Kraken
Security Labs
Kraken — самая защищённая биржа цифровых активов<1>}, потому что безопасность для нас — приоритет. У нас есть несколько команд мирового уровня, которые тестируют наши продукты и сервисы.
Какими бы надёжными ни были наши системы, мы понимаем: наш успех связан с успехом других участников криптовалютного сообщества.
Kraken
Security Labs
Поэтому мы создали Kraken Security Labs<1> — команду ведущих исследователей в области безопасности, которая помогает защищать и развивать криптовалютную экосистему:
Тестируем распространённые сторонние продукты и сервисы
Работаем с вендорами, чтобы устранить эти проблемы
Информируем пользователей о том, как лучше защитить себя
Приверженность ответственному раскрытию информации
Когда исследователь в области безопасности обнаруживает уязвимость, лучшая практика — связаться с вендором, чтобы он мог устранить проблему.
В теории всё просто, но на практике возникают вопросы:
Что делать, если затронутый вендор не отвечает?<1>}
Возможно, вендор не хочет признавать проблему или у него нет программы bug bounty<1>}.
Сколько времени следует дать вендору на устранение проблемы?<1>}
Некоторые проблемы безопасности непросто устранить, и вендоры нередко предпочитают отдавать приоритет новым возможностям, а не исправлению уязвимостей.
Следует ли исследователю раскрывать информацию об уязвимости публично и если да, то когда?
Каждый «белый хакер» опасается, что обнаруженная им уязвимость уже известна злоумышленникам и активно ими эксплуатируется. Каждый момент, пока поставщик не выпустил исправление, — это время, когда пользователи остаются без информации и не знают, как защититься. Публичное раскрытие информации — единственный рычаг воздействия, который есть у исследователей, чтобы подтолкнуть поставщика к устранению уязвимости.
Проще говоря, ответственное раскрытие уязвимостей каждый понимает по‑своему — и найти баланс между интересами поставщиков и пользователей по определению сложно.
Мы убеждены: исследовательским командам вроде нашей важно работать с вендорами, чтобы устранять уязвимости в их продуктах и публично раскрывать информацию о них.
Чтобы достичь этой цели, Kraken Security Labs раскрывала информацию и работала с вендорами над устранением проблем в самых разных криптовалютных продуктах и сервисах. Подробности нашей политики раскрытия информации об уязвимостях опубликованы здесь.
Аппаратные кошельки для криптовалюты
Мы не рекомендуем хранить все средства на какой-либо бирже — включая нашу.
Именно поэтому мы регулярно приобретаем и тестируем продукты, позволяющие клиентам хранить криптовалютные активы и самостоятельно контролировать их.
Мы опубликовали описания уязвимостей и рекомендации по безопасности для следующих продуктов:
Криптовалютные сервисы
В Kraken мы рекомендуем всем клиентам тестировать и проверять любой криптовалютный сервис, которому они планируют доверить свои средства или данные.
Мы опубликовали описания уязвимостей и рекомендации по безопасности для следующих сервисов:
Наши принципы раскрытия информации
Встречали противоречивые сообщения о раскрытии информации Kraken Security Labs?
Разногласия между поставщиками и исследователями в оценке критичности проблемы — обычное дело.
Проще говоря, исследователи стремятся к максимальному эффекту от своей работы, тогда как поставщики обычно стараются преуменьшить масштаб проблемы.
Как оценивать критичность
Уязвимостям безопасности обычно присваивают уровень критичности от низкого до критического, но не все уязвимости, раскрытые Kraken Security Labs или другими исследователями, относятся к критическому уровню.
Тем не менее мы считаем принципиально важным, чтобы о таких недостатках становилось известно.
Даже несколько уязвимостей низкого, среднего и высокого уровня критичности могут быть использованы злоумышленником в совокупности и нанести существенный ущерб целевому устройству.
Нарастающий эффект
Публикация результатов исследований даёт импульс для дальнейшей работы.
Среди специалистов по безопасности принято опираться на труды коллег, публиковать сведения об уязвимостях, требующих устранения, но не позволяющих полностью скомпрометировать систему, а также делиться исследованиями, которые производители поначалу не считают приоритетными.
Поэтому исследователю по безопасности нельзя молчать только потому, что он не нашёл уязвимость критического уровня.
Мы стремимся к тому, чтобы раскрытие информации было максимально понятным и прозрачным — чтобы вы могли самостоятельно оценить степень серьёзности каждой уязвимости.
Сильнее и безопаснее — вместе
Не только Kraken убеждён в том, что отрасль становится сильнее и безопаснее, когда исследовательские команды и производители работают сообща.
Как свидетельствуют приведённые ниже отзывы, Kraken Security Labs разделяет ценности и отвечает потребностям индустрии криптовалют.
Мы рады, что Kraken Security Labs вкладывает ресурсы в повышение безопасности всей экосистемы Bitcoin. Мы высоко ценим такой подход к ответственному раскрытию информации и сотрудничеству.
CoolBitX выражает искреннюю благодарность команде Kraken Security Labs за столь тщательную проверку устойчивости механизмов безопасности CoolWallet S. Такой свежий и профессиональный взгляд на возможные векторы атак и уязвимости устройства бесценен для нашей команды и сообщества, для которого мы работаем.
Мы также хотели бы поблагодарить Kraken за их впечатляющую работу. Мы искренне ценим, что Kraken придерживается той же позиции, что и наша команда Ledger Donjon: вносит свой вклад в повышение безопасности всей криптоиндустрии.
Подписывайтесь на нас!
Чтобы следить за нашей работой и быть в курсе наших объявлений, добавьте в закладки наш официальный блог или введите адрес электронной почты, чтобы подписаться и получать уведомления о новых публикациях по email.