{"id":566861,"date":"2023-04-11T08:35:43","date_gmt":"2023-04-11T08:35:43","guid":{"rendered":"https:\/\/magazineoffice.com\/nuevo-informe-de-bancarrota-muestra-que-ftx-es-una-trampa-en-ciberseguridad\/"},"modified":"2023-04-11T08:35:47","modified_gmt":"2023-04-11T08:35:47","slug":"nuevo-informe-de-bancarrota-muestra-que-ftx-es-una-trampa-en-ciberseguridad","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/nuevo-informe-de-bancarrota-muestra-que-ftx-es-una-trampa-en-ciberseguridad\/","title":{"rendered":"Nuevo informe de bancarrota muestra que FTX es una trampa en ciberseguridad"},"content":{"rendered":"


\n<\/p>\n

\n

<\/p>\n

\n
<\/p>\n
<\/picture><\/div>\n

<\/span><\/p>\n

Foto: joe raedle (im\u00e1genes falsas)<\/figcaption><\/p>\n<\/div>\n

<\/figure>\n

\n
\n
\n
\n
\n
\n
\n
\n

Empleados del Pent\u00e1gono demasiado cachondos para seguir las reglas<\/p>\n<\/div>\n

FTX, el una vez amado<\/span> intercambio criptogr\u00e1fico que cay\u00f3 en una bola de financieramente llamas en noviembre pasado, parece haber dedicado muy poco esfuerzo a proteger las vastas reservas de activos digitales de sus clientes. Tla empresa \u00faltimo informe de quiebra<\/span> revela que, adem\u00e1s de administrar sus finanzas como un mono que bebe Jim-Beam, el intercambio de criptomonedas en desgracia tambi\u00e9n ten\u00eda algunas de las peores pr\u00e1cticas de ciberseguridad imaginables.<\/p>\n

Por supuesto, sabemos que FTX apestaba en cibern\u00e9tica desde al menos noviembre pasado cuando, menos de 24 horas despu\u00e9s de que la compa\u00f1\u00eda se declarara en bancarrota del Cap\u00edtulo 11 y su ex CEO, Sam Bankman-Fried, alias SBF dimiti\u00f3, la empresa sufri\u00f3 un enorme robo digital<\/span>. El ladr\u00f3n, quienquiera que haya sido, se hizo con $ 432 millones en activos, un paquete de efectivo digital que a\u00fan no se ha contabilizado, al igual que mucho m\u00e1s<\/span> del dinero de los clientes de FTX.<\/p>\n

En ese momento, el incidente de la pirater\u00eda parec\u00eda solo una mala noticia adem\u00e1s de un helado de mierda ya \u00e9pico, pero ahora tenemos un poco m\u00e1s de contexto para el episodio. El informe del lunes, que repasa extensamente la empresa falta de poner protecciones digitales b\u00e1sicas implementadases una obra maestra c\u00f3mica que te har\u00e1 preguntarte c\u00f3mo la compa\u00f1\u00eda no fue pirateada antes.<\/p>\n

\n
\n

G\/O Media puede recibir una comisi\u00f3n<\/p>\n

\n
\n
\"2021<\/picture><\/div>\n
\n

Ahorre $ 400<\/p>\n

MacBook Pro 2021 de 14″ y 1 TB<\/p>\n<\/div>\n<\/div>\n

\n

Los MacBook Pro son el camino a seguir<\/strong>
La CPU de hasta 10 n\u00facleos ofrece un rendimiento hasta 3,7 veces m\u00e1s r\u00e1pido para volar a trav\u00e9s de flujos de trabajo profesionales m\u00e1s r\u00e1pido que nunca. GPU de hasta 32 n\u00facleos con un rendimiento hasta 13 veces m\u00e1s r\u00e1pido para aplicaciones y juegos con uso intensivo de gr\u00e1ficos<\/span><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\u201cFTX Group no implement\u00f3 controles de seguridad b\u00e1sicos y ampliamente aceptados para proteger los criptoactivos. Cada falla fue atroz en el contexto de un negocio encargado de las transacciones de los clientes\u201d, la presentaci\u00f3n estados Estas son algunas de las conclusiones sobre esos fracasos. <\/p>\n

