Kraken
Security Labs
A Kraken azért a legbiztonságosabb digitáliseszköz-tőzsde, mert a biztonság a mindennapjaink része – több világszínvonalú csapatunk is termékeink és szolgáltatásaink tesztelésén dolgozik.
Bármennyire biztonságosak is vagyunk, tudjuk: sikerünk a kriptovaluta-közösség egészének sikerével függ össze.
Kraken
Security Labs
Ezért hoztuk létre a Kraken Security Labs<1>-ot, egy elit biztonsági kutatócsapatot, amely a kriptoökoszisztémát az alábbiakkal védi és erősíti:
Tesztelés elterjedt, harmadik féltől származó termékeken és szolgáltatásokon
Együttműködés a gyártókkal a problémák kijavítása<1> érdekében
A nyilvánosság tájékoztatása<1> arról, hogyan védekezhet a leghatékonyabban
Elkötelezettség a felelős nyilvánosságra hozatal mellett
Ha egy biztonsági kutató sebezhetőséget talál<1>, a bevált gyakorlat az, hogy felveszi a kapcsolatot a gyártóval, hogy az kijavíthassa a problémát.
Elméletben egyszerűnek tűnik, a gyakorlatban azonban számos nehézség felmerülhet:
Mi van, ha az érintett gyártó nem reagál?<1>
Lehet, hogy a gyártó nem akarja elismerni a problémát, vagy nincs bug bounty programja<1>}.
Mennyi időt adjunk a gyártónak a javításra?
Egyes biztonsági problémák nehezen javíthatók, és a gyártók sokszor inkább az új funkciókra összpontosítanak a hibajavítás helyett.
Nyilvánosságra hozza-e a kutató a sebezhetőséget, és ha igen, mikor?<1>}
Minden etikus hacker attól tart, hogy a felfedezett hiba már ismert, és a támadók már ki is használják. Minden perc, amíg a gyártó nem ad ki javítást, a felhasználók sötétben tapogatóznak, és nincs meg a tudásuk ahhoz, hogy megvédjék magukat. A nyilvános közzététel az egyetlen eszközük arra, hogy a gyártót rábírják a hiba javítására.
Röviden: a sebezhetőségek felelős nyilvánosságra hozatala mindenkinek mást jelent – és eleve nehéz egyensúlyt találni a gyártók és a felhasználók igényei között.
Határozottan hisszük, hogy az olyan kutatócsapatoknak, mint a miénk, elengedhetetlen együttműködni a szállítókkal a termékeik hibáinak kijavításában, és ezeket a nyilvánossággal is megosztani.
Ennek érdekében a Kraken Security Labs a kriptotermékek és -szolgáltatások széles körében tett közzé biztonsági hibákat, és dolgozott együtt a szállítókkal a javításukon. A sérülékenységek közzétételére vonatkozó szabályzatunk részletei itt olvashatók.
Hardveres kriptopénztárcák
Nem tartjuk jó ötletnek, hogy minden pénzeszközödet bármelyik tőzsdén tartsd – a miénken sem.
Ezért rendszeresen vásárolunk és tesztelünk olyan termékeket, amelyek lehetővé teszik az ügyfeleknek, hogy kriptoeszközeiket tárolják és saját kezelésben tartsák.
Az alábbi termékekhez tettünk közzé hibajelentéseket és biztonsági közleményeket:
Kripto-szolgáltatások
A Krakennél arra biztatjuk minden ügyfelünket, hogy teszteljenek és ellenőrizzenek minden kripto-szolgáltatást, amelyre a pénzeszközeiket vagy az adataikat bíznák.
Az alábbi szolgáltatásokhoz tettünk közzé hibajelentéseket és biztonsági közleményeket: 0
Közzétételi alapelveink
Eltérő beszámolókat hallottál a Kraken Security Labs egyik közzétételéről?
Nem ritka, hogy a szállítók és a kutatók eltérően ítélik meg egy probléma súlyosságát.
