Kraken
Security Labs
Kraken on turvallisin digitaalisten varojen pörssi, koska tietoturva on meille arkea – meillä on useita huipputiimejä, jotka testaavat tuotteitamme ja palvelujamme.
Tiedämme kuitenkin, että menestyksemme on sidoksissa kryptoyhteisön muiden menestykseen.
Kraken
Security Labs
Siksi perustimme Kraken Security Labs -tiimin: huipputason tietoturvatutkijat, jotka suojaavat ja kehittävät kryptoekosysteemiä näin:
Testaamme yleisiä kolmansien osapuolten tuotteita ja palveluita
Teemme yhteistyötä toimittajien kanssa, jotta nämä ongelmat korjataan
Tiedotamme yleisölle parhaista tavoista suojautua
Sitoutuminen vastuulliseen haavoittuvuuksien julkistamiseen
Kun tietoturvatutkija löytää haavoittuvuuden, paras käytäntö on ottaa yhteyttä toimittajaan, jotta tämä voi korjata ongelman.
Teoria on yksinkertainen, mutta käytännössä eteen voi tulla monia ongelmia:
Entä jos toimittaja ei vastaa?
Toimittaja ei ehkä halua tunnustaa ongelmaa tai sillä ei ole bug bounty -ohjelmaa.
Kuinka kauan toimittajalle pitäisi antaa aikaa korjata ongelma?
Joidenkin tietoturvaongelmien korjaaminen ei ole helppoa, ja toimittajat asettavat usein uudet ominaisuudet etusijalle ongelmien korjaamisen sijaan.
Pitäisikö tutkijan kertoa haavoittuvuudesta julkisesti ja jos, niin milloin?
Jokainen white-hat-hakkeri pohtii, onko löydetty haavoittuvuus jo pahantahtoisten tiedossa ja käytössä. Jokainen hetki, jolloin toimittaja ei julkaise korjausta, on hetki, jolloin käyttäjät ovat pimeässä eikä heillä ole tietoa suojautua. Julkistaminen on tutkijoiden ainoa vipuvarsi painostaa toimittajaa korjaamaan ongelman.
Yksinkertaisesti: vastuullinen haavoittuvuuksien julkistaminen tarkoittaa eri ihmisille eri asioita – toimittajien ja käyttäjien tarpeiden yhteensovittaminen on lähtökohtaisesti vaikeaa.
Uskomme, että meidän kaltaisten tutkimustiimien on tärkeää tehdä yhteistyötä toimittajien kanssa, jotta niiden tuotteiden haavoittuvuudet saadaan korjattua ja niistä voidaan kertoa julkisesti.
Tavoitteen edistämiseksi Kraken Security Labs on julkaissut haavoittuvuuksia ja tehnyt yhteistyötä toimittajien kanssa niiden korjaamiseksi monenlaisissa kryptotuotteissa ja -palveluissa. Haavoittuvuuksien julkistamiskäytäntömme yksityiskohdat on julkaistu täällä.
Kryptovaluuttojen laitteistolompakot
Emme suosittele säilyttämään kaikkia varojasi yhdessäkään pörssissä – edes meillä.
Siksi ostamme ja testaamme säännöllisesti tuotteita, joiden avulla asiakkaat voivat säilyttää kryptovaransa omassa hallinnassaan.
Olemme julkaisseet löydöksiä ja tietoturvatiedotteita seuraavista tuotteista:
Kryptovaluuttapalvelut
Krakenilla kannustamme kaikkia asiakkaitamme testaamaan ja varmistamaan minkä tahansa kryptopalvelun, jolle he aikovat uskoa varansa tai tietonsa.
Olemme julkaisseet löydöksiä ja tietoturvatiedotteita seuraavista palveluista:
Julkistusperiaatteemme
Oletko kuullut ristiriitaisia tietoja Kraken Security Labsin julkistuksesta?
On tavallista, että valmistajat ja tutkijat ovat eri mieltä ongelman vakavuudesta.
Lyhyesti tutkijat haluavat työnsä vaikuttavan mahdollisimman paljon, kun taas valmistajat pyrkivät yleensä vähättelemään ongelman laajuutta.
Vakavuusluokan tulkinta
Tietoturvahaavoittuvuuksille annetaan yleensä vakavuusluokitus asteikolla matala–kriittinen, mutta kaikki Kraken Security Labsin tai muiden tutkijoiden raportoimat haavoittuvuudet eivät ole kriittisiä.
Uskomme silti, että nämä puutteet on tärkeää tuoda julki.
Hyökkääjä voi hyödyntää jopa muutamaa matalan, keskisuuren ja korkean vakavuuden haavoittuvuutta yhdessä ja aiheuttaa kohdelaitteelle merkittävää haittaa.
Hyödyt kertautuvat
Löydösten julkaiseminen voi vauhdittaa lisätutkimusta.
Tietoturvatutkijat rakentavat usein toistensa työn varaan: he raportoivat haavoittuvuuksia, jotka pitää korjata mutta jotka eivät mahdollista täydellistä haltuunottoa, ja julkaisevat myös tutkimusta, jonka toimittaja ei heti katso korjaamisen arvoiseksi.
Siksi tietoturvatutkijan ei ole vastuullista vaieta vain siksi, ettei löydös ole kriittinen.
Pyrimme julkaisemaan haavoittuvuustiedotteet mahdollisimman selkeinä ja läpinäkyvinä, jotta voit arvioida ongelman vakavuuden ja tehdä perusteltuja päätöksiä.
Yhdessä vahvempi toimiala
Kraken ei ole ainoa, joka uskoo toimialan olevan vahvempi ja turvallisempi, kun tutkimustiimit ja toimittajat tekevät yhteistyötä.
Alla olevista kommenteista näet, että Kraken Security Labsin työ vastaa kryptoalan arvoja ja tarpeita.
Olemme iloisia, että Kraken Security Labs panostaa resurssejaan koko Bitcoin-ekosysteemin tietoturvan parantamiseen. Arvostamme tällaista vastuullista julkistamista ja yhteistyötä.
CoolBitX haluaa esittää lämpimät kiitokset Kraken Security Labsin tiimille siitä, että se kävi CoolWallet S:n tietoturvaprosessit läpi näin perusteellisesti. Näin tuore ja asiantunteva näkökulma mahdollisiin hyökkäysvektoreihin ja laitteen haavoittuvuuksiin on tiimillemme ja palvelemallemme yhteisölle erittäin arvokas.
Haluamme myös kiittää Krakenia heidän tekemästään hienosta työstä. Arvostamme suuresti sitä, että he ajattelevat samoin kuin Ledger Donjon -tiimimme: teemme oman osamme koko kryptovaluutta-alan tietoturvan parantamiseksi.
Seuraa meitä!
Jos haluat seurata työtämme ja pysyä ajan tasalla ilmoituksistamme, lisää virallinen blogimme kirjanmerkkeihin tai tilaa ilmoitukset syöttämällä sähköpostiosoitteesi – saat tiedon uusista julkaisuista sähköpostiin.