Kraken
Security Labs

Kraken je nejbezpečnější burza digitálních aktiv, protože bezpečnost prostupuje vším, co děláme – máme několik špičkových týmů, které se výhradně věnují testování našich produktů a služeb. 

 

Jsme si ale vědomi, že náš úspěch je úzce spjat s úspěchem ostatních v kryptoměnové komunitě.

Kraken Security Labs

Kraken
Security Labs

Proto jsme založili Kraken Security Labs – elitní tým bezpečnostních výzkumníků, jehož cílem je chránit a rozvíjet kryptoměnový ekosystém prostřednictvím:

Beaker

Testování běžných produktů a služeb třetích stran

Tools

Spolupráce s dodavateli na opravě nalezených zranitelností

Loudspeaker

Informování veřejnosti o tom, jak se nejlépe chránit

Závazek k odpovědnému zveřejňování zranitelností

Jakmile bezpečnostní výzkumník objeví zranitelnost, osvědčenou praxí je kontaktovat dodavatele, aby ji mohl opravit.

 

V teorii je to jednoduché, v praxi ale může nastat řada komplikací:

 

Co když dotčený dodavatel nereaguje?

 

Dodavatel nemusí chtít problém přiznat nebo nemusí mít bug bounty program<1>}.

 

 

Jak dlouho má dodavatel na opravu?

 

Některé bezpečnostní problémy se snadno neopraví a dodavatelé často dávají přednost novým funkcím před řešením stávajících nedostatků.

 

 

Má výzkumník zranitelnost zveřejnit veřejnosti, a pokud ano, kdy?

 

Každý etický hacker se obává, že zranitelnost, kterou objevil, je již známá a útočníci ji aktivně zneužívají. Každá chvíle, kdy dodavatel nevydá opravu, znamená, že veřejnost tápe a nemá informace, jak se chránit. Veřejné zveřejnění je pro výzkumníky jedinou pákou, jak na dodavatele zatlačit, aby problém opravil.

Kraken Security Labs

Stručně řečeno, odpovědné zveřejňování zranitelností si každý vykládá jinak – vyvážit potřeby dodavatelů a uživatelů je přirozeně obtížné.  

 

Pevně věříme, že výzkumné týmy, jako je ten náš, musí s dodavateli spolupracovat na opravách problémů v jejich produktech a informovat o nich veřejnost.

 

Abychom toho dosáhli, Kraken Security Labs zveřejnilo zjištění a ve spolupráci s dodavateli pomohlo opravit problémy v široké škále kryptoměnových produktů a služeb. Podrobnosti naší politiky zveřejňování zranitelností najdete zde

Hardwarové peněženky na kryptoměny

Nedoporučujeme uchovávat veškeré prostředky na žádné burze – včetně té naší. 

 

Proto pravidelně nakupujeme a testujeme produkty, které zákazníkům umožňují ukládat kryptoaktiva ve vlastní úschově. 

 

Zveřejnili jsme zjištěné problémy a bezpečnostní doporučení k těmto produktům:

Ledger Nano X
Ledger Nano X
CoolBitX Coolwallet S
CoolBitX Coolwallet S
Trezor, Trezor One, Trezor Model T
Trezor, Trezor One, Trezor Model T
KeepKey
KeepKey

Kryptoměnové služby

V Kraken doporučujeme všem klientům, aby si otestovali a ověřili každou kryptoměnovou službu, které se rozhodnou svěřit své prostředky nebo data.

 

Zveřejnili jsme zjištěné problémy a bezpečnostní doporučení k těmto službám:

OneName.io (now BlockStack.org) article
OneName.io (nyní BlockStack.org)

Naše zásady zveřejňování

Slyšíte protichůdné informace o zveřejnění od Kraken Security Labs? 

 

Je běžné, že se dodavatelé a výzkumníci neshodnou na závažnosti problému. 

 

Jednoduše řečeno: výzkumníci chtějí, aby jejich práce měla co největší dopad, zatímco dodavatelé obvykle usilují o to, aby rozsah problému bagatelizovali. 

 

 

Jak hodnotit závažnost

 

Bezpečnostní zranitelnosti se obvykle hodnotí na škále závažnosti od nízké po kritickou, ale ne všechny zranitelnosti, které zveřejní Kraken Security Labs nebo jiní výzkumníci, budou kritické. 

 

Přesto jsme přesvědčeni, že odhalení těchto nedostatků je zásadní.

 

I několik zranitelností s nízkou, střední nebo vysokou závažností může útočník koordinovaně zkombinovat tak, že to bude mít na cílové zařízení výrazný dopad.

Kumulativní přínosy

 

Zveřejnění těchto zjištění může podnítit další výzkum. 

 

Bezpečnostní výzkumníci běžně navazují na práci ostatních: zveřejňují problémy, které je potřeba opravit, i když neumožňují úplné kompromitování systému, a publikují zjištění, která výrobce zpočátku nepovažuje za prioritní. 

 

Z tohoto důvodu by bylo nezodpovědné, kdyby bezpečnostní výzkumník mlčel jen proto, že neobjevil zranitelnost kritické závažnosti. 

 

Usilujeme o to, aby naše zveřejnění byla pro veřejnost co nejsrozumitelnější a nejtransparentnější, abyste mohli kvalifikovaně posoudit závažnost problému.

Silnější odvětví společně

Nejen Kraken je přesvědčený, že když výzkumné týmy a dodavatelé spolupracují, celé odvětví je silnější a bezpečnější. 

 

Jak dokládají níže uvedená vyjádření, Kraken Security Labs odpovídá hodnotám a potřebám kryptoměnového odvětví.

Pavol Rusnak
CTO společnosti SatoshiLabs
Jsme rádi, že Kraken Security Labs investují své zdroje do zlepšování bezpečnosti celého ekosystému Bitcoinu. Tento druh zodpovědného zveřejňování a spolupráce si velmi ceníme.
The CoolBitX Team
CoolBitX upřímně děkuje týmu Kraken Security Labs za tak důkladné prověření odolnosti bezpečnostních procesů CoolWallet S. Takový nový a odborný pohled na možné vektory útoku a zranitelnosti zařízení je pro náš tým i komunitu, které sloužíme, neocenitelný.
The Ledger Team
Rádi bychom také na chvíli poděkovali společnosti Kraken za jejich skvělou práci. Velmi si vážíme toho, že k věci přistupují stejně jako náš tým Ledger Donjon: dělají svůj díl práce na zvyšování bezpečnosti celého krypto odvětví.

Sledujte nás

Chcete-li sledovat naši práci a mít přehled o novinkách, uložte si do záložek náš oficiální blog nebo zadejte svůj e-mail a přihlaste se k odběru upozornění na nové příspěvky e-mailem.