Bitstamp comprometido por reyes

[Srbotones]

¿que necesitarias tu para estar bien?

El incidente nunca habría de haber ocurrido, eso es lo mínimo que se puede pedir, lo mínimo.

De esas cosas no estan libres ni los grandes bancos tipo JPMorgan. http://www.bloomberg.com/news/2014-10-02/jpmorgan-says-data-breach-affected-76-million-households.html

Una cosa es que nos joda que pasen y otra la realidad. La realidad es que todo servicio centralizado es un foco de atencion a los hackers y lo han hecho, hacen y seguiran haciendo mientras sean centralizados.

En mi opinion personal la gestion del incidente ha sido mas que buena pero aqui ya como los culos, cada uno tiene el suyo.

Ademas vienen con mejoras:

AMAZON WEB SERVICES * Bitstamp is now running on Amazon’s world-class AWS cloud infrastructure, architected to be one of the most secure and reliable cloud computing environments available.
+
MULTI-SIG * With the integration of BitGo multi-sig technology, Bitstamp is now the first and only major bitcoin exchange to incorporate the industry's best security practices available today.

Yo no creo que tengan mala fe sinceramente.

[vgo]

Yo no creo que sea cuestión de buena o mala fe, es cuestión de perder volumen, mas del que ya habían perdido, paulatinamente y tener que echar el cierre dentro de 1-2-3.. meses si no lo desfalcan o lo roban primero.

[Srbotones]

Pero eso es cuestion de irlo viendo...yo no veo tan clara la perdida de volumen, apenas ha comenzado de nuevo el trading y el OB ya lo tienes bastante apañado, no como estaba antes logicamente pero con una reaccion a mi entender, muy rapida para tan poco tiempo.

Yo me esperaria a despues del 17, cuando se acaben las comisiones 0, para empezar a juzgar...

[ioxoi]

Una cosa es que nos joda que pasen y otra la realidad. La realidad es que todo servicio centralizado es un foco de atencion a los hackers y lo han hecho, hacen y seguiran haciendo mientras sean centralizados.

En mi opinion personal la gestion del incidente ha sido mas que buena pero aqui ya como los culos, cada uno tiene el suyo.

Ademas vienen con mejoras:

AMAZON WEB SERVICES * Bitstamp is now running on Amazon’s world-class AWS cloud infrastructure, architected to be one of the most secure and reliable cloud computing environments available.
+
MULTI-SIG * With the integration of BitGo multi-sig technology, Bitstamp is now the first and only major bitcoin exchange to incorporate the industry's best security practices available today.

Yo no creo que tengan mala fe sinceramente.

Una cosa es que te roben las contraseñas de los usuarios, otra que entren en la caja fuerte, se lleven la pasta y hagan un pintada en la puerta de la caja fuerte por dentro, a bitstamp le ha pasado esto último, estoy de acuerdo que parece que hay buena fe, que se ha querido hacer lo mejor para no perder los clientes, pero tienen que demostrar que no se va a volver a repetir, y lo siento, llevo muchos años montando sistemas de seguridad TIC y cuando quieres que algo sea seguro, las posibilidades de que entren son practicamente nulas.

por cierto, a mi lo de amazon me pone los pelos como escarpias, un entorno compartido con miles de usuarios y dependiente de un tercero que puede llegar a procesar más de 200.000 bitcoins, madrecita del amor hermoso, es como si dejara mi nomina guarda en el cajón de un officecenter por que es el mejor officecenter aunque la custodia de pasta no este en sus servicios, les había dado un voto de confianza después de esto ni de coña, vete tu a saber que otras estupideces se les ha ocurrido.

Y es cierto, no creo que sea mala fe, la estupidez es mucho más rápida.

[Srbotones]

Cuida esa bilis...vaya tela.

y quien dice que cuides la bilis dice que vuelvas a pensar lo que has dicho sobre externalizacion de servicios que tienen que ser escalables, mantenibles, asegurados y actualizados cada 2 por tres y que segun dices, es estupido.
No voy a entrar a discutir sobre ello, es absurdo, todos los clientes tenemos nuestro dinero. Si te gusta Bitstamp, quedate, sino te gusta Bitstamp, no te quedes. Sencillo.

