Kraken
Security Labs
Kraken er den mest sikre børs for digitale aktiver, fordi vi lever og ånder sikkerhed – faktisk har vi flere teams i verdensklasse, der tester vores produkter og tjenester.
Uanset hvor sikre vi er, ved vi, at vores succes hænger sammen med andres succes i kryptovalutafællesskabet.
Kraken
Security Labs
Derfor oprettede vi Kraken Security Labs – et eliteteam af sikkerhedsforskere, der skal beskytte og styrke kryptoøkosystemet ved at:
Teste udbredte tredjepartsprodukter og -tjenester
Samarbejde med leverandører om at udbedre problemerne
Oplyse offentligheden om, hvordan de bedst kan beskytte sig
En forpligtelse til ansvarlig offentliggørelse
Når en sikkerhedsforsker finder en sårbarhed, er det best practice at kontakte leverandøren, så leverandøren kan udbedre den.
I teorien lyder det enkelt, men i praksis kan der opstå mange komplikationer:
Hvad sker der, hvis den berørte leverandør ikke reagerer?
Måske ønsker leverandøren ikke at erkende problemet, eller leverandøren har ikke et bug bounty-program.
Hvor lang tid skal leverandøren have til at løse problemet?
Visse sikkerhedsproblemer er svære at løse, og leverandører vil ofte prioritere nye funktioner frem for at rette fejl.
Intention: at oversætte ‘issue’ som ‘problemet’. Hvorfor: I denne kontekst handler det om en sikkerhedssårbarhed, og ‘problemet’ bliver for upræcist. Rettet: Bør forskeren offentliggøre sårbarheden – og i givet fald hvornår?
Intention: at forklare, at white-hat-hackere frygter misbrug. Hvorfor: ‘Enhver’ + ‘de’ skurrer i antal, og formuleringen lyder oversat. Rettet: White-hat-hackere frygter, at den sårbarhed, de har fundet, allerede er kendt og bliver udnyttet af de kriminelle. Så længe en leverandør ikke har frigivet en rettelse, er offentligheden i mørket og mangler viden til at beskytte sig selv. Intention: at sige, at offentliggørelse er forskernes presmiddel. Hvorfor: dobbelt ‘offentlig’ og en lidt klodset idiomatik. Rettet: Offentliggørelse er det eneste presmiddel, forskere har til at få en leverandør til at udbedre problemet.
Intention: at gengive, at ‘responsible disclosure’ forstås forskelligt. Hvorfor: ‘grundlæggende vanskeligt at afbalancere’ lyder tungt og oversat. Rettet: Kort sagt betyder ansvarlig offentliggørelse af sårbarheder noget forskelligt for alle – og det er i praksis svært at balancere leverandørernes og brugernes behov.
Vi er overbeviste om, at det er afgørende, at researchteams som vores samarbejder med leverandører om at udbedre problemer i deres produkter og offentliggøre dem for offentligheden.
Med det mål for øje har Kraken Security Labs offentliggjort sårbarheder og samarbejdet med leverandører om at udbedre problemer i en lang række kryptoprodukter og -tjenester. Detaljerne om vores politik for offentliggørelse af sårbarheder er offentliggjort her.
Hardware-wallets til krypto
Vi anbefaler ikke, at du opbevarer alle dine midler på en børs – heller ikke vores.
Derfor køber og tester vi løbende produkter, der giver kunder mulighed for at opbevare deres kryptoaktiver og selv have kontrollen.
Vi har offentliggjort sårbarheder og sikkerhedsadvarsler for følgende produkter:
Kryptotjenester
Hos Kraken opfordrer vi alle kunder til at teste og verificere kryptotjenester, før de betror dem deres midler eller data.
Vi har offentliggjort sårbarheder og sikkerhedsadvarsler for følgende tjenester:
Vores principper for offentliggørelse
Hører du modstridende meldinger om en offentliggørelse fra Kraken Security Labs?
Det er helt normalt, at leverandører og forskere er uenige om, hvor alvorligt et problem er.
Kort sagt vil forskere have størst mulig effekt af deres arbejde, mens leverandører typisk forsøger at nedtone problemets omfang.
Sådan tolker du alvorlighedsgrad
Sikkerhedssårbarheder vurderes typisk på en skala fra Lav til Kritisk, men ikke alle sårbarheder, som Kraken Security Labs eller andre forskere offentliggør, vil være kritiske.
Vi mener stadig, at det er afgørende, at disse fejl bliver afdækket.
Selv en håndfuld sårbarheder med lav, middel eller høj alvorlighedsgrad kan udnyttes koordineret af en angriber og få stor betydning for den enhed, der er målet.
Fordele der forstærker hinanden
Når vi offentliggør disse fund, kan det sætte gang i mere arbejde.
Det er almindeligt, at sikkerhedsforskere bygger videre på andres arbejde, offentliggør sårbarheder, der bør udbedres, men som ikke giver fuld kompromittering, og deler research, som leverandøren ikke med det samme mener er værd at rette.
Derfor er det ikke ansvarligt af en sikkerhedsforsker at forholde sig tavs, blot fordi vedkommende ikke har fundet et problem af kritisk alvorlighedsgrad.
Vi bestræber os på at offentliggøre så forståelige og transparente beskrivelser som muligt, så du kan træffe oplyste valg om problemets alvorlighed.
Sammen om en stærkere branche
Det er ikke kun Kraken, der mener, at branchen bliver stærkere og mere sikker, når forskerteams og leverandører arbejder sammen.
Som du kan se af udtalelserne nedenfor, er Kraken Security Labs på linje med kryptobranchens værdier og behov.
Vi er glade for, at Kraken Security Labs investerer deres ressourcer i at forbedre sikkerheden i hele Bitcoin-økosystemet. Vi sætter stor pris på denne form for ansvarlig offentliggørelse og samarbejde.
CoolBitX sender en varm tak til Kraken Security Labs-teamet for at have gransket robustheden i CoolWallet S' sikkerhedsprocesser så grundigt. Et nyt, fagligt stærkt blik på mulige angrebsvektorer og sårbarheder i enheden er uvurderligt for vores team og det fællesskab, vi arbejder for.
Vi vil også gerne sige tak til Kraken for deres imponerende arbejde. Vi sætter stor pris på, at de har samme tilgang som vores eget Ledger Donjon-team: at gøre vores del for at styrke sikkerheden i hele kryptobranchen.
Følg os!
Vil du følge vores arbejde og holde dig opdateret om vores udmeldinger, så bogmærk vores officielle blog eller indtast din e-mailadresse for at abonnere og få besked om nye indlæg på mail.