Kraken
Security Labs
Kraken to najbezpieczniejsza giełda aktywów cyfrowych, gdyż bezpieczeństwo to całe nasze życie – mamy wiele światowej klasy zespołów, które zajmują się testowaniem naszych produktów i usług.
Niezależnie jednak od tego, jak bardzo jesteśmy bezpieczni, wiemy, że nasz sukces jest powiązany z tym pozostałych członków społeczności kryptowalutowej.
Kraken
Security Labs
Oto dlaczego powołaliśmy do życia Kraken Security Labs – elitarny zespół badaczy bezpieczeństwa, który dąży do chronienia i powiększania ekosystemu kryptowalut poprzez:
Testowanie popularnych produktów i usług stron trzecich
Pracujemy z dostawcami, aby te problemy naprawiać
Informujemy opinię publiczną o tym, jak najlepiej może się chronić
Zobowiązanie na rzecz odpowiedzialnego ujawniania
Gdy badacz bezpieczeństwa znajdzie lukę w zabezpieczeniach, najlepszą praktyką będzie skontaktowanie się z dostawcą, aby ten mógł ją naprawić.
Choć w teorii brzmi to prosto, w praktyce pojawić może się wiele problemów:
Co, jeśli dostawca, który jest ofiarą luki, nie odpowiada?
Może dostawca nie chce przyznać, że problem istnieje, albo nie ma programu nagród za zgłoszenie błędu.
Ile czasu powinien dostać dostawca na naprawienie problemu?
Niektórych problemów z bezpieczeństwem nie jest łatwo naprawić, a producenci często wolą zamiast naprawiać problemy nadać priorytet nowym funkcjom.
Czy badacz powinien ujawnić tę kwestię opinii publicznej, a jeśli tak, to kiedy?
Każdy „dobry” haker obawia się, że znaleziony przez niego błąd jest już znany i wykorzystywany przez ludzi o złych zamiarach. Każdy moment, gdy poprawka pozostaje niewydana, jest momentem, w którym opinia publiczna dalej nic nie wie i nie jest uzbrojona w wiedzę potrzebną, by się chronić. Publiczne ujawnienie jest jedynym sposobem, jaki mają do dyspozycji badacze, aby móc wywrzeć na dostawcę nacisk i skłonić go do naprawienia błędu.
Najogólniej rzecz ujmując, odpowiedzialne ujawnianie luk w zabezpieczeniach oznacza dla każdego coś innego – potrzeby dostawców i użytkowników są z natury trudne do zrównoważenia.
Mamy głębokie przekonanie, że zespoły badawcze takie jak nasz, muszą współpracować z dostawcami w celu naprawienia błędów w ich produktach i ujawniania ich opinii publicznej.
W ramach swoich dążeń do osiągnięcia tego celu zespół Kraken Security Labs dokonywał ujawnień i współpracował z dostawcami w celu naprawienia błędów w szerokiej gamie produktów i usług kryptowalutowych. Szczegóły naszego ujawnienia luk zostały opublikowane tutaj.
Portfele sprzętowe do kryptowalut
Nie sądzimy, że dobrym pomysłem jest przechowywanie wszystkich swoich środków na jakiejkolwiek giełdzie, wliczając w to naszą.
Dlatego też regularnie kupujemy i testujemy produkty, które dają klientom możliwość przechowywania i samodzielnego pilnowania swoich kryptoaktywów.
Opublikowaliśmy problemy i porady dotyczące następujących produktów:
Usługi kryptowalutowe
Kraken zachęca wszystkich klientów do testowania i weryfikowania każdej usługi kryptowalutowej, której mogą powierzyć swoje środki lub dane.
Opublikowaliśmy problemy i porady dotyczące następujących usług:
Nasza filozofia dot. ujawnień
Słyszysz sprzeczne informacje na temat ujawnienia Kraken Security Labs?
Miej na uwadze, że nierzadko zdarza się, iż między dostawcami i badaczami może nie być zgody co do dotkliwości danego problemu.
Najogólniej rzecz ujmując, badacze chcą, by ich praca miała jak największy wpływ, a dostawcy zazwyczaj chcą zbagatelizować zasięg problemu.
Interpretacja dotkliwości
Słabym punktom bezpieczeństwa zazwyczaj przydziela się ocenę dotkliwości – od niskiej po krytyczną – jednak nie wszystkie luki ujawnione przez Kraken Security Labs czy innych badaczy będą krytyczne.
Mimo to wierzymy, iż ważnym jest, by te niedoskonałości były ujawniane.
Nawet parę luk o niskim, średnim i wysokim poziomie dotkliwości może zostać wykorzystanych przez oszusta w sposób skoordynowany, aby wywrzeć sumarycznie duży wpływ na urządzenie docelowe.
Korzyści z compoundingu
Ujawnienie tych wniosków może napędzić dalszą pracę.
Często zdarza się, że badacze bezpieczeństwa opierają się na pracy innych, publikują błędy, które powinny zostać naprawione, ale nie pozwalają na całkowite naruszenie na szwank bezpieczeństwa, a także publikują badania na temat problemów, których dostawca może nie uważać za warte naprawiania od razu.
Z tego też powodu nieodpowiedzialnym byłoby, gdyby dany badacz milczał, ponieważ błędy, które znalazł, nie były krytyczne.
Staramy się dokonywać ujawnień, które będą dla opinii publicznej jak najbardziej zrozumiałe i przejrzyste, tak aby możliwe było dokonywanie świadomych wyborów co do powagi danej sprawy.
Uczyńmy branżę silniejszą wspólnymi siłami
Nie tylko Kraken wierzy, że branża jest silniejsza i bezpieczniejsza, gdy zespoły badawcze i dostawcy ze sobą współpracują.
Jak widać w przedstawionych poniżej opiniach, Kraken Security Labs jest po drodze z potrzebami i wartościami branży kryptowalut.
Cieszymy się, iż Kraken Security Labs inwestuje swoje środki w polepszenie bezpieczeństwa całego ekosystemu Bitcoina. Bardzo sobie cenimy tego rodzaju odpowiedzialne ujawnianie i współpracę.
CoolBitX serdecznie dziękuje zespołowi Kraken Security Labs za zbadanie odporności procesów bezpieczeństwa CoolWallet w tak ogromnym detalu. Tak świeże i eksperckie spojrzenia na możliwe wektory ataków i luki w zabezpieczeniach urządzeń są dla naszego zespołu i społeczności, której służymy, czymś nieocenionym.
Chcielibyśmy też poświęcić moment, by podziękować Krakenowi za fantastyczną robotę. Bardzo doceniamy to, że mają podobne podejście, jak nasz własny zespół Ledger Donjon: dokładają swoją cegiełkę do zwiększania bezpieczeństwa całego sektora kryptowalut.
Śledź nas!
Aby śledzić naszą pracę i być na bieżąco z naszymi ogłoszeniami, dodaj zakładkę do naszego oficjalnego bloga lub wprowadź swój adres e-mail, aby zasubskrybować powiadomienia o nowych postach i otrzymywać je pocztą elektroniczną.