Tu punto de vista ha quedado claro.

[ioxoi]

Cuida esa bilis...vaya tela

Anda, no voy a entrar en errores que han podido cometer pero al no existir información no pueden ni verificarse ni descartarse, solo se que se les han colado hasta la cocina y puede evitarse. pero sobre todo meter una plataforma de trading basada en bitcoin en un sistema compartido, es de no tener ni puta idea de lo que se esta haciendo, y no es mala leche, en serio, es que después de estupideces de este calibre, dais por echo que todos es hackeable, y no, no es así, por un hackeo brillante existen 1.000.000 de estupideces.

Por cierto, estas seguro de que a los empleados de amazon los pagan, forman, vigilan, separan funcionalidades y privilegios, y disponen de los conocimientos como para mover potencialmente 200.000 Bitcoins, dale 2 vueltas y veras como desaparecen los bitcoin mas temprano que tarde.

[Srbotones]

Quejarse por quejar.

Te insisto en lo mismo, sino te gusta, no te quedes... ahora, cuidado con juzgar a quien lo haga o de a donde vayas... no sea que sea peor el remedio que la enfermedad o supuesta enfermedad.

[ioxoi]

Quejarse por quejar.

excelente argumentacion y conocimientos del tema.  quizas tambien sea tema del volumen

[Srbotones]

Claro que es tema, eres incapaz de ver nada bueno ni aunque te golpee sobre como se ha llevado a cabo la situacion.

Nadie ha perdido dinero.
Se han hecho mejoras.

...Y todo es malo, en fin, yo voy a aprovechar mis 0% fees, a mas ver.

[ioxoi]

por mucha mejora que sea tu sigue esquivando la evidencia de la barbaridad de meter una plataforma de trading en un entorno cloud, gesrionado por un tercero,  compartido y mo preparado para procesar cantidades multimillonarias de bitcoins,  o dinero no rastreable.  pero tu a lo tullo.

[fernarios]

por cierto, a mi lo de amazon me pone los pelos como escarpias, un entorno compartido con miles de usuarios y dependiente de un tercero que puede llegar a procesar más de 200.000 bitcoins, madrecita del amor hermoso, es como si dejara mi nomina guarda en el cajón de un officecenter por que es el mejor officecenter aunque la custodia de pasta no este en sus servicios, les había dado un voto de confianza después de esto ni de coña, vete tu a saber que otras estupideces se les ha ocurrido.

Y es cierto, no creo que sea mala fe, la estupidez es mucho más rápida.

Esto +999999.

No entiendo cómo presentan lo de amazon como una mejora, cuando es de lo más estúpido, no pudieron asegurar un miserable computador así que optan por dejar la seguridad de todo el servicio en manos de un tercero, esto no es más que un fracaso total, y una solución muy chapuzera y estúpida, sin mencionar que todo administrador de Amazon podría acceder a todo su sistema de archivos y hacer lo que le de la gana con él. De verdad espero que ésta vez sepan lo que están haciendo... pero viendo cómo actuaron en lo de la maleabilidad, y la reciente intrusión, francamente no creo que estén bien asesorados.

[Srbotones]

por mucha mejora que sea tu sigue esquivando la evidencia de la barbaridad de meter una plataforma de trading en un entorno cloud, gesrionado por un tercero,  compartido y mo preparado para procesar cantidades multimillonarias de bitcoins,  o dinero no rastreable.  pero tu a lo tuyo.

En unos meses, unos años entonces me daras o te dare la razon... mientras tanto.... sigo a lo mio, sip. Disfrutando de Bitcoin cuando hay que hacerlo, preocupandome cuando toque... adivina de que es momento ahora

[ticoti]

esta parece la hot wallet de bitstamp   https://blockchain.info/address/36mwH1Jg3AMVsEQqVaDSe9YFBTGebaHR1A

segun lo que se puede ir viendo los users han retirado ya unos 30,000 bitcoins de bitstamp

[pinger]

por cierto, a mi lo de amazon me pone los pelos como escarpias, un entorno compartido con miles de usuarios y dependiente de un tercero que puede llegar a procesar más de 200.000 bitcoins, madrecita del amor hermoso, es como si dejara mi nomina guarda en el cajón de un officecenter por que es el mejor officecenter aunque la custodia de pasta no este en sus servicios, les había dado un voto de confianza después de esto ni de coña, vete tu a saber que otras estupideces se les ha ocurrido.

