Kraken
Security Labs
Kraken è l'exchange di asset digitali più sicuro perché la sicurezza è sempre al centro di tutto ciò che facciamo: per questo motivo abbiamo creato diversi team di livello mondiale, dedicati a testare i nostri prodotti e servizi.
Per quanto elevati siano i nostri standard di sicurezza, sappiamo che il nostro successo dipende dal successo di tutti gli altri membri della community delle criptovalute.
Kraken
Security Labs
Ecco perché abbiamo creato Kraken Security Labs, un team di ricercatori di alto livello nel campo della sicurezza che mira a proteggere e far crescere l'ecosistema delle criptovalute:
Testando i più diffusi prodotti e servizi di terzi
Collaborando con i fornitori per risolvere i problemi
Informando il pubblico sui modi in cui può proteggersi al meglio
Un impegno per la divulgazione responsabile
Quando un ricercatore esperto di sicurezza rileva una vulnerabilità, la best practice da seguire è quella di contattare il fornitore affinché possa risolvere il problema.
Sebbene sembri semplice in teoria, nella pratica possono sorgere vari problemi:
Cosa succede se il fornitore interessato non risponde?
Forse il fornitore non vuole ammettere il problema o non dispone di un programma bug bounty.
Quanto tempo può essere concesso al fornitore per risolvere il problema?
Alcuni problemi di sicurezza non sono facili da risolvere e i fornitori spesso preferiscono dare priorità alle nuove funzionalità anziché risolvere i problemi.
Il ricercatore deve divulgare un problema al pubblico e, se sì, quando?
La preoccupazione di ogni hacker etico è che il problema identificato sia già noto e sia stato sfruttato da utenti malintenzionati. Ogni volta che un fornitore non rilascia una correzione, il pubblico resta all'oscuro del problema e non dispone dei dati necessari per proteggersi. La divulgazione pubblica è l'unica leva che i ricercatori possono esercitare per convincere i fornitori a risolvere il problema.
In altre parole, la divulgazione responsabile delle vulnerabilità può avere un significato diverso per ciascuno di noi: è obiettivamente difficile trovare un equilibrio tra le esigenze dei fornitori e le necessità degli utenti.
Crediamo fermamente che sia essenziale per i team di ricerca, come noi, collaborare con i fornitori per risolvere i problemi riscontrati nei loro prodotti e divulgarli al pubblico.
Nel perseguire questo obiettivo, Kraken Security Labs ha divulgato le criticità e collaborato con i fornitori per risolvere i problemi identificati in un'ampia gamma di prodotti e servizi di criptovalute. I dettagli della nostra politica di divulgazione delle vulnerabilità sono pubblicati qui.
Wallet hardware di criptovalute
Non riteniamo che sia opportuno conservare tutti i fondi in un unico exchange, compreso il nostro.
Ecco perché acquistiamo e testiamo regolarmente dei prodotti che offrono ai clienti la possibilità di archiviare e custodire autonomamente i propri asset crypto.
Abbiamo pubblicato problemi e avvisi di sicurezza per i seguenti prodotti:
Servizi di criptovaluta
Noi di Kraken incoraggiamo tutti i nostri clienti a testare e verificare qualsiasi servizio di criptovalute a cui intendono affidare i propri fondi o dati.
Abbiamo pubblicato problemi e avvisi di sicurezza per i seguenti servizi:
La nostra filosofia di divulgazione
Circolano voci contrastanti su una divulgazione di Kraken Security Labs?
Non è affatto strano che i fornitori e i ricercatori siano in disaccordo sulla gravità di un problema.
In altre parole, i ricercatori vogliono che il loro lavoro abbia il massimo impatto, mentre i fornitori, in genere, cercano di minimizzare l'entità del problema.
Interpretazione della gravità
Le vulnerabilità di sicurezza sono generalmente classificate in base a un livello di gravità che va da Bassa a Critica, ma non tutte le vulnerabilità rese note da Kraken Security Labs o da altri ricercatori sono necessariamente critiche.
Tuttavia, riteniamo che sia fondamentale rendere pubblici questi difetti.
Anche poche vulnerabilità di gravità bassa, media e alta, sfruttate in modo coordinato da un utente malintenzionato, potrebbero avere un impatto significativo sul dispositivo oggetto dell'attacco.
Vantaggi aggiuntivi
La pubblicazione dei risultati può dare impulso a ulteriori approfondimenti.
È normale che i ricercatori nel campo della sicurezza si basino sul lavoro svolto da altri, divulghino dei problemi che dovrebbero essere risolti ma non consentono soluzioni di compromesso e rendano note delle criticità che i fornitori non ritengono valga la pena risolvere immediatamente.
Per questo motivo, i ricercatori non darebbero prova di un comportamento responsabile se restassero in silenzio perché il problema rilevato non è di gravità critica.
Ci impegniamo al massimo per divulgare al pubblico informazioni che siano quanto più comprensibili e trasparenti possibile, affinché gli utenti possano prendere decisioni informate in merito alla gravità del problema.
Un settore più forte, insieme
Kraken non è la sola a ritenere che il settore può diventare più forte e sicuro grazie alla collaborazione dei team di ricerca e dei fornitori.
Come si evince dalle testimonianze riportate qui sotto, Kraken Security Labs è in linea con i valori e le esigenze del settore delle criptovalute.
Siamo lieti che Kraken Security Labs stia investendo risorse per migliorare la sicurezza dell'intero ecosistema Bitcoin. Apprezziamo davvero molto questo atteggiamento responsabile di divulgazione e collaborazione.
CoolBitX esprime i più sinceri ringraziamenti al team Kraken Security Labs per aver analizzato la resilienza dei processi di sicurezza di CoolWallet S in modo così dettagliato. Il valore di un punto di vista nuovo ed esperto sui possibili vettori di attacco e le vulnerabilità dei dispositivi è inestimabile per il nostro team e la comunità a cui offriamo i nostri servizi.
Desideriamo ringraziare Kraken per il suo incredibile lavoro. Apprezziamo moltissimo il fatto che condivida lo stesso approccio del nostro team Ledger Donjon, ovvero fare la nostra parte per garantire la sicurezza di tutto il settore delle criptovalute.
Seguici!
Per seguire il nostro lavoro ed essere sempre al corrente sui nostri ultimi annunci, aggiungi il nostro blog ufficiale ai segnalibri o inserisci il tuo indirizzo di posta elettronica per iscriverti e ricevere notifiche dei nuovi post via e-mail.