicht oder Einführung für Menschen verstehen, die sich noch nicht mit IT Sicherheit oder grundlegender Netzwertechnik auseinander gesetzt haben. Übersichten enthalten aber immer nur vorhandene Themen von vorhandenen Werken und können aufgrund ihres großen Abstraktionsgrades nicht so genau darauf eingehen, wie man es sich manchmal wünschen würde. Beispielsweise kann dieses Buch hier niemals alle Flags im TCP Header grundlegend erklären oder darauf eingehen, warum es diese Flags überhaupt gibt und wo die Einsatzgebiete sind. Es beschreibt zum Beispiel lediglich, dass es einen Chrismas-Scan gibt, bei dem unterschiedliche Flags einfach gesetzt sind. Die Fähigkeit das Problem, welches du ausnutzen möchtest, grundlegend zu verstehen erhälst du mit diesem oberflächlichen Wissen natürlich nicht.
Denoch halte ich diese Bücher für wichtig. Sie bieten zumindest einen Überblick und eine Einführung ins Thema. Von diesen Büchern brauchst aber nicht besonders viele. Ein sehr gutes Buch, welches einen schönen Überblick über einige grundlegende Aspekte von IT/Informationssicherheit gibt, ist beispielsweise "Computer Security" von Matt Bishop, da es wirklich sehr grundlegend an Computersicherheit heran geht und überflüssigen Balast einfach weg lässt. Vielen Autoren, u.a. auch vielen CTOs/CSOs/CISOs, gelingt das nicht, da sie die Computersicherheit aus einer anderen Perspektive sehen. Deswegen sollte man sich klar machen, dass der Titel nicht über die Qualität entscheidet. Entscheident ist wirklich, aus welcher Perspektive (Management vs. Programmierer/In) und mit welchem Abstraktionsgrad man ein Thema betrachtet.
Damit erübrigt sich auch, wie du Leute kennen lernst. Der CCC ist zwar eine tolle Möglichkeit dich mit Gleichgesinnten zu treffen und auszutauschen. Das macht Spaß und fördert zum Teil auch das Interesse an der Materie, da die Kreativität in der Gruppe meist größer ist. Du solltest aber nicht erwarten, dass diese Leute die absoluten Cracks sind. In der Regel sind es nur sehr wenige von ihnen. Das sind dann die Programmierer und Forscher, die sich in ihrem speziellen kleinen Gebiet auskennen. Und die können dir auch Grundlagenbücher für ihre spezielles Gebiet empfehlen.