Y es cierto, no creo que sea mala fe, la estupidez es mucho más rápida.

Esto +999999.

No entiendo cómo presentan lo de amazon como una mejora, cuando es de lo más estúpido, no pudieron asegurar un miserable computador así que optan por dejar la seguridad de todo el servicio en manos de un tercero, esto no es más que un fracaso total, y una solución muy chapuzera y estúpida, sin mencionar que todo administrador de Amazon podría acceder a todo su sistema de archivos y hacer lo que le de la gana con él. De verdad espero que ésta vez sepan lo que están haciendo... pero viendo cómo actuaron en lo de la maleabilidad, y la reciente intrusión, francamente no creo que estén bien asesorados.

Desde luego seguro que era la opción más rápida para volver a estar online dejando la auditoría seguir su curso. Sobre si es más o menos seguro ... pues siempre acabas dependiendo de un tercero, ya sea el datacenter (que seguro no es propio, aunque deberían) o del servicio cloud. En cuanto a escalabilidad Amazon es el rey, ya pueden venir nuevos usuarios que en un momento te montas un par de servers nuevos.

[ioxoi]

Esta visto que no hay más ciego que el no quiere ver, pero bueno...

después no echaremos las manos a la cabeza y nos preguntaremos que a quien se le ha ocurrido semejante idea.

Por cierto, en el mercado existen multitud de proveedores de Housing/hosting con todo tipo de certificaciones de seguridad física y lógica para cubrir las necesidades más variopintas, incluyendo acuerdos de nivel de servicio, compensaciones y seguros, aún así no conozco ningún banco o aseguradora que tenga sus sistemas productivos (por los que se mueve la pasta) en un tercero por no poder asumir el riesgo de delegar el core de negocio en un tecero, pero claro, Amazon es más rápido y barato y se han informado tanto que lo venden como mejora y lo peor de todo es el efecto llamada que esto supone.

¿nadie se acuerda ya del intento de hack a localbitcoins?, consiguieron que el proveedor pusiera el servidor DEDICADO en mantenimiento, por suerte tenían este caso contemplado y todo el almacenamiento estaba cifrado, ahora ponte en el pellejo de un tecnifico de sistema de amazon con acceso a los backups, las imagenes de las máquinas, las replicas, el trafico de red, el balanceador, los certificados SSL. las incidencias,  solo me consuela que para Amazon el proyecto puede ser emblemático y lo tengan en supervisión ... durante una temporada.

No hay mayor tranquilidad que la que da la inconsciencia.

[Srbotones]

¿Podrias entonces deleitar al personal con que sistemas tienen el resto de exchanges? Ya veo que existen opiniones sobre cuan malo parece ser el nuevo sistema de Bitstamp, pero podrias por favor ponerme lo de los demas, asi comparar y realizar una evaluacion mas exhaustiva y en condiciones?

Ya simplemente por curiosidad, quizas una carta informativa a Bitstamp podria ser necesaria si TAN bueno es lo que hay ahi fuera...

Bitstamp tiene esto: http://aws.amazon.com/es/security/

¿el resto?

PD: Ya que se dice que cualquier tecnico de Amazon podria robar los backups/informacion sensible... yo me pregunto, ¿a caso no es lo mismo si el tecnico es de Bitstamp?¿no podria un propio tecnico de Bitstamp hacer lo mismo? La respuesta es que si y con los mismos motivos... pero a ver que razon inventais nuevamente.

[Danbcf]

Mi opinión personal es que ya estáis tardando si es que aun tenéis algo allí... por lo que pueda pasar.

