Segurtasun informatikoan, kalteberatasuna da sistema batean dagoen ahultasuna, erasotzaile batek erabil dezakeena segurtasuna arriskuan jartzeko.
Kalteberatasunak hainbat motatakoak izan daitezke: softwarea, hardwarea, prozedurazkoak edo gizakiari dagozkionak. Sistema kalteberen adibide batzuk hauek izango lirateke:
- Aplikazio eguneratu gabeak edo zaharkituak
- Zifratze-mekanismo ez-seguru bat erabiltzea
- Sarbide-kontrol eskasa
- Pasahitzak kudeatzeko politikarik eza
- Gizarte-ingeniaritzarekiko kaltebera den pertsona bat
Softwareari eragiten dioten kalteberatasunen kasuan, hauek dira mota ezagunenetako batzuk:
- SQL injekzioa
- Cross-site scripting
- Buferra gainezkatzea
- Karrera-baldintzak
- Cross-Site Request Forgery
Oro har, hainbat etapa bereizten dira software-kalteberatasun baten bizitzan. Ordena alda daiteke, edo gerta daiteke etapa guztiak ez egotea, baina hauek hartu ohi dira kontuan:
- Jaiotza: Sistema bat garatzean, akatsak gerta daitezke sistemaren diseinuan, inplementazioan edo kudeaketan. Akatsak kalteberatasuntzat jotzen dira baldin eta sistema diseinatu ez zen funtzioak egiteko erabil badaiteke, hala nola baimenik gabeko sarbidea lortzeko, pribilegioak igotzeko edo zerbitzu bat ukatzeko.
- Aurkikuntza: Etapa hau kalteberatasuna dagoela jakiten denean gertatzen da.
- Komunikazioa: Aurkitzaileak kalteberatasuna jakinarazten duenean gertatzen da, normalean sistemaren garatzaileari.
- Zuzenketa: Sistemaren garatzaileak kalteberatasuna zuzentzen du, normalean produktuaren adabaki bat edo bertsio berri bat argitaratuz.
- Argitalpena: Kalteberatasuna jendaurrean jartzen denean.
- Ustiapena: Exploit funtzional bat garatzen denean, kalteberatasun horretaz baliatzen dena sistema garatu ez zen funtzioak egiteko.
- Heriotza: Gertatzen da exploit-arekiko kalteberak diren sistemen kopurua hutsala denean
Kalteberatasunak identifikatzeko, gaur egun gehien erabiltzen den sistema CVEk (Common Vulnerabilities and Exposures) definitzen du. Sistema hau ezagutzen diren segurtasun-kalteberatasunei buruzko informazio-erregistro bat da. Erreferentzia bakoitzerako, informazioa eskaintzen du, hala nola CVE-ID identifikazio-zenbakia, kalteberatasunaren deskribapena, eragindako software-bertsioak edo hutsegitearen balizko konponbidea –halakorik badago–. Erregistro hori MITREk AEBko gobernuaren funtsekin mantentzen du, eta lotuta dago NISTen (NVD) kalteberatasunen datu-basearekin. Datu-base horretan, kalteberatasunei eta haien balorazioari buruzko xehetasun gehiago lor daitezke.
Erakunde bateko sare baten segurtasun-egoeraren analisia egiteko, kalteberatasunak kudeatzeko tresnak erabili ohi dira. Tresna horiek eta sistemek elkarri eragiten diote erasotzaile posible batek ustia ditzakeen kalteberatasun ezagunak ote dituzten aztertzeko. Tresna horiek enpresa-eremuetan erabiltzen dira, erakunde batean hedatutako sistemen segurtasun-egoeraren irudia izateko.
