Kraken
Security Labs

Kraken är den säkraste handelsplatsen för digitala tillgångar eftersom säkerhet genomsyrar allt vi gör – vi har flera team i världsklass som är dedikerade till att testa våra produkter och tjänster. 

 

Men oavsett hur säkra vi är vet vi att vår framgång hänger samman med andras framgång i kryptogemenskapen.

Kraken Security Labs

Kraken
Security Labs

Därför skapade vi Kraken Security Labs – ett elitteam av säkerhetsforskare som vill skydda och utveckla kryptoekosystemet genom att:

Beaker

Testa vanliga tredjepartsprodukter och tjänster

Tools

Arbeta med leverantörer för att åtgärda problemen

Loudspeaker

Informera allmänheten om hur de bäst skyddar sig

Ett åtagande för ansvarsfullt avslöjande

När en säkerhetsforskare hittar en sårbarhet är bästa praxis att kontakta leverantören så att leverantören kan åtgärda problemet.

 

I teorin låter det enkelt – i praktiken uppstår ofta komplikationer:

 

Vad händer om den berörda leverantören inte svarar?

 

Kanske vill leverantören inte erkänna problemet, eller så saknar de ett bug bounty-program.

 

 

Hur lång tid ska leverantören få på sig att åtgärda problemet?

 

En del säkerhetsproblem är svåra att lösa, och leverantörer vill ofta prioritera nya funktioner framför att åtgärda brister.

 

 

Ska forskaren offentliggöra sårbarheten och i så fall när?

 

Varje white-hat-hackare oroar sig för att sårbarheten de hittat redan är känd och utnyttjas av angripare. Varje stund leverantören inte släpper en patch hålls allmänheten i ovisshet och saknar kunskapen för att skydda sig. Offentliggörande är den enda hävstång forskare har för att pressa en leverantör att åtgärda problemet.

Kraken Security Labs

Enkelt uttryckt betyder ansvarsfullt offentliggörande av sårbarheter olika saker för olika personer – det är i grunden svårt att balansera leverantörers och användares behov.  

 

Vi är övertygade om att det är avgörande att researchteam som vårt samarbetar med leverantörer för att åtgärda sårbarheter i deras produkter och redovisa dem offentligt.

 

För att nå det målet har Kraken Security Labs publicerat information och samarbetat med leverantörer för att åtgärda brister i en rad kryptoprodukter och -tjänster. Detaljer om vår policy för ansvarsfull sårbarhetsrapportering finns publicerade här

Hårdvaruplånböcker för krypto

Vi tycker inte att du ska förvara alla dina tillgångar på en och samma börs – inte ens på vår. 

 

Därför köper och testar vi regelbundet produkter som gör att kunder kan förvara sina kryptotillgångar själva. 

 

Vi har publicerat brister och säkerhetsbulletiner för följande produkter:

Ledger Nano X
Ledger Nano X
CoolBitX Coolwallet S
CoolBitX Coolwallet S
Trezor, Trezor One, Trezor Model T
Trezor, Trezor One, Trezor Model T
KeepKey
KeepKey

Kryptotjänster

På Kraken uppmuntrar vi alla våra kunder att testa och verifiera alla kryptotjänster som de överväger att anförtro sina medel eller sin data.

 

Vi har publicerat brister och säkerhetsbulletiner för följande tjänster: 

OneName.io (now BlockStack.org) article
OneName.io (numera BlockStack.org)

Vår syn på ansvarsfull publicering

Har du sett motstridiga uppgifter om en sårbarhetsrapport från Kraken Security Labs? 

 

Det är vanligt att leverantörer och forskare är oense om hur allvarligt ett problem är. 

 

Enkelt uttryckt vill forskare att deras arbete ska få största möjliga genomslag, medan leverantörer ofta vill tona ned hur omfattande problemet är. 

 

 

Så bedömer vi allvarlighetsgrad

 

Säkerhetssårbarheter klassas vanligtvis på en skala från Låg till Kritisk, men alla sårbarheter som Kraken Security Labs eller andra forskare redovisar är inte kritiska. 

 

Vi tycker ändå att det är avgörande att de här bristerna kommer fram.

 

Även ett fåtal sårbarheter med låg, medelhög och hög allvarlighetsgrad kan en angripare utnyttja samordnat och orsaka stor påverkan på den enhet som angrips.

Kumulativa fördelar

 

Att publicera de här resultaten kan leda till mer arbete. 

 

Det är vanligt att säkerhetsforskare bygger vidare på andras arbete, publicerar brister som bör åtgärdas men som inte möjliggör full kompromettering, och släpper forskning som leverantören inte direkt anser vara värd att åtgärda. 

 

Därför är det inte ansvarsfullt att som säkerhetsforskare vara tyst bara för att man inte hittar en sårbarhet i kategorin Kritisk. 

 

Vi strävar efter att publicera rapporter som är så tydliga och transparenta som möjligt, så att du kan göra en välgrundad bedömning av hur allvarlig sårbarheten är.

Starkare bransch – tillsammans

Det är inte bara Kraken som anser att branschen blir starkare och säkrare när forskarteam och leverantörer samarbetar. 

 

Som du kan se av omdömena nedan delar Kraken Security Labs värderingarna och behoven i kryptobranschen.

Pavol Rusnak
Teknikchef på SatoshiLabs
Vi är glada att Kraken Security Labs investerar sina resurser i att förbättra säkerheten för hela Bitcoin-ekosystemet. Vi värdesätter den här typen av ansvarsfull sårbarhetsrapportering och samarbete.
The CoolBitX Team
CoolBitX vill rikta ett varmt tack till teamet på Kraken Security Labs för den detaljerade granskningen av hur robusta CoolWallet S säkerhetsprocesser är. Att bidra med ett nytt och expertmässigt perspektiv på möjliga attackvektorer och sårbarheter i enheten är ovärderligt för vårt team och den community vi finns till för.
The Ledger Team
Vi vill också passa på att tacka Kraken för deras imponerande arbete. Vi uppskattar verkligen att de delar vår syn, precis som vårt Ledger Donjon-team: att göra vår del för att stärka säkerheten i hela kryptobranschen.

Följ oss

För att följa vårt arbete och hålla dig uppdaterad om våra nyheter – bokmärk vår officiella blogg eller ange din e-postadress för att prenumerera och få notiser om nya inlägg via e-post.