{"id":1254,"date":"2010-05-03T20:13:24","date_gmt":"2010-05-03T19:13:24","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1254-the-unknown-unknowns"},"modified":"2010-07-29T15:14:50","modified_gmt":"2010-07-29T14:14:50","slug":"the-unknown-unknowns","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1254-the-unknown-unknowns","title":{"rendered":"The Unknown Unknowns"},"content":{"rendered":"<p><a href=\"http:\/\/blog.fefe.de\">Fefe<\/a> rantet gerne mal in alle m\u00f6glichen Richtungen und meistens hat er ja recht. In einem konkreten Fall m\u00f6chte ich ihm aber widersprechen und zwar wenn es um den Sicherheitsbeauftragten von Facebook geht. Der hat <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Facebook-Lieber-Angreifer-jagen-als-Sicherheitsluecken-schliessen-978224.html\">laut Heise<\/a> in einem Interview festgehalten:<\/p>\n<ul>&#8222;Kelly gab bei Facebook die Devise aus, dass das Sammeln von Informationen \u00fcber Attacken und die dahinter stehenden Kriminellen wichtiger ist als das Stopfen s\u00e4mtlicher L\u00fccken.&#8220;<\/ul>\n<p>Daraus hat <a href=\"http:\/\/blog.fefe.de\/?ts=b539fc3f\">Fefe sich zu folgender Aussage<\/a> verstiegen:<\/p>\n<ul>&#8222;Der Polizist ist gewohnt, Verbrecher zu verfolgen. Wenn er die L\u00fccken alle fixt, dann ist er aus seiner Sicht arbeitslos. Also kann er das nicht tun. Stattdessen wird er sich zusammenrationalisieren, dass das eh nicht geht, und seine Ressourcen f\u00fcr Honeypots und \u00e4hnlichen Mumpitz ausgeben.&#8220;<\/ul>\n<p>Das ist in diesem Zusammenhang meiner Ansicht nach v\u00f6lliger Quatsch. Ich kann mir gut vorstellen, dass der Code von Facebook inzwischen so komplex ist, dass sie gar nicht mehr alles sicher programmiert kriegen. Das ist wie mit Windows. Microsoft kriegt da auch nicht alle Fehler raus, ganz im Gegenteil. Und noch schlimmer ist, mit jeder Iteration k\u00f6nnen neue Fehler und ganz neue Fehlerklassen auftreten, die bisher niemand ber\u00fccksichtigt hat. Beispielsweise durch den PHP-Compiler. <a href=\"http:\/\/www.suspekt.org\/\">Stefan Esser<\/a>, der gerade wieder den Month of PHP-Bugs ausgerufen hat, kennt sich da am besten aus. Der findet Fehler in PHP, an die vorher niemand gedacht hat. V\u00f6llig neues kreatives Zeug.<\/p>\n<p>Genau deshalb ist es extrem wichtig, dass man nicht nur Fehler schlie\u00dft sondern auch neue Fehler und Probleme erkennen kann, <em>bevor<\/em> sie echten Schaden ausl\u00f6sen. Das genau ist effizientes Risikomanagement. Ob man dazu Honeypots braucht sei dahingestellt, wichtig ist aber, den Sicherheitsvorfall m\u00f6glichst schnell zu erkennen und einzud\u00e4mmen. Mein Lieblingssatz dazu lautet: &#8222;<a href=\"http:\/\/gapingvoid.com\/2007\/11\/04\/all-control\/\">All Control Is Damage Control<\/a>&#8222;.<\/p>\n<p>Oder wie das Donald Rumsfeld mal formuliert hat:<\/p>\n<ul>&#8222;There are known knowns. These are things we know that we know. There<br \/>\nare known unknowns. That is to say, there are things that we know we<br \/>\ndon&#8217;t know. But there are also unknown unknowns. There are things we<br \/>\ndon&#8217;t know we don&#8217;t know.&#8220;<\/ul>\n<p>Und auf die m\u00fcssen wir auch achten, nicht nur auf die L\u00fccken!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Fefe rantet gerne mal in alle m\u00f6glichen Richtungen und meistens hat er ja recht. In einem konkreten Fall m\u00f6chte ich ihm aber widersprechen und zwar wenn es um den Sicherheitsbeauftragten von Facebook geht. Der hat laut Heise in einem Interview festgehalten: &#8222;Kelly gab bei Facebook die Devise aus, dass das Sammeln von Informationen \u00fcber Attacken [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[4,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1254"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1254"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1254\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}