Kraken
Security Labs

Kraken è l'exchange di asset digitali più sicuro perché la sicurezza è sempre al centro di tutto ciò che facciamo: per questo motivo abbiamo creato diversi team di livello mondiale, dedicati a testare i nostri prodotti e servizi. 

 

Per quanto elevati siano i nostri standard di sicurezza, sappiamo che il nostro successo dipende dal successo di tutti gli altri membri della community delle criptovalute.

Kraken Security Labs

Kraken
Security Labs

Ecco perché abbiamo creato Kraken Security Labs, un team di ricercatori di alto livello nel campo della sicurezza che mira a proteggere e far crescere l'ecosistema delle criptovalute:

Beaker

Testando i più diffusi prodotti e servizi di terzi

Tools

Collaborando con i fornitori per risolvere i problemi

Loudspeaker

Informando il pubblico sui modi in cui può proteggersi al meglio

Un impegno per la divulgazione responsabile

Quando un ricercatore esperto di sicurezza rileva una vulnerabilità, la best practice da seguire è quella di contattare il fornitore affinché possa risolvere il problema.

 

Sebbene sembri semplice in teoria, nella pratica possono sorgere vari problemi:

 

Cosa succede se il fornitore interessato non risponde?

 

Forse il fornitore non vuole ammettere il problema o non dispone di un programma bug bounty.

 

 

Quanto tempo può essere concesso al fornitore per risolvere il problema?

 

Alcuni problemi di sicurezza non sono facili da risolvere e i fornitori spesso preferiscono dare priorità alle nuove funzionalità anziché risolvere i problemi.

 

 

Il ricercatore deve divulgare un problema al pubblico e, se sì, quando?

 

La preoccupazione di ogni hacker etico è che il problema identificato sia già noto e sia stato sfruttato da utenti malintenzionati. Ogni volta che un fornitore non rilascia una correzione, il pubblico resta all'oscuro del problema e non dispone dei dati necessari per proteggersi. La divulgazione pubblica è l'unica leva che i ricercatori possono esercitare per convincere i fornitori a risolvere il problema.

Kraken Security Labs

In altre parole, la divulgazione responsabile delle vulnerabilità può avere un significato diverso per ciascuno di noi: è obiettivamente difficile trovare un equilibrio tra le esigenze dei fornitori e le necessità degli utenti.  

 

Crediamo fermamente che sia essenziale per i team di ricerca, come noi, collaborare con i fornitori per risolvere i problemi riscontrati nei loro prodotti e divulgarli al pubblico.

 

Nel perseguire questo obiettivo, Kraken Security Labs ha divulgato le criticità e collaborato con i fornitori per risolvere i problemi identificati in un'ampia gamma di prodotti e servizi di criptovalute. I dettagli della nostra politica di divulgazione delle vulnerabilità sono pubblicati qui

Wallet hardware di criptovalute

Non riteniamo che sia opportuno conservare tutti i fondi in un unico exchange, compreso il nostro. 

 

Ecco perché acquistiamo e testiamo regolarmente dei prodotti che offrono ai clienti la possibilità di archiviare e custodire autonomamente i propri asset crypto. 

 

Abbiamo pubblicato problemi e avvisi di sicurezza per i seguenti prodotti:

Servizi di criptovaluta

Noi di Kraken incoraggiamo tutti i nostri clienti a testare e verificare qualsiasi servizio di criptovalute a cui intendono affidare i propri fondi o dati.

 

Abbiamo pubblicato problemi e avvisi di sicurezza per i seguenti servizi: 

La nostra filosofia di divulgazione

Circolano voci contrastanti su una divulgazione di Kraken Security Labs? 

 

Non è affatto strano che i fornitori e i ricercatori siano in disaccordo sulla gravità di un problema. 

 

In altre parole, i ricercatori vogliono che il loro lavoro abbia il massimo impatto, mentre i fornitori, in genere, cercano di minimizzare l'entità del problema. 

 

 

Interpretazione della gravità

 

Le vulnerabilità di sicurezza sono generalmente classificate in base a un livello di gravità che va da Bassa a Critica, ma non tutte le vulnerabilità rese note da Kraken Security Labs o da altri ricercatori sono necessariamente critiche. 

 

Tuttavia, riteniamo che sia fondamentale rendere pubblici questi difetti.

 

Anche poche vulnerabilità di gravità bassa, media e alta, sfruttate in modo coordinato da un utente malintenzionato, potrebbero avere un impatto significativo sul dispositivo oggetto dell'attacco.

Vantaggi aggiuntivi

 

La pubblicazione dei risultati può dare impulso a ulteriori approfondimenti. 

 

È normale che i ricercatori nel campo della sicurezza si basino sul lavoro svolto da altri, divulghino dei problemi che dovrebbero essere risolti ma non consentono soluzioni di compromesso e rendano note delle criticità che i fornitori non ritengono valga la pena risolvere immediatamente. 

 

Per questo motivo, i ricercatori non darebbero prova di un comportamento responsabile se restassero in silenzio perché il problema rilevato non è di gravità critica. 

 

Ci impegniamo al massimo per divulgare al pubblico informazioni che siano quanto più comprensibili e trasparenti possibile, affinché gli utenti possano prendere decisioni informate in merito alla gravità del problema.

Seguici!

Per seguire il nostro lavoro ed essere sempre al corrente sui nostri ultimi annunci, aggiungi il nostro blog ufficiale ai segnalibri o inserisci il tuo indirizzo di posta elettronica per iscriverti e ricevere notifiche dei nuovi post via e-mail.