Topic: Bitstamp comprometido por reyes (Read 9914 times)

Gracias.

Mensajes sobrantes borrados.

Bitstamp ya no está, tal como reza el topic, comprometido por reyes.

+1

Bitstamp ya andaba con problemas de volumen y esto no les ayuda a crear confianza.
Tienen un mercado anticuado, con ninguna opción extra de trading (sólo compra/venta) y tienen unas de las comisiones más altas.

Lo normal es que le pase como al resto de mercados que han sufrido un hackeo. Que poco a poco se vayan quedando sin volumen por la perdida de confianza (sumado a que están anticuados y son caros) y al final se encuentren con que el negocio ya nos les sale rentable.

No tiene porque pasar nada, pero en mi opinión más vale prevenir que curar.
Además el resto de opciones, son más avanzadas, con menos comisiones y probablemente más seguros (aunque no hay nada realmente seguro en mercados bitcoins). Por lo que no veo motivo alguno para quedarse en Bitstamp, en vez de mudarse a un sitio mejor.

-----

Por cierto, Bitstamp debería pasar una nueva auditoría para confirmar sus reservas de fiat y bitcoins. Supongo que estarán bien, pero me sorprende que todavía no hayan tomado la iniciativa en probar algo que les daría más confianza ante sus usuarios.

ioxio, ves? de verdad que quizas no sepa expresarme... quiero dejar claro que a mi no me gusta Bitstamp¡¡ no es la primera vez que me lo dicen... y es que asi es.

Mis tiros no iban por ahi, ni tampoco a que no se pudiera debatir, de hecho muchos han expuesto lo que les ha parecido, ¿tengo yo algho en contra de eso? no. Mis tiros son en no ir a degüello contra Bitstamp tras lo que se supone es la 2º mayor catastrofe en un exchange tras MtGox... En como han resuelto el incidente, al menos para un aprobado da, sobre la infraestructura pues seguramente no sea la mejor del mundo pero tampoco creo que sea mala, he leido al respecto mucho y la tendencia de las cosas es , a no ser que seas un gigante, a tirar hacia la nube.

Supongo que tendra sus cosas buenas y tendra sus cosas malas.

Ya que mencionas la comparticion libre de conocimientos y opiniones, cosa que apoyo rotundamente, ¿que es lo que pasa en este foro cuando se hace una critica o se lleva la contraria? se lo crucifica y segun hacia quien sea, se lo censura, por tanto, no veo propicio que insinues que yo atento contra la libre expresion de las personas o incluso tirando del hilo que pueda tener algo que ver con que BitAddict haya decidido tomar senda distinta... en un tema como este nunca voy a ir de listo porque no soy experto en la materia, si que tengo estudios en el campo de las telecomunicaciones y vengo de una familia llena de ingenieros en telecomunicaciones pero mi rama realmente son las finanzas/economia/trading que es donde mejor me desenvuelvo y por tanto mis opiniones tienen una mayor carga. Aqui, en este hilo, de todas formas hasta que no te has puesto borde, no has dado datos (no te lo digo como un reproche, solo comento la situacion) extendidos sobre el porqué de tu opinion... asi, quizas yo tampoco hubiera entrado de esa manera porque realmente con lo que uno leia en el hilo, no se puede mas que apreciar FUD... y hay una diferencia entre crear FUD y razonar, cosa que tu, pese a que fue en un acto de rebote por lo que te dije que te molesto (que no iba en tal sentido, tan sencillo como pedirte disculpas si asi lo hice)... No es que lo haga "sin querer" como apuntas, lo hago con conocimiento de lo que escribo, lo que pasa es que quizas no se entienda muy bien en que tono escribo, suelo pecar de escritura demasiado seria que cuando es un conflicto de opiniones parece que estoy riñiendo... pero no es asi, es que es mi forma de escribir, de verdad. (ademas que es que lo hago del tiron sin pararme "en exceso" a pensar en el texto que escribo porque se lo que quiero escribir....probablemente falle en transmitir lo que quiero transmitir de la manera en que lo quiero transmitir.

El tema esta centrado en Bitstamp, cierto, pero tambien esta dentro del tema "como queda Bitstamp dentro del cuadro del resto de exchanges" ¿es la peor alternativa? ¿es la mejor alternativa? ¿es uan alternativa mediocre? ¿ cual es la mejor alternativa en cuanto a seguridad? ¿ cual es la mejor alternativa en cuanto a liquidez? ¿ cual tiene la mejor relacion liquidez/seguridad?