FTX no ten\u00eda personal de ciberseguridad<\/strong><\/h3>\n

A pesar de ser una empresa encargada de proteger decenas de miles de millones de d\u00f3lares en criptoactivos, FTX no ten\u00eda personal dedicado a la ciberseguridad, seg\u00fan la presentaci\u00f3n del lunes.. Ninguno. TLa compa\u00f1\u00eda nunca se molest\u00f3 en contratar a un CISO<\/span> (un director de seguridad de la informaci\u00f3n) para gestionar los riesgos de la empresa por ellos. En cambio, confiaron en dos de los desarrolladores de software de la empresa quienes, seg\u00fan se\u00f1ala el informe, no ten\u00edan capacitaci\u00f3n formal en seguridad y cuyos trabajos los ponen en desacuerdo con la prioridad de la seguridad. El informe dice: <\/p>\n

\n

El Grupo FTX no ten\u00eda un director de seguridad de la informaci\u00f3n independiente, ning\u00fan empleado con la capacitaci\u00f3n o la experiencia adecuadas encargados de cumplir con las responsabilidades de tal funci\u00f3n, y ning\u00fan proceso establecido para evaluar el riesgo cibern\u00e9tico, implementar controles de seguridad o responder a incidentes cibern\u00e9ticos en tiempo real. ..al igual que con los controles cr\u00edticos en otras \u00e1reas, FTX Group quit\u00f3 importancia e ignor\u00f3 los controles de seguridad cibern\u00e9tica, un hecho notable dado que, en esencia, todo el negocio de FTX Group (sus activos, infraestructura y propiedad intelectual) consist\u00eda en tecnolog\u00eda y c\u00f3digo inform\u00e1tico. .<\/p>\n<\/blockquote>\n

Por supuesto, muchas empresas de tecnolog\u00eda sufren de escasez de personal<\/span> cuando se trata de seguridad cibern\u00e9tica, pero eso solo es excusable si eres un unicornio o una startup y no tienes la mano de obra o el capital para contratar personas competentes. En los d\u00edas previos a su implosi\u00f3n, FTX fue reportado<\/span> tener un valor de hasta $ 32 mil millones. Baste decir que creo que podr\u00edan haber contratado a un tipo. <\/p>\n

FTX pr\u00e1cticamente nunca us\u00f3 almacenamiento en fr\u00edo, el est\u00e1ndar de la industria<\/h3>\n

Otra cosa realmente tonta que hizo FTX fue no mantener los activos criptogr\u00e1ficos de sus usuarios en almacenamiento en fr\u00edo, una pr\u00e1ctica de seguridad est\u00e1ndar que la mayor\u00eda de los intercambios de criptomonedas afirman cumplir. <\/p>\n

En general, los criptoactivos se pueden almacenar de dos formas distintas: \u201ccarteras calientes<\/span>\u201d, que son cuentas basadas en software conectadas a Internet; y \u00abalmacenamiento en frio<\/span>\u201d, que es una forma de almacenamiento fuera de l\u00ednea basada en hardware. El almacenamiento en fr\u00edo se considera seguro, mientras que las \u00abcarteras calientes\u00bb son m\u00e1s riesgosas porque, al estar vinculadas a la web, pueden (y a menudo lo hacen) ser hackeado<\/span>. <\/p>\n

La sabidur\u00eda com\u00fan sugiere que las empresas mantengan tantos criptos en monederos calientes como sea necesario para mantener las cuentas l\u00edquidas, mientras que el resto de los criptos deben mantenerse en almacenamiento en fr\u00edo. Sin embargo, FTX no hizo eso; en cambio, el informe dice que mantuvo \u00abpr\u00e1cticamente todos\u00bb los activos de sus clientes en billeteras calientes.<\/p>\n

\u00bfFTX no sab\u00eda que el almacenamiento en fr\u00edo era m\u00e1s seguro o algo as\u00ed? No, peor que ser demasiado est\u00fapido para implementar los controles adecuados, el liderazgo del intercambio parece no haberle importado mucho.<\/p>\n