Este consejo lo dio @vgo cuando hubo problemas con Mintpal y es lo más sensato de todo. Yo entonces no le hice caso y perdí un buen puñado de bitcoins unos días después cuando decidieron cerrar. Yo si tuviera algo allí no me lo pensaría.

[vgo]

Mi opinión personal es que ya estáis tardando si es que aun tenéis algo allí... por lo que pueda pasar.

Este consejo lo dio @vgo cuando hubo problemas con Mintpal y es lo más sensato de todo. Yo entonces no le hice caso y perdí un buen puñado de bitcoins unos días después cuando decidieron cerrar. Yo si tuviera algo allí no me lo pensaría.

Aunque a menor escala, ahí esta el tema, nueva inversión en la reapertura + perdida de volumen = al tacho. Solo será cuestión de tiempo.

[Srbotones]

Mi opinión personal es que ya estáis tardando si es que aun tenéis algo allí... por lo que pueda pasar.

Este consejo lo dio @vgo cuando hubo problemas con Mintpal y es lo más sensato de todo. Yo entonces no le hice caso y perdí un buen puñado de bitcoins unos días después cuando decidieron cerrar. Yo si tuviera algo allí no me lo pensaría.

Aunque a menor escala, ahí esta el tema, nueva inversión en la reapertura + perdida de volumen = al tacho. Solo será cuestión de tiempo.

No hace ni 24 horas que han abierto, lo normal es que mucha gente se haga una transferencia a su wallet simplemente para verificar que efectivamente estan.

No creo que aun haya pasado tiempo como para juzgar nada, ademas de ser fin de semana y los bancos cierran.

Antes de juzgar para bien o para mal...yo simplemente creo que la postura mas sensata es ser cauto. ¿Que no te fias? pues no vayas, pero tampoco lo juzgues sino es con informacion veraz de lo contrario no sera mas que FUD.

[fernarios]

En cuanto a escalabilidad Amazon es el rey

Por supuesto, para eso es que las empresas usan amazon, para escalar, claro que sí, pero ¿quién dijo que ante un problema de seguridad hay que escalar el sistema?, escalar el sistema ante una intrusión es de hecho lo más idiota que puedes hacer, si alguien se metió lo que hay que hacer es mantener las cosas sencillas, mirar la puerta que se usó, cerrar esa y otras puertas, aislar el sistema crítico, cambiar políticas de acceso, interfaces y políticas y protocolos de seguridad. Si quieres proteger un archivo lo único que tienes que hacer es AISLARLO (no ponerlo en la nube, ni poner una mayor infraestructura a su alrededor, eso es todo lo contrario).

PD: Ya que se dice que cualquier tecnico de Amazon podria robar los backups/informacion sensible... yo me pregunto, ¿a caso no es lo mismo si el tecnico es de Bitstamp?¿no podria un propio tecnico de Bitstamp hacer lo mismo? La respuesta es que si y con los mismos motivos... pero a ver que razon inventais nuevamente.

Por ejemplo, en btcchina, sólo un par de personas pueden firmar transacciones, los retiros se firman "manualmente" y el usuario debe demostrar las credenciales y la doble autenticación antes de que cada retiro sea autorizado, no hay ningún técnico de por medio, sólo un algoritmo y una persona que firma en un ambiente aislado (supongo que ese algoritmos está lo suficientemente auditado y protegido), eso es lo mínimo que se puede exigir, instaurar una sencilla política dentro de la empresa es en la mayoría de los casos lo único que hay que hacer ante un problema de seguridad, ¿por qué será que en China (btcchicna, huobi, okcoin, etc.) nunca ha habido un drama de éstos?, ¿por qué será que nunca los han "hackeado"?, ¿será que hay menos hackers en china?, o ¿será que la gente es menos estúpida o corrupta?... no estoy diciendo que lleven sus monedas a china, ni que esos sistemas sean la única respuesta, ni que sea perfecta, sólo digo que basta con instaurar una sencilla política para resolver el problema de asegurar un archivo, no hace falta darle el contról total a otra empresa con miles de empleados y cientos de técnicos corruptibles, ni mucho menos hay que escalar todo, agrandar el sistema (y además ponerlo en la nube) lo único que crea es más puntos de intrusión.