Kraken
Security Labs
Η Kraken είναι το πιο ασφαλές ανταλλακτήριο ψηφιακών περιουσιακών στοιχείων, γιατί η ασφάλεια είναι στον πυρήνα μας· διαθέτουμε, μάλιστα, πολλαπλές ομάδες παγκόσμιας κλάσης, αφοσιωμένες στις δοκιμές των προϊόντων και των υπηρεσιών μας.
Όσο ασφαλείς κι αν είμαστε, γνωρίζουμε ότι η επιτυχία μας είναι συνδεδεμένη με την επιτυχία των άλλων μέσα στην κοινότητα των κρυπτονομισμάτων.
Kraken
Security Labs
Γι’ αυτό δημιουργήσαμε τα Kraken Security Labs, μια επίλεκτη ομάδα ερευνητών ασφάλειας που έχει στόχο να προστατεύσει και να αναπτύξει το οικοσύστημα των κρυπτονομισμάτων με:
Δοκιμές σε συνήθη προϊόντα και υπηρεσίες τρίτων
Συνεργαζόμαστε με προμηθευτές για να διορθώσουμε αυτά τα ζητήματα
Ενημέρωση του κοινού για το πώς μπορεί να προστατεύεται καλύτερα
Δέσμευση για υπεύθυνη γνωστοποίηση
Όταν ένας ερευνητής ασφάλειας εντοπίζει μια ευπάθεια, βέλτιστη πρακτική είναι να επικοινωνεί με τον προμηθευτή, ώστε να μπορέσει να διορθώσει το ζήτημα.
Αν και στη θεωρία είναι απλό, στην πράξη μπορεί να προκύψουν πολλά ζητήματα:
Τι γίνεται αν ο θιγόμενος προμηθευτής δεν απαντήσει;
Ίσως ο προμηθευτής να μη θέλει να αναγνωρίσει το ζήτημα ή να μην διαθέτει ένα πρόγραμμα επιβράβευσης εύρεσης σφαλμάτων.
Πόσος χρόνος πρέπει να δοθεί στον προμηθευτή για να διορθώσει το ζήτημα;
Ορισμένα ζητήματα ασφάλειας δεν διορθώνονται εύκολα και οι προμηθευτές συχνά θέλουν να δώσουν προτεραιότητα σε νέα features αντί να επιλύσουν προβλήματα.
Πρέπει ο ερευνητής να γνωστοποιήσει το ζήτημα στο κοινό και, αν ναι, πότε;
Κάθε white-hat hacker ανησυχεί ότι το ζήτημα που έχει εντοπίσει είναι ήδη γνωστό και το εκμεταλλεύονται κακόβουλοι παράγοντες. Κάθε στιγμή που ένας προμηθευτής δεν έχει διαθέσει μια διόρθωση είναι μια στιγμή που το κοινό μένει στο σκοτάδι και δεν έχει τη γνώση για να προστατευτεί. Η δημόσια γνωστοποίηση είναι το μόνο μέσο που έχουν οι ερευνητές για να ασκήσουν πίεση σε έναν προμηθευτή ώστε να διορθώσει το ζήτημα.
Με λίγα λόγια, η υπεύθυνη γνωστοποίηση ευπαθειών σημαίνει κάτι διαφορετικό για τον καθένα· είναι εγγενώς δύσκολο να εξισορροπηθούν οι ανάγκες των προμηθευτών και των χρηστών.
Πιστεύουμε ακράδαντα ότι είναι απαραίτητο ερευνητικές ομάδες όπως η δική μας να συνεργάζονται με τους προμηθευτές, ώστε να διορθώνουν προβλήματα στα προϊόντα τους και να τα γνωστοποιούν στο κοινό.
Για να πετύχουμε αυτόν τον στόχο, τα Kraken Security Labs έχουν προχωρήσει σε γνωστοποιήσεις και έχουν συνεργαστεί με προμηθευτές για να διορθώσουν ζητήματα σε ένα ευρύ φάσμα προϊόντων και υπηρεσιών κρυπτονομισμάτων. Οι λεπτομέρειες της πολιτικής μας για τη γνωστοποίηση ευπαθειών δημοσιεύονται εδώ.
Hardware πορτοφόλια για κρυπτονομίσματα
Δεν θεωρούμε ότι θα πρέπει να αποθηκεύετε όλα τα κεφάλαιά σας σε κανένα ανταλλακτήριο, ούτε στο δικό μας.
Γι’ αυτό αγοράζουμε και δοκιμάζουμε τακτικά προϊόντα που δίνουν στους πελάτες τη δυνατότητα να αποθηκεύουν τα κρυπτονομίσματά τους και να αναλαμβάνουν οι ίδιοι τη φύλαξή τους.
Έχουμε δημοσιεύσει ζητήματα και ανακοινώσεις ασφαλείας για τα ακόλουθα προϊόντα:
Υπηρεσίες κρυπτονομισμάτων
Στην Kraken, ενθαρρύνουμε όλους τους πελάτες μας να δοκιμάζουν και να επαληθεύουν οποιαδήποτε υπηρεσία κρυτονομισμάτων σκέφτονται να εμπιστευτούν για τα κεφάλαια ή τα δεδομένα τους.