Egyszerűen fogalmazva: a kutatók azt szeretnék, hogy a munkájuk a lehető legnagyobb hatást érje el, míg a szállítók jellemzően igyekeznek bagatellizálni a probléma mértékét.
Szándék: alcím a következő részhez. Miért nem ideális: Az „A” névelő itt feleslegesen hosszítja és kevésbé ütős. Súlyosság értelmezése
Szándék: elmagyarázni, hogy a sérülékenységeknek van súlyossági besorolásuk, de nem mind „Critical”. Miért nem ideális: A mondat kicsit túl nehézkes („közzétett”, „súlyossági skálán értékelik”), és a zárás magyarul természetesebben hangzik egyszerűbb szerkezettel. A biztonsági sérülékenységeket jellemzően Alacsony és Kritikus közötti skálán sorolják be, de a Kraken Security Labs vagy más kutatók által nyilvánosságra hozott sérülékenységek nem mindegyike Kritikus.
Ennek ellenére úgy gondoljuk, elengedhetetlen, hogy ezek a hibák napvilágra kerüljenek.
Szándék: kiemelni, hogy több kisebb-nagyobb hiba együtt komoly kockázatot jelenthet. Miért nem ideális: A „céleszközön” fordulat magyarul szokatlan; a mondat eleje is gördülékenyebb lehet. Már néhány alacsony, közepes vagy magas súlyosságú sérülékenységet is kihasználhat egy támadó összehangoltan, ami komoly kárt okozhat a célzott eszközben.
Szándék: cím, ami arra utal, hogy a hatások összeadódnak. Miért nem ideális: Az „összeadódó” szó szerinti, kicsit fordításszagú; a magyarban az „egymást erősítő” természetesebb. Egymást erősítő előnyök
Ezek az eredmények további munkának adhatnak lendületet.
Bevett gyakorlat, hogy a biztonsági kutatók mások munkájára építenek; olyan hibákat tesznek közzé, amelyeket javítani kell, de nem teszik lehetővé a teljes kompromittálást; illetve olyan kutatásokat publikálnak, amelyeket a gyártó nem feltétlenül tart azonnal javításra érdemesnek.
Ezért nem lenne felelős dolog hallgatni csak azért, mert nem kritikus súlyosságú hibát találtak.
Arra törekszünk, hogy a közzétételeink a lehető legérthetőbbek és legátláthatóbbak legyenek, így megalapozottan meg tudod ítélni a feltárt probléma súlyosságát.
Együtt erősebb az iparág
Nem csak a Kraken vallja, hogy az iparág erősebb és biztonságosabb, ha a kutatócsapatok és a gyártók együttműködnek.
Az alábbi visszajelzésekből is látszik, hogy a Kraken Security Labs összhangban van a kriptoiparág értékrendjével és igényeivel.
Örömmel látjuk, hogy a Kraken Security Labs erőforrásokat fektet a teljes Bitcoin-ökoszisztéma biztonságának javításába. Nagyra értékeljük az ilyen felelős közzétételt és együttműködést.
A CoolBitX szívből köszöni a Kraken Security Labs csapatának, hogy ilyen alapossággal vizsgálta meg a CoolWallet S biztonsági folyamatainak ellenállóképességét. A lehetséges támadási vektorokról és az eszköz sérülékenységeiről adott friss, szakértői nézőpont felbecsülhetetlen értékű csapatunk és az általunk kiszolgált közösség számára.
Szeretnénk mi is köszönetet mondani a Krakennek a kiemelkedő munkájáért. Nagyra értékeljük, hogy a Kraken ugyanazt az álláspontot képviseli, mint a Ledger Donjon csapatunk: mindannyian a teljes kriptoiparág biztonságának erősítéséért dolgozunk.
Kövess minket!
Ha szeretnéd nyomon követni a munkánkat, és naprakész maradni a bejelentéseinkkel kapcsolatban, tedd könyvjelzőbe a(z) hivatalos blogunkat, vagy add meg az e-mail-címedet, hogy feliratkozz, és e-mailben értesítést kapj az új bejegyzésekről.