A ese tipo de preguntas es a lo que yo me refiero cuando comparo o pretendo que se lo compare con otros exchanges, no para desviar el tema, sino para clasificar realmente lo que tenemos entre manos y como queda esto en relacion a los demas, no para decir "y tu mas" en el sentido de que otro exchange este peor... eso no beneficia a nadie, en cambio saber quien tiene la mejor relacion de liquidez/seguridad creo que si que aporta mucho.

PD: ¿De Bitfinex te fias? sobretodo del tema auditorias, se me viene a la cabeza Gowex...

Pues la verdad, se puede ser mucho más amigable y respetuoso, hay mucho margen de mejora y me consta que no soy al único con el que usas ese lenguaje tan poco humilde "sin querer",  lo grave es que al final consigues calentarnos y que pasemos de aportar, y no estoy dispuesto a que lo consigas, por que hay gente a la que si le interesa y creo en la compartición libre de conocimiento y opiones.

Fíjate en este flame, has ido a degüello, impidiendo que el resto pudiera debatir, para ti no había discusión posible ya que bitstamp era intocable y has sido totalmente incapaz de aceptar que alguien con "algo" del conocimiento del tema informase de los riesgos, independientemente de que existiesen alternativas o no, el tema de este hilo es bitstamp y el riesgo de seguridad por/tras el hackeo, no compararlo con el resto de exchanges o la existencia o no de alternativas, has mantenido una postura bastante destructiva y cerrada a compartir opiniones y/o conocimiento basado en argumentos.

por cierto bitfinex, sin llegar al nivel de kraken, tiene también mejor pinta que bitstamp, incluyen hot wallets con cantidades muy reducidas (0.5%), los hot wallets no son accesibles desde los frontales, y mantienen auditiorias de seguridad por una empresa externas, no dan mucha más info, pero es más que bitstamp y sobre todo no se vanaglorian de delegar la seguridad física en un proveedor de cloud de propósito general:
https://www.bitfinex.com/pages/security

cerremos el tema con un poco de humor:

Guay, la verdad es que tiene mejor pinta, la pena es que no les luce nada. Trading solo en euros/btc y un volumen muy muy escasito.

ioxoi, a ver me gustaria matizar,no te estoy retando...ni pretendo faltar el respeto en ningun momento, no se si es que no me se explicar o que... lo que quiero dar a entender que sin ver como estan el resto de "garitos" (pero porque no debe de andar muy boyante el tema precisamente, salvo la rara excepcion de Kraken) me parece precipitado ponerse a criticar este del que al menos se conoce que es lo que tiene. Te lo has tomado bastante a la tremenda.

¿del resto se sabe algo?

me ha costado 5 segundos.

https://www.kraken.com/security/practices

System Security
Kraken's servers reside in locked racks, in a locked private cage, inside a top-tier professional data center: this means armed guards, video surveillance, retina scans, the works.
Data is encrypted wherever possible, and systems are both redundant and isolated from one another
Data is replicated in real time and backed up on a daily basis.
Our office is wired with separate networks for separate purposes
Our staff has been thoroughly reviewed, and multiple sign-offs are required for anything remotely sensitive


lo mismito


Edit: traducido;:
Seguridad del sistema
los servidores de kraken se encuentran en rack cerrados, en una jaula cerrada, centro de un CPD top-tier profesional: esto significa guardias armadas, video vigilancia, escaneres de retina
Los datos son cifrados cuando es posible, y los sistemas se encuentran redundados y aislados del resto de sistemas
los datos son replicados en tiempo real y se respaldan diariamente
Las redes de la oficina son cableadas con redes separadas para diferentes propósitos
el personal contratado es revisado a fondo y múltiples firmas son necesarias para cualqueir cosa sensible

Podria ser... pero tampoco nos afecta, vamos, raro seria que fuesemos el target o fuese o dejase de ser un argumento en la eleccion de un eexchange, al fin y al cabo tu compras/vendes y nada mas.

https://twitter.com/petertoddbtc/status/554005770493521920 

Y no cambio nada que dije.  Creo que os quejais por quejar. ¿que no es el sistema perfecto?, seguramente no. Tampoco son un Banco Santander.

Dime alguno otro del sector con mejor montaje y esto te lo pregunto porque si lo sabes me gustaria saberlo y en general estaria bien saberlo ya no solo para mi, para el resto.

Pero si al final es un troll, la leche como entre al trapo.

perdón por el ruido al resto.

recolpilacion del buen rollito que gasta:

Está el ambientito caldeado, lo que está claro es que se deberían haber inclinado hacia contratar empresa de seguridad mas relacionadas con el sector bancario que los asesoraran para solucionar los agujeros de sus propios servidores en lugar de ponerlo todo en manos de amazon, lo veo mas una maniobra de marqueting que una solución real.