Έχουμε δημοσιεύσει ζητήματα και ανακοινώσεις ασφαλείας για τις ακόλουθες υπηρεσίες:
Η φιλοσοφία μας για τη γνωστοποίηση
Πρόθεση: ερώτηση προς τον αναγνώστη για αντικρουόμενες πληροφορίες. Γιατί δεν λειτουργεί: το «μια γνωστοποίηση των» είναι άκαμπτο/μη φυσικό στα ελληνικά και ο προσδιορισμός θέλει γενική («της»). Διόρθωση: Ακούτε αντικρουόμενες πληροφορίες για γνωστοποίηση της Kraken Security Labs;
Πρόθεση: να προετοιμάσει τον αναγνώστη ότι οι εκτιμήσεις διαφέρουν. Γιατί δεν λειτουργεί: το «προμηθευτές» είναι λιγότερο καθιερωμένο σε αυτό το συμφραζόμενο (security) από το «πάροχοι». Διόρθωση: Να γνωρίζετε ότι είναι συνηθισμένο οι πάροχοι και οι ερευνητές να διαφωνούν για τη σοβαρότητα ενός ζητήματος.
Πρόθεση: να εξηγήσει συνοπτικά τα αντικρουόμενα κίνητρα. Γιατί δεν λειτουργεί: το «μέγιστη επίδραση» είναι αγγλισμός· πιο φυσικό είναι το «μέγιστο αντίκτυπο». Διόρθωση: Για να το πούμε απλά, οι ερευνητές θέλουν η δουλειά τους να έχει τον μεγαλύτερο δυνατό αντίκτυπο, ενώ οι πάροχοι συνήθως θέλουν να υποβαθμίσουν το μέγεθος του ζητήματος.
Πρόθεση: σύντομος τίτλος ενότητας για το πώς αξιολογείται το severity. Γιατί δεν λειτουργεί: το «Ερμηνεία σοβαρότητας» ακούγεται μεταφρασμένο και το «βαρύτητα» είναι συχνότερο στο security. Διόρθωση: Αξιολόγηση βαρύτητας
Οι ευπάθειες ασφαλείας συνήθως κατατάσσονται σε κλίμακα σοβαρότητας από Χαμηλή έως Κρίσιμη, όμως δεν είναι όλες οι ευπάθειες που γνωστοποιούν τα Kraken Security Labs ή άλλοι ερευνητές Κρίσιμες.
Παρ’ όλα αυτά, πιστεύουμε ότι είναι κρίσιμο να έρχονται στο φως αυτές οι αδυναμίες.
Ακόμη και λίγες ευπάθειες χαμηλής, μεσαίας και υψηλής σοβαρότητας μπορεί να χρησιμοποιηθούν από έναν επιτιθέμενο συνδυαστικά, με σημαντικό αντίκτυπο στη συσκευή-στόχο.
Συνδυαστικά οφέλη
Η δημοσίευση αυτών των ευρημάτων μπορεί να δώσει ώθηση σε επιπλέον έρευνα.
Είναι σύνηθες οι ερευνητές ασφάλειας να αξιοποιούν το έργο άλλων, να γνωστοποιούν ζητήματα που πρέπει να διορθωθούν αλλά δεν επιτρέπουν πλήρη παραβίαση, και να δημοσιεύουν έρευνα που ο προμηθευτής δεν θεωρεί εξαρχής ότι πρέπει να διορθωθεί.
Γι’ αυτό, δεν θα ήταν υπεύθυνο να παραμείνει σιωπηλός ένας ερευνητής ασφάλειας επειδή δεν εντόπισε ζήτημα Κρίσιμης σοβαρότητας.
Επιδιώκουμε να δημοσιεύουμε γνωστοποιήσεις όσο το δυνατόν πιο κατανοητές και διαφανείς για το κοινό, ώστε να μπορείτε να λαμβάνετε ενημερωμένες αποφάσεις σχετικά με τη σοβαρότητα του ζητήματος.
Μαζί, ένας πιο ισχυρός κλάδος
Δεν πιστεύει μόνο η Kraken ότι ο κλάδος γίνεται πιο ισχυρός και πιο ασφαλής όταν οι ομάδες έρευνας και οι προμηθευτές συνεργάζονται.
Όπως φαίνεται από τις μαρτυρίες που ακολουθούν, τα Kraken Security Labs ευθυγραμμίζονται με τις αξίες και τις ανάγκες του κλάδου των κρυπτονομισμάτων.
Χαιρόμαστε που τα Kraken Security Labs επενδύουν τους πόρους τους στη βελτίωση της ασφάλειας ολόκληρου του Οικοσυστήματος Bitcoin. Εκτιμούμε ιδιαίτερα αυτό το είδος υπεύθυνης γνωστοποίησης και συνεργασίας.
Η CoolBitX εκφράζει τις θερμές της ευχαριστίες στην ομάδα των Kraken Security Labs που εξέτασε με τόσο μεγάλη λεπτομέρεια την ανθεκτικότητα των διαδικασιών ασφαλείας του CoolWallet S. Μια τόσο νέα και εξειδικευμένη οπτική για πιθανά διανύσματα επίθεσης και ευπάθειες της συσκευής είναι ανεκτίμητη για την ομάδα μας και την κοινότητα που εξυπηρετούμε.
Θα θέλαμε επίσης να αφιερώσουμε μια στιγμή για να ευχαριστήσουμε την Kraken για το εξαιρετικό έργο της. Εκτιμούμε ιδιαίτερα ότι έχουν την ίδια προσέγγιση με τη δική μας ομάδα Ledger Donjon: να συμβάλλουμε στην ενίσχυση της ασφάλειας σε ολόκληρο τον κλάδο των κρυπτονομισμάτων.
Ακολουθήστε μας!
Για να παρακολουθείτε το έργο μας και να μένετε ενήμεροι για τις ανακοινώσεις μας, βάλτε στους σελιδοδείκτες σας το επίσημο blog μας ή καταχωρίστε τη διεύθυνση email σας για να εγγραφείτε και να λαμβάνετε ειδοποιήσεις για νέες αναρτήσεις μέσω email.