¿Podrias entonces deleitar al personal con que sistemas tienen el resto de exchanges?
¿Pero tu de que vas?, si no tienes ni puta idea de lo que hablas y además vas de listo y borde.
¿tu lees o te limitas a incendiar los hilos?
a ver REPITO:
TODAS LAS GRANDES EMPRESAS QUE MANEJAS PASTA USAN SERVIDORES PROPIOS PARA SU CORE DE NEGOCIO, Y CASI SIEMPRE POR NO DECIR SIEMPRE EN CPDs PROPIOS
¿a que viene esa pregunta fuera de tema, cuando sabes que no hay nada de transparencia en ese aspecto?
Eso no es nada, lo único que aporta valor es:
"Almacenamiento de datos cifrados" que es una opción y no sabemos si se está usando
"Certificación como proveedor de servcios PCI-DSS" aunque esto no implica que bitstamp los use y añada todas las medidas de seguridad añadidas que se requieren.
"Autenticación multifactor (MFA)" pero esto es para el acceso de administración que es compartido con todos los demás usuarios de Amazon
¿Leíste este párrafo?
"Usted compila sistemas encima de la infraestructura de la nube de AWS. Por este motivo, las responsabilidades de seguridad son compartidas; AWS protege la infraestructura subyacente, pero usted tiene que proteger todo lo que ponga en esa infraestructura"
vamos que te dan cierta confianza a nivel de acceso a la instancia, pero nada más.
PD: Ya que se dice que cualquier tecnico de Amazon podria robar los backups/informacion sensible... yo me pregunto, ¿a caso no es lo mismo si el tecnico es de Bitstamp?¿no podria un propio tecnico de Bitstamp hacer lo mismo? La respuesta es que si y con los mismos motivos... pero a ver que razon inventais nuevamente.
¿Tu no entiendes la diferencia entre tu trabajador y una empresa externa? no comprendes que el primer requisito que impondrás a tu trabajador es el control del acceso físico y las acciones de tu trabajador así como la separación de la función de responsable de seguridad para que le supervise, uno de los principios de seguridad es la rotación de funciones (puesto), la prohibición de contratación de familiares, la obligación de vacaciones en periodos completos, etc. así como la imposibilidad de acciones críticas por una sola persona o clave. Ahora intenta firmar un contrato con amazon para que haga lo mismo y
te compense en caso de incumplimiento y te garantizo que no lo conseguirás ni con empresa mucho más grandes que bitstamp, simplemente por que la seguridad no es el negocio de Amazon, si no la escalabilidad y pago por uso y por tanto sus sistemas, personal y procedimientos están diseñados para ello. Date cuenta que estas poniendo una plataforma con un valor de decenas de millones de dolares gestionada por una empresa diseñada para no albergar más de unos pocos de miles de euros en sus sistemas
Y por favor deja TU de inventar, por que visto lo visto, te garantizo que llevo muchos más proyectos y experiencia en seguridad TIC que tu a las espaldas.
algo que no tenemos ni porqué saber ya que se compromete la seguridad.
No, no, no
security through obscurity es un concepto que se ha demostrado como un grave riesgo para la seguridad, si no se puede auditar un sistema, aplicación, algoritmo, existen muchas más posibilidades de que contengan fallos de seguridad y puedan estar siendo explotados sin su conocimiento.
solucionar una intrusión con una salida a la nube y un escalamiento es ridículo, o esa "mejora" no tiene nada que ver con seguridad, o el que se la inventó no tiene ni puta idea (así como aparentaron no tener ni puta idea cuando cerraron una semana por "maleabilidad").
+1
el autobombo sobre aquello que se hace o se cambia para darse a conocer/seguir en la brecha/ganar posiciones es una constante
Si el problema que las medidas ofrecidas para calmar a los clientes de bitstamp, son contraproducentes, sería mejor haber dicho que han mejorado la seguridad, que se han gastado X y que están realizando un detallado análisis sin precisar pero lo que han echo demuestra que no conocen la problemática ni se han asesorado.
El sistema multifirmas lo gestiona Bitgo. Los detalles es lo que se desconoce.
Por mi como si lo firman a mano, mientras no GENERE YO 2 de las claves y me requieran la firma local para hacer cualquier transacción, como si contrat a kevin mitnick para que les robe, eso es puro humo.
Tienen backups de todo y están investigando cómo les robaron los 19k. Cito textualmente: "By redeploying our system from a secure backup onto entirely new hardware, we were able to preserve the evidence for a full forensic investigation of the crime."
Otra estupidez, un forense comienza haciendo una imagen del almacenamiento y en ocasiones la memoria, después se generan los hashes de esas imágenes para demostrar que no se han alterado, manteniendo en este proceso lo que se denomina una cadena de custodia, para garantizar en un juicio que no se ha modificado, si tienes más discos se suelen guardar pro el rollete de tener algo físico que enseñarle al juez, si no se puede reinstalar en esos mismos disco, el forense siempre es sobre imágenes de solo lectura.
NO, No, No, Se dirigen no es están, más que nada por que tienen que cumplir con algunos estándares que son como difíciles de encajar en entrono cloud, por ejemplo PCI
Si sigues buscando veras que en España solo hay un caso, el de BBVA que migro el correo a google (nada que ver con los sistemas transaccionales) en el sector se sabe que la explicación está en una de las hijas de Francisco González (
http://www.ausbanc.com/seccion/confidencial/2013/201304/20130412Google_BBVA.html ) lo que si es cierto, es que la banca tiene grandes problemas para implatar sistemas con flexibilidad y el poder incluir el uso del cloud con seguridad es una gran ventaja competitiva, pero a día de hoy solo es I+D y muchos dolores de cabeza.
Por otra parte la seguridad no se compra es un proceso de dia a día, el meter una máquina en Amazon, no te da ninguna seguridad que tu no tuvieras en tus propios sistemas, salvo una ligerar seguridad física si tienes tus servidores en un triste oficina, en ese caso la recomendación es un provedor de housing "de calidad empresarial" que te ponga tu propio rack, cerrado e incluso precintado y vigiliado con camaras. pero la retaila de servicios de Amazon es de lo normalito del mercado, y te garantizo que el valor no esta en los productos si no en el diseño y saber hacer bien las cosas y usar las herramientas adecuadas.
