RITA

 

Afbeelding via Pixabay

Onlangs kwam RITA in mijn leven. Ze kwam zomaar binnenfladderen tijdens een risicoanalyse, en geboeid luisterde ik naar wat een collega over haar te vertellen had (dankjewel Henk!). Later ging ik haar googelen en ik raakte onder de indruk van haar innemende persoonlijkheid. Haar beeltenis is wat minder flatteus, maar ik beoordeel RITA toch liever op haar karakter dan op haar uiterlijk.

RITA is een acroniem dat staat voor Reliable Internetwork Troubleshooting Agent. Het is een 1-april-grap uit 1998, in de vorm van een RFC. Die afkorting staat voor Request for Comments. Een RFC is dus letterlijk een verzoek om ergens commentaar op te leveren. Dat ‘ergens’, dat zijn protocollen en andere documenten die de werking van het internet beschrijven. Uiteindelijk wordt een RFC een standaard, maar gek genoeg blijkt hij dan RFC heten.

RFC 2321 beschrijft “het gebruik van non-deterministische probleemoplossing en diagnostische methodologieën voor toepassing op de hedendaagse complexe non-deterministische netwerken en omgevingen”. Het moeilijke woord, dat twee keer in de vorige zin staat, betekent dat de uitkomsten variabel zijn, zelfs als de omstandigheden gelijk zijn. De onder leken gangbare aanname, dat computers in identieke situaties – met name met identieke input – steeds dezelfde output opleveren, heb ik helemaal aan het begin van mijn carrière al terzijde gelegd. Ik was destijds verantwoordelijk voor de COBOL-programmatuur die de nachtelijke verwerking van loonbelastinggegevens verzorgde. Op een avond belde een operator (dag Oscar!) me op omdat de verwerking was vastgelopen. Ik zei hem de verwerking gewoon opnieuw op te starten. Nooit meer iets over gehoord.

RITA is van een charmante eenvoud, en de manier waarop zij haar diagnose stelt, al evenzeer. Bovendien is de uitkomst gemakkelijk te begrijpen, want die is binair: het is goed of fout, er is geen tussenweg. Het primaire inzetgebied van RITA is hardware en software, maar ik denk dat RITA ook in talloze andere omgevingen, zelfs buiten de ICT, succesvol kan worden ingezet. 

RITA is een rubberen kip met een lengte van 51,25 cm en haar werking is kinderlijk eenvoudig. Je legt haar op het te analyseren apparaat of, in het geval van software, op een nog verpakt exemplaar van de software, of desnoods op een printje van de broncode (die oude COBOL-programmatuur van mij was met gemak een decimeter dik). En nu komt de clou: als RITA wegvliegt, dan is het te analyseren object foutloos. Blijft RITA daarentegen liggen, dan is er iets mis. Je begrijpt het al: rubberen kippen vliegen niet, tenzij ze gegooid worden.

Moraal van het verhaal: hardware en software bevatten altijd fouten, want ze zijn ontzettend complex. En, voeg ik daar altijd aan toe, een deel van die fouten heeft negatieve gevolgen op de beveiliging van het object, en mogelijk ook op de beveiliging van de wijde omgeving waarin het actief is (een gehackte babyfoon is niet alleen vervelend omdat de hacker in jouw huis kan kijken, maar ook omdat het apparaat kan worden misbruikt in een DDoS-aanval op een organisatie aan de andere kant van de wereld).

In onze risicoanalyses komt altijd de vraag langs hoe kwetsbaar een bepaald object is voor fouten in software, uitgesplitst naar zelfbouw en ingekochte programmatuur. Kwetsbaarheid wordt bepaald door de maatregelen die je hebt getroffen om een dreiging het hoofd te bieden. Steevast wordt het toepassen van het OTAP-model als maatregel genoemd: het ontwikkelen, testen, accepteren en ten slotte in productie draaien van de software vindt plaats op van elkaar gescheiden omgevingen, waarbij het de bedoeling is dat een fout in één van deze stappen aan het licht komt. Middels attack & penetration testing wordt vaak nog onderzocht of een aanvaller zich toegang tot het object kan verschaffen. En met vulnerability scanning wordt regelmatig nagegaan of een product bekende kwetsbaarheden bevat. Wat na al dit goede werk overblijft, zijn de fouten die tóch nog over het hoofd zijn gezien. En geloof me: RITA zal nooit het luchtruim kiezen. De vraag is alleen wie een risicovolle fout als eerste ontdekt: een boef of een integer iemand.

 

En in de grote boze buitenwereld …

• is laksheid een factor waar weinigen rekening mee houden.
• beschermt Signal je privacy nu nog beter.
• zuigt de cloud de overheid naar binnen.
• voorziet dit Amerikaanse krantenartikel een positief effect op de VS van een uitspraak van het Europese Hof voor de rechten van de mens.
• valt er aan de top van de Luftwaffe nog wat te winnen op het gebied van beveiligingsbewustzijn.
• neigt de Amerikaanse regering naar het verbieden van het betalen van losgeld na een ransomware-aanval.
• houden de problemen bij Ivanti ook de NSA bezig.
• geeft de NSA ook tips over veiligheid in de cloud.
• komt de biervoorziening voorlopig niet in gevaar.
• rijdt de man in the middle zo weg in jouw Tesla.
• zit de tegenstander soms in je eigen organisatie.
• staan veel Nederlandse paspoorten te koop op het dark web.