\u00abEl Grupo FTX, sin duda, reconoci\u00f3 c\u00f3mo deber\u00eda operar un criptointercambio prudente, porque cuando terceros le pidieron que describiera hasta qu\u00e9 punto utilizaba el almacenamiento en fr\u00edo, minti\u00f3\u00bb, afirma el informe, que enumera una serie de ejemplos en los que los ejecutivos de FTX: incluido SBF, afirmaron que mantuvieron los activos de los usuarios en almacenamiento en fr\u00edo. En un caso, la compa\u00f1\u00eda les dijo a los inversionistas que, de acuerdo con las mejores pr\u00e1cticas de la industria, mantuvo una peque\u00f1a cantidad de criptomonedas en billeteras activas, mientras que el resto estaba \u00abalmacenado fuera de l\u00ednea en computadoras port\u00e1tiles encriptadas con espacio de aire, que est\u00e1n distribuidas geogr\u00e1ficamente\u00bb. Pero esto fue, seg\u00fan el informe, solo una mierda.<\/p>\n

En cambio, como se\u00f1ala el informe, \u00abel Grupo FTX hizo poco uso del almacenamiento en fr\u00edo\u00bb excepto en Jap\u00f3n, \u00abdonde [it was] requerido por la regulaci\u00f3n para usarlo\u201d. <\/p>\n

criptogr\u00e1fico privado Las claves se dejaron sin cifrar<\/h3>\n

Otra cosa totalmente idiota que hicieron los p\u00edos de FTX fue mantener las claves criptogr\u00e1ficas confidenciales de los clientes y las frases iniciales almacenadas en documentos de texto sin formato a los que aparentemente pod\u00eda acceder el personal. <\/p>\n

En criptograf\u00eda, la frase clave o semilla es la contrase\u00f1a que lo ingresa a la billetera individual de un usuario. Baste decir que los est\u00e1ndares de la industria obligan a los intercambios criptogr\u00e1ficos a mantener esa informaci\u00f3n encriptada y, por lo tanto, a salvo de miradas indiscretas. No fue as\u00ed con FTX, que aparentemente mantuvo claves que pod\u00edan abrir billeteras por valor de decenas de millones de d\u00f3lares sin cifrar, en texto sin formato, simplemente tiradas en AWS. <\/p>\n

Seg\u00fan el informe, esto formaba parte de un enfoque generalmente desorganizado de la seguridad, en el que \u00ablas claves privadas y las frases iniciales utilizadas por FTX.com, FTX.US y Alameda se almacenaban en varios lugares del entorno inform\u00e1tico de FTX Group en de manera desordenada, utilizando una variedad de m\u00e9todos inseguros y sin ning\u00fan procedimiento uniforme o documentado\u201d.<\/p>\n

La pandilla FTX realmente no us\u00f3 la autenticaci\u00f3n de m\u00faltiples factores<\/h3>\n

SBF y su alegre banda de hipsters aparentemente tambi\u00e9n \u00abfracasaron en hacer cumplir de manera efectiva el uso\u00bb de la autenticaci\u00f3n multifactor (MFA)\u2014una forma muy b\u00e1sica de seguridad web que casi todos los que trabajan en una oficina conocen. El informe publicado recientemente establece que el liderazgo del intercambio de cifrado \u00abno implement\u00f3 de manera adecuada incluso los controles m\u00e1s ampliamente aceptados relacionados con la gesti\u00f3n de identidad y acceso (\u00abIAM\u00bb)\u00bb. Esto inclu\u00eda la falta de uso de MFA, as\u00ed como de los servicios de inicio de sesi\u00f3n \u00fanico, que tambi\u00e9n se considera ampliamente como una mejor pr\u00e1ctica de la industria.<\/p>\n

\u00a1Y mucho, mucho m\u00e1s!<\/h3>\n

TAqu\u00ed hay muchas otras joyas hilarantes de negligencia de seguridad que FTX parece haber cometido, por lo que sugiero leer el reporte completo<\/span> si quieres que tu mand\u00edbula caiga al suelo. <\/p>\n<\/div>\n


\n
Source link-45<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Foto: joe raedle (im\u00e1genes falsas) Empleados del Pent\u00e1gono demasiado cachondos para seguir las reglas FTX, el una vez amado intercambio criptogr\u00e1fico que cay\u00f3 en una bola de financieramente llamas en…<\/p>\n","protected":false},"author":1,"featured_media":566862,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123],"tags":[9831,6878,19623,4703,739,104,541,73],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/566861"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=566861"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/566861\/revisions"}],"predecessor-version":[{"id":566863,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/566861\/revisions\/566863"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/566862"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=566861"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=566861"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=566861"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}