Yo también opino que esta muerto en vida, con la bajada de clientes y de volumen no van a poder afrontar la deuda millonaria que tienen y en algún momento sopesaran la opción de cerrar el chiringuito (opinión personal)

Listo y brode?? Antes de echar mierda por la boca sobre mi y alterarte asi porque te ha dado la gana, porque yo ni te he contestado borde ni de listo, tu eres un forero que no conozco de un sitio con personas que a la mayoria ni conozco, por tanto, mucho menos vas a generar en mi una emocion como para ser borde, como mucho indiferencia. (ni para bien ni para mal, no lo digo como cuestion de ataque.)

Esa pregunta viene a todo porque os poneis a criticar y a ladrar cuando ni siquiera se sabe lo que tiene el de enfrente. Quizas pueda ser o pueda no ser la mejor de las opciones, yo personalmente no creo que sea mala opcion y en mi entorno hay gente con decadas de experiencia en el sector teleco y redes que no ven problema siempre y cuando discos y demas material este cifrado y bien tratado.

Asi que antes de decirme y echarme la bilis en la forma en la que me la echas, que te quede clarito que mi punto de vista no es el de alabar Bitstamp precisamente. Lo que quiero dejarte claro es que podria ser que estuvieras criticando una supuesta mierda como Bitstamp cuando el resto de exchanges, de los cuales no tienes ni pajolera idea de como estan montados, podrian ser aun mierdas peores. A ESO ME REFIERO. Al menos con Bitstamp sabes lo que tienen.

El resto de cuestiones paso de citarlas porque placidamente las leere sin problemas, y probablemente aprenda algo de ello.

Por lo visto, el problema de Bitstamp se ha podido deber a un trabajito desde dentro segun estoy leyendo por Reddit... no se si sera verdad (no tengo informacion objetiva), pero desde luego podria serlo.

¿Pero tu de que vas?, si no tienes ni puta idea de lo que hablas y además vas de listo y borde.

¿tu lees o te limitas a incendiar los hilos?

a ver REPITO:

TODAS LAS GRANDES EMPRESAS QUE MANEJAS PASTA USAN SERVIDORES PROPIOS PARA SU CORE DE NEGOCIO, Y CASI SIEMPRE POR NO DECIR SIEMPRE EN CPDs PROPIOS

¿a que viene esa pregunta fuera de tema, cuando sabes que no hay nada de transparencia en ese aspecto?

Eso no es nada, lo único que aporta valor es:

 "Almacenamiento de datos cifrados"  que es una opción y no sabemos si se está usando
"Certificación como proveedor de servcios PCI-DSS" aunque esto no implica que bitstamp los use y añada todas las medidas de seguridad añadidas que se requieren.
"Autenticación multifactor (MFA)" pero esto es para el acceso de administración que es compartido con todos los demás usuarios de Amazon

¿Leíste este párrafo?
"Usted compila sistemas encima de la infraestructura de la nube de AWS. Por este motivo, las responsabilidades de seguridad son compartidas; AWS protege la infraestructura subyacente, pero usted tiene que proteger todo lo que ponga en esa infraestructura"

vamos que te dan cierta confianza a nivel de acceso a la instancia, pero nada más.


¿Tu no entiendes la diferencia entre tu trabajador y una empresa externa? no comprendes que el primer requisito que impondrás a tu trabajador es el control del acceso físico y  las acciones de tu trabajador así como la separación de la función de responsable de seguridad para que  le supervise, uno de los principios de seguridad es la rotación de funciones (puesto), la prohibición de contratación de familiares, la obligación de vacaciones en periodos completos, etc. así como la imposibilidad de acciones críticas por una sola persona o clave. Ahora intenta firmar un contrato con amazon para que haga lo mismo y te compense en caso de incumplimiento y te garantizo que no lo conseguirás ni con empresa mucho más grandes que bitstamp, simplemente por que la seguridad no es el negocio de Amazon, si no la escalabilidad y pago por uso y por tanto sus sistemas, personal y procedimientos están diseñados para ello. Date cuenta que estas poniendo una plataforma con un valor de decenas de millones de dolares gestionada por una empresa diseñada para no albergar más de unos pocos de miles de euros en sus sistemas

Y por favor deja TU de inventar, por que visto lo visto,  te garantizo que llevo muchos más proyectos y experiencia en seguridad TIC que tu a las espaldas.


