Segurtasun-adabaki bat zer den ulertzeko, lehenik eta behin segurtasun-buletinaren kontzeptua azaltzen hasi behar da.
Segurtasun-buletina denbora-tarte jakin batean software jakin batentzat aurkitutako kalteberatasunen bilduma da; normalean, segurtasun-buletinak argitaratzen dituzten enpresek hilero argitaratzen dituzte. Segurtasun-buletinaren barruan, kalteberatasunei zenbakizko larritasun-maila aplikatzen zaie, larritasunaren eta arriskuaren arabera, CVSS deritzona.
Segurtasun-adabakiak ere hilekoak izan daitezke, eta aipatutako segurtasun-buletinