31C3 Nachlese

31.12.2014 | Kategorien: UnterwegsmitdemChaos | Link zum Post

Der 31C3 ist zu Ende und diesmal war der CCCMZ e.V. mit einem eigenen Assembly dabei. Es hat allen viel Spaß gemacht und es gab viele Gelegenheiten auch abseits der offiziellen Vorträge sich über Sicherheitsprobleme und andere Dinge auszutauschen.

Im Rahmen von einem Gespräch über Heartbleed sowie Poodle haben wir einmal überprüft, ob die Banken inzwischen(!) etwas gemacht haben. Das Ergebnis war teilweise sehr ernüchternd. Ein gutes Ergebnis konnten die meisten Sparkassen (Online Banking bei der Finanz-Informatik) sowie Volksbanken (Hosting bei Fiducia) vorweisen. Viele Banken, darunter auch einige Sparkassen, die nicht bei der Finanz-Informatik sind, wurden wegen RC4 oder Fehlen von TLSv1.2 von SSLlabs mit einem B Rating abgestraft. Die Postbank war dagegen mit einem Rating F das Schlusslicht, man hält es dort offenbar nicht einmal für nötig, etwas gegen den Poodle Angriff zu unternehmen.

Wir können nur jedem empfehlen, das Online Banking Portal seiner Bank einmal mit SSLlabs zu überprüfen. Wenn da nicht ein A Rating herauskommt, solltet Ihr Kontakt mit dem IT-Sicherheitsbeauftragten oder der Revision der Bank aufnehmen. Wenn das nicht fruchtet, dann solltet Ihr eine Vorstandsbeschwerde einreichen, ggf. mit CC an die Bafin.

Für Congress@Home war die Assembly Telefonanlage die Hotline für zum Glück nur selten aufgetretene Probleme. Das System wurde häufiger genutzt, Fragen von Besuchern zur Verschlüsselung konnten ebenfalls beantwortet werden.

Wir werden wahrscheinlich auch beim 32C2 dabei sein, Domains für ein Assemby wurden bereits reserviert.

[Update: 28.1.2015]: Inzwischen konnte sich die Postbank auf Rating C “verbessern”, das Poodle Problem ist jedoch immer noch nicht behoben worden.