Kraken
Security Labs
Kraken є найбезпечнішою біржею цифрових активів, тому безпека – наш абсолютний пріоритет. Для цього в нас є кілька команд світового класу, які займаються тестуванням наших продуктів і сервісів.
Проте незважаючи на надійність нашої платформи, ми знаємо, що наш успіх пов’язаний з успіхом інших учасників криптовалютної спільноти.
Kraken
Security Labs
Ось чому ми створили Kraken Security Labs, елітну команду дослідників із питань безпеки, що мають на меті захист і розвиток криптовалютної екосистеми:
Тестування поширених сторонніх продуктів і сервісів
Взаємодія з постачальниками для усунення цих проблем
Інформування громадськості про найкращі способи захистити себе
Зобов’язання щодо відповідального розкриття інформації
Коли дослідник безпеки знаходить вразливість, краще за все відразу зв’язатися з постачальником, аби той міг виправити помилку.
Але це теорія, а на практиці може виникнути багато проблем:
Що робити, якщо постачальник продукту з вразливістю не реагує?
Можливо, постачальник не хоче визнавати проблему або в нього немає програми нагороди за пошук вразливостей (Bug Bounty).
Скільки часу потрібно дати постачальнику на виправлення проблеми?
Деякі проблеми з безпекою нелегко виправити, і замість їх вирішення постачальники часто надають пріоритету новим функціям.
Чи повинен дослідник розкривати інформацію про проблему громадськості, і якщо так, то коли?
Кожен «етичний хакер» турбується, що проблема, яку він знайшов, уже відома зловмисникам і використовується ними. Кожна мить, на яку постачальник затримує випуск виправлень, – це час, коли громадськість перебуває в темряві та не має необхідних знань для захисту. Розкриття інформації – єдиний важіль, який є в дослідників, аби змусити постачальника усунути проблему.
Простіше кажучи, відповідальний пошук вразливостей означає для кожного щось своє – збалансувати потреби постачальників і користувачів завжди важко.
Ми переконані, що для дослідницьких команд на кшталт нашої дуже важливо співпрацювати з виробниками для виправлення проблем у їхніх продуктах і розкриття цієї інформації громадськості.
Із цією метою лабораторія Kraken Security Labs розкриває уразливості та співпрацює з постачальниками для усунення проблем у широкому спектрі криптовалютних продуктів і сервісів. Деталі нашої політики розкриття вразливостей опубліковані тут.
Апаратні гаманці для криптовалют
Ми не вважаємо, що ви повинні зберігати всі свої кошти на біржі, зокрема нашій.
Саме тому ми регулярно купуємо й тестуємо продукти, що надають клієнтам можливість зберігати свої криптоактиви й самостійно управляти ними.
Ми опублікували опис проблем і рекомендації для таких продуктів:
Криптовалютні сервіси
Kraken закликає всіх клієнтів тестувати й перевіряти будь-які криптовалютні сервіси, яким вони планують довірити свої кошти або дані.
Ми опублікували опис проблем і рекомендації для таких сервісів:
Наша філософія розкриття інформації
Почули суперечливі повідомлення про інформацію, опубліковану спеціалістами Kraken Security Labs?
Майте на увазі, що постачальники й дослідники часто не погоджуються щодо серйозності проблеми.
Простіше кажучи, дослідники хочуть, щоб їхня робота принесла максимум користі, у той час як постачальники зазвичай прагнуть применшити масштаб проблеми.
Розуміння ступеня серйозності
Уразливості в системі безпеки зазвичай мають різний ступінь серйозності – від низького до критичного, – але не всі уразливості, що виявляються лабораторією Kraken Security Labs або іншими дослідниками, є критичними.
Проте ми вважаємо, що ці вразливості вкрай важливо виявляти.
Навіть кілька вразливостей низького, середнього й високого ступенів серйозності можуть бути використані зловмисником у скоординований спосіб, аби завдати значного впливу на пристрій-жертву.
Сукупні переваги
Оприлюднення цих результатів може стимулювати подальшу роботу.
Дослідники проблем безпеки часто спираються на роботу інших спеціалістів, оприлюднюючи описи проблем, які повинні бути виправлені не зважаючи на відсутність повного компромісу, а також публікують дослідження вразливостей, які постачальник не вважає за потрібне відразу усувати.
Дослідник у сфері безпеки повівся би безвідповідально, якби промовчав лише тому, що не визнав проблему критичною.
Ми прагнемо публікувати максимально зрозумілу й прозору для громадськості інформацію, яка дає змогу зробити обґрунтований висновок щодо серйозності проблеми.
Зміцнення всієї галузі разом
Не лише Kraken вважає, що індустрія стає сильнішою і безпечнішою, коли дослідницькі групи й постачальники працюють разом.
Як можна побачити з наведених нижче відгуків, Kraken Security Labs дотримується цінностей і потреб криптовалютної галузі.
Ми раді, що Kraken Security Labs витрачає сили на підвищення безпеки всієї екосистеми Bitcoin. Ми цінуємо такий відповідальний підхід до розкриття інформації та співпраці.
CoolBitX висловлює щиру подяку команді Kraken Security Labs за ретельне й деталізоване дослідження надійності процесів безпеки CoolWallet S. Такий свіжий експертний погляд на можливі вектори атак і вразливості пристроїв є безцінним для нашої команди й для спільноти, якій ми служимо.
Ми також хотіли б скористатися моментом і подякувати Kraken за неймовірну роботу. Ми глибоко цінуємо їхню позицію, яка збігається з власною позицією команди Ledger Donjon: ми робимо свій внесок у підвищення безпеки всієї криптовалютної галузі.
Приєднуйтесь до нас!
Якщо ви бажаєте стежити за нашою роботою та бути в курсі наших анонсів, додайте наш офіційний блог до закладок або введіть свою електронну адресу, щоб підписатися й отримувати сповіщення про нові публікації електронною поштою.