Kraken
Security Labs
Kraken jest najbezpieczniejszą giełdą aktywów cyfrowych, bo bezpieczeństwo stawiamy na pierwszym miejscu – pracuje nad nim kilka zespołów światowej klasy, które testują nasze produkty i usługi.
Niezależnie jednak od tego, jak bardzo jesteśmy bezpieczni, wiemy, że nasz sukces jest powiązany z tym pozostałych członków społeczności kryptowalutowej.
Kraken
Security Labs
Oto dlaczego powołaliśmy do życia Kraken Security Labs – elitarny zespół badaczy bezpieczeństwa, który dąży do chronienia i powiększania ekosystemu kryptowalut poprzez:
Testowanie popularnych produktów i usług stron trzecich
Pracujemy z dostawcami, aby te problemy naprawiać
Informujemy opinię publiczną o tym, jak najlepiej może się chronić
Zobowiązanie na rzecz odpowiedzialnego ujawniania
Gdy badacz bezpieczeństwa znajdzie lukę w zabezpieczeniach, najlepszą praktyką będzie skontaktowanie się z dostawcą, aby ten mógł ją naprawić.
Choć w teorii brzmi to prosto, w praktyce pojawić może się wiele problemów:
Co, jeśli dostawca, który jest ofiarą luki, nie odpowiada?
Może dostawca nie chce przyznać, że problem istnieje, albo nie ma programu nagród za zgłoszenie błędu.
Ile czasu powinien dostać dostawca na naprawienie problemu?
Niektórych problemów z bezpieczeństwem nie jest łatwo naprawić, a producenci często wolą zamiast naprawiać problemy nadać priorytet nowym funkcjom.
Czy badacz powinien ujawnić tę kwestię opinii publicznej, a jeśli tak, to kiedy?
Każdy „dobry” haker obawia się, że znaleziony przez niego błąd jest już znany i wykorzystywany przez ludzi o złych zamiarach. Każdy moment, gdy poprawka pozostaje niewydana, jest momentem, w którym opinia publiczna dalej nic nie wie i nie jest uzbrojona w wiedzę potrzebną, by się chronić. Publiczne ujawnienie jest jedynym sposobem, jaki mają do dyspozycji badacze, aby móc wywrzeć na dostawcę nacisk i skłonić go do naprawienia błędu.
Krótko mówiąc, odpowiedzialne ujawnianie podatności każdy rozumie inaczej – pogodzenie potrzeb dostawców i użytkowników jest z natury trudne.
Mamy głębokie przekonanie, że zespoły badawcze takie jak nasz, muszą współpracować z dostawcami w celu naprawienia błędów w ich produktach i ujawniania ich opinii publicznej.
W ramach swoich dążeń do osiągnięcia tego celu zespół Kraken Security Labs dokonywał ujawnień i współpracował z dostawcami w celu naprawienia błędów w szerokiej gamie produktów i usług kryptowalutowych. Szczegóły naszej polityki ujawniania podatności publikujemy tutaj.
Portfele sprzętowe do kryptowalut
Nie zalecamy przechowywania wszystkich swoich środków na żadnej giełdzie – także na naszej.
Dlatego regularnie kupujemy i testujemy produkty, które umożliwiają klientom przechowywanie aktywów kryptowalutowych i samodzielną kontrolę nad nimi.
Opublikowaliśmy problemy i porady dotyczące następujących produktów:
Usługi kryptowalutowe
Kraken zachęca wszystkich klientów do testowania i weryfikowania każdej usługi kryptowalutowej, której mogą powierzyć swoje środki lub dane.
Opublikowaliśmy opisy problemów i komunikaty dla następujących usług:
Nasza filozofia dot. ujawnień
Słyszysz sprzeczne informacje o ujawnieniu Kraken Security Labs?
Pamiętaj, że dostawcy i badacze często nie zgadzają się co do powagi danego problemu.
Mówiąc wprost: badacze chcą, by ich praca miała jak największy wpływ, podczas gdy dostawcy zazwyczaj starają się bagatelizować skalę problemu.
Interpretacja dotkliwości
Luki bezpieczeństwa zwykle klasyfikuje się na skali od niskiej do krytycznej, ale nie każda luka ujawniana przez Kraken Security Labs lub innych badaczy ma poziom krytyczny.
Mimo to wierzymy, iż ważnym jest, by te niedoskonałości były ujawniane.
Nawet parę luk o niskim, średnim i wysokim poziomie dotkliwości może zostać wykorzystanych przez oszusta w sposób skoordynowany, aby wywrzeć sumarycznie duży wpływ na urządzenie docelowe.
Korzyści z compoundingu
Publikowanie tych wyników może napędzać dalsze prace badawcze.
Badacze bezpieczeństwa często bazują na pracy innych – ujawniają problemy, które powinny zostać naprawione, ale nie pozwalają na pełne przejęcie kontroli, oraz publikują badania, których dostawca nie uznaje od razu za warte naprawy.
Dlatego milczenie tylko dlatego, że nie znaleziono luki o poziomie krytycznym, nie byłoby odpowiedzialne.
Staramy się dokonywać ujawnień, które będą dla opinii publicznej jak najbardziej zrozumiałe i przejrzyste, tak aby możliwe było dokonywanie świadomych wyborów co do powagi danej sprawy.
Uczyńmy branżę silniejszą wspólnymi siłami
Nie tylko Kraken jest przekonany, że branża jest silniejsza i bezpieczniejsza, gdy zespoły badawcze i dostawcy współpracują ze sobą.
Jak widać w przedstawionych poniżej opiniach, Kraken Security Labs jest po drodze z potrzebami i wartościami branży kryptowalut.
Cieszymy się, iż Kraken Security Labs inwestuje swoje środki w polepszenie bezpieczeństwa całego ekosystemu Bitcoina. Bardzo sobie cenimy tego rodzaju odpowiedzialne ujawnianie i współpracę.
CoolBitX serdecznie dziękuje zespołowi Kraken Security Labs za zbadanie odporności procesów bezpieczeństwa CoolWallet w tak ogromnym detalu. Tak świeże i eksperckie spojrzenia na możliwe wektory ataków i luki w zabezpieczeniach urządzeń są dla naszego zespołu i społeczności, której służymy, czymś nieocenionym.
Chcielibyśmy też poświęcić moment, by podziękować Krakenowi za fantastyczną robotę. Bardzo doceniamy to, że mają podobne podejście, jak nasz własny zespół Ledger Donjon: dokładają swoją cegiełkę do zwiększania bezpieczeństwa całego sektora kryptowalut.
Śledź nas!
Aby śledzić naszą pracę i być na bieżąco z naszymi ogłoszeniami, dodaj zakładkę do naszego oficjalnego bloga lub wprowadź swój adres e-mail, aby zasubskrybować powiadomienia o nowych postach i otrzymywać je pocztą elektroniczną.