No, no, no security through obscurity es un concepto que se ha demostrado como un grave riesgo para la seguridad, si no se puede auditar un sistema, aplicación, algoritmo, existen muchas más posibilidades de que contengan fallos de seguridad y puedan estar siendo explotados sin su conocimiento.

+1


Si el problema que las medidas ofrecidas para calmar a los clientes de bitstamp, son contraproducentes, sería mejor haber dicho que han mejorado la seguridad, que se han gastado X y que están realizando un detallado análisis sin precisar pero lo que han echo demuestra que no conocen la problemática ni se han asesorado.


Por mi como si lo firman a mano, mientras no GENERE YO 2 de las claves y me requieran la firma local para hacer cualquier transacción, como si contrat a kevin mitnick para que les robe, eso es puro humo.


Otra estupidez, un forense comienza haciendo una imagen del almacenamiento y en ocasiones la memoria, después se generan los hashes de esas imágenes para demostrar que no se han alterado,  manteniendo en este proceso lo que se denomina una cadena de custodia, para garantizar en un juicio que no se ha modificado, si tienes más discos se suelen guardar pro el rollete de tener algo físico que enseñarle al juez, si no se puede reinstalar en esos mismos disco, el forense siempre es sobre imágenes de solo lectura.







NO, No, No, Se dirigen no es están, más que nada por que tienen que cumplir con algunos estándares que son como difíciles de encajar en entrono cloud, por ejemplo PCI

Si sigues buscando veras que en España solo hay un caso, el de BBVA que migro el correo a google (nada que ver con los sistemas transaccionales) en el sector se sabe que la explicación está en una de las hijas de Francisco González ( http://www.ausbanc.com/seccion/confidencial/2013/201304/20130412Google_BBVA.html ) lo que si es cierto, es que la banca tiene grandes problemas para implatar sistemas con flexibilidad y el poder incluir el uso del cloud con seguridad es una gran ventaja competitiva, pero a día de hoy solo es I+D y muchos dolores de cabeza.

Por otra parte la seguridad no se compra es un proceso de dia a día, el meter una máquina en Amazon, no te da ninguna seguridad que tu no tuvieras en tus propios sistemas, salvo una ligerar seguridad física si tienes tus servidores en un triste oficina, en ese caso la recomendación es un provedor de housing "de calidad empresarial" que te ponga tu propio rack, cerrado e  incluso precintado y vigiliado con camaras. pero la retaila de servicios de Amazon es de lo normalito del mercado, y te garantizo que el valor no esta en los productos si  no en el diseño y saber hacer bien las cosas y usar las herramientas adecuadas.

Aqui andan hablando sobre la migracion a la nube:

http://www.reddit.com/r/Bitcoin/comments/2ryps7/the_risk_of_not_owning_your_hardware_hint_bitstamp/

En cuanto a AWS es un acierto, porque dudo que Bistamp por su cuenta logre llegar al nivel de AWS. AWS es usado por instituciones bancarias a día de hoy: http://www.forbes.com/sites/tomgroenfeldt/2014/06/26/some-banks-are-heading-to-the-cloud-more-are-planning-to/

El sistema multifirmas lo gestiona Bitgo. Los detalles es lo que se desconoce.

Tienen backups de todo y están investigando cómo les robaron los 19k. Cito textualmente: "By redeploying our system from a secure backup onto entirely new hardware, we were able to preserve the evidence for a full forensic investigation of the crime."

Yo soy de los que duda bastante de la cuajada que nos metio ayer bitstamp, que si bien parecio muy buena, con cada hora que pasa parece peor.

Tema multifirma, se sabe quien lo gestiona?
Alguna explicacion real de que coño les ha pasado exactamente y como les han robado 19k de esta forma?

------------------

En cuanto a mejoras reales de las que todos salgamos beneficioados:

-¿Tenemos algun indicio de que han portado los bots de Karpeles a Bitstamp? IMO seria un to the moon en toda regla, acabaria con los problemas de entrada de fiat y daria la seguridadd que se merece al bitcoin llevandolo de nuevo a ATM   

dime de qué presumes y te diré de qué careces 

Es que el mero hecho en si mismo no comprendo que lo utilices... es como si utilizo al unicornio blanco como ejemplo de mamifero. Y no digo que lo estes sugieriendo digo que "como vas a hacerlo¡?"

Pues se anuncia como mejora porque Bitstamp es una empresa, y aunque sea algo importante, el marketing tambien lo es. Si conoces algo sobre gestion de empresas sabras que el autobombo sobre aquello que se hace o se cambia para darse a conocer/seguir en la brecha/ganar posiciones es una constante. No es nuevo de Bitstamp, es una generalidad en cualquier empresa de cualquier sector que elijas al azar.