Kraken
Security Labs
A Kraken é a exchange de ativos digitais mais segura porque vivemos e respiramos segurança — temos várias equipas de topo dedicadas a testar os nossos produtos e serviços.
Por muito seguros que sejamos, sabemos que o nosso sucesso está ligado ao sucesso de outros na comunidade das criptomoedas.
Kraken
Security Labs
Foi por isso que criámos o Kraken Security Labs, uma equipa de elite de investigadores de segurança que tem como objetivo proteger e fazer crescer o ecossistema das criptomoedas ao:
Testar os produtos e serviços de terceiros mais comuns
Colaborar com fornecedores para corrigir esses problemas
Informar o público sobre como se pode proteger melhor
Compromisso com a divulgação responsável
Quando um investigador de segurança deteta uma vulnerabilidade, a melhor prática é contactar o fornecedor para que este possa corrigir o problema.
Embora pareça simples em teoria, na prática podem surgir muitos problemas:
E se o fornecedor afetado não responder?
Talvez o fornecedor não queira reconhecer o problema ou não disponha de um programa de bug bounty.
Quanto tempo deve o fornecedor ter para corrigir o problema?
Alguns problemas de segurança não são fáceis de corrigir e os fornecedores preferem muitas vezes dar prioridade a novas funcionalidades em vez de resolverem falhas existentes.
Deve o investigador divulgar o problema ao público e, se sim, quando?
Qualquer hacker de chapéu branco receia que a vulnerabilidade que encontrou já seja conhecida e esteja a ser explorada por atacantes. Cada momento em que o fornecedor não disponibiliza uma correção é um momento em que o público fica às escuras e sem o conhecimento necessário para se proteger. A divulgação pública é o único meio de que os investigadores dispõem para pressionar um fornecedor a corrigir o problema.
Em termos simples, a divulgação responsável de vulnerabilidades significa coisas diferentes para cada pessoa — por natureza, é difícil equilibrar as necessidades dos fornecedores e dos utilizadores.
Acreditamos firmemente que é essencial que equipas de investigação como a nossa colaborem com os fornecedores para corrigir problemas nos seus produtos e divulgá-los ao público.
Para atingir esse objetivo, a Kraken Security Labs divulgou e trabalhou com fornecedores para corrigir problemas numa vasta gama de produtos e serviços de criptomoedas. Os detalhes da nossa política de divulgação de vulnerabilidades estão publicados aqui.
Carteiras de hardware para criptomoedas
Não achamos que deva guardar todos os seus fundos em qualquer exchange, incluindo a nossa.
Por isso, adquirimos e testamos regularmente produtos que permitem aos clientes armazenar e manter em autocustódia os seus criptoativos.
Publicámos vulnerabilidades e avisos para os seguintes produtos:
Serviços de criptomoedas
Na Kraken, incentivamos todos os nossos clientes a testar e a verificar qualquer serviço de criptomoedas a que decidam confiar os seus fundos ou dados.
Publicámos vulnerabilidades e avisos para os seguintes serviços:
A nossa filosofia de divulgação
Tem ouvido versões contraditórias sobre uma divulgação do Kraken Security Labs?
Saiba que é comum fornecedores e investigadores discordarem quanto à gravidade de um problema.
Resumindo, os investigadores querem que o seu trabalho tenha o maior impacto possível, enquanto os fornecedores tendem a minimizar a dimensão do problema.
Como interpretar a gravidade
As vulnerabilidades de segurança têm, normalmente, uma classificação de gravidade que vai de Baixa a Crítica, mas nem todas as vulnerabilidades divulgadas pela Kraken Security Labs ou por outros investigadores serão de gravidade Crítica.
Ainda assim, acreditamos que é fundamental expor estas falhas.
Mesmo um conjunto de vulnerabilidades de gravidade baixa, média e alta pode ser explorado por um atacante de forma coordenada, com um impacto significativo no dispositivo visado.
Efeito cumulativo
A divulgação destas conclusões pode impulsionar mais investigação.
É comum os investigadores de segurança desenvolverem o trabalho de outros, divulgarem problemas que devem ser corrigidos mas que não permitem a tomada de controlo total e publicarem investigação que o fornecedor não considera, de imediato, prioritária.
Por isso, não seria uma atitude responsável que um investigador de segurança ficasse em silêncio só porque não encontrou uma vulnerabilidade de gravidade Crítica.
Esforçamo-nos por publicar divulgações tão claras e transparentes quanto possível, para que possa tomar decisões informadas sobre a gravidade de cada problema.
Uma indústria mais forte, em conjunto
Não é só a Kraken que acredita que o setor é mais forte e mais seguro quando as equipas de investigação e os fornecedores trabalham em conjunto.
Como pode ver nos testemunhos abaixo, a Kraken Security Labs está alinhada com os valores e as necessidades do setor das criptomoedas.
É com satisfação que vemos a Kraken Security Labs a investir os seus recursos na melhoria da segurança de todo o ecossistema Bitcoin. Prezamos muito este tipo de divulgação responsável e de cooperação.
A CoolBitX agradece sinceramente à equipa da Kraken Security Labs por ter analisado, em detalhe, a robustez dos processos de segurança da CoolWallet S. Uma perspetiva nova e especializada sobre possíveis vetores de ataque e vulnerabilidades do dispositivo é inestimável para a nossa equipa e para a comunidade que servimos.
Gostaríamos também de aproveitar para agradecer à Kraken pelo excelente trabalho que tem desenvolvido. Valorizamos muito a postura alinhada com a da nossa própria equipa Ledger Donjon: fazer a nossa parte para reforçar a segurança de toda a indústria cripto.
Siga-nos!
Para acompanhar o nosso trabalho e manter-se a par dos nossos anúncios, adicione o nosso blogue oficial aos favoritos ou introduza o seu endereço de e-mail para subscrever e receber notificações de novas publicações por e-mail.