Sicurezza fisica - divulgazione responsabile

9

Recentemente ho scoperto un modo per aggirare un sistema di sigilli di sicurezza di uso comune, che non richiede attrezzature speciali e richiede solo pochi secondi. Mi sento obbligato a rivelare questo, in modo da evitare la possibilità che gli utenti di quel sistema di sigilli nutrano un falso senso di sicurezza.

Vorrei utilizzare il modulo di segnalazione delle vulnerabilità di CERT, ma questo è destinato esclusivamente a vulnerabilità del software .

Esiste un sistema di divulgazione responsabile equivalente per il settore della sicurezza fisica?

    
posta sampablokuper 31.05.2014 - 21:45
fonte

1 risposta

9

Prima di tutto, imposta le tue aspettative in modo appropriato:

L'industria della sicurezza fisica non è del tutto simile all'industria della sicurezza delle informazioni. La probabilità che non sappia già tutto ciò che hai capito è piuttosto sottile. Potrebbero persino aver saputo della tua tecnica prima di andare sul mercato.

Assumendo che tu abbia qualcosa di nuovo, come ti aspetti realisticamente di reagire? Ciò significherebbe semplicemente riorganizzare il loro processo? Inventare una nuova tecnica di sigillatura? Chiudere tutte le aziende?

La sicurezza fisica non è perfetta. Non è nemmeno buono . Non in confronto a ciò che abbiamo in IT. Ad esempio, la tecnica di lockpicking è stata ben compresa letteralmente per secoli, ma la maggior parte delle serrature sul mercato oggi sono ancora molto sensibili.

Diventando pubblico si è certi di far impazzire la gente da entrambe le parti. Ma l'unico modo in cui puoi anche sperare di migliorare le cose è presentare non solo il problema, ma anche una soluzione commercialmente valida. Quindi premere la soluzione, non il problema.

    
risposta data 02.06.2014 - 01:01
fonte

Leggi altre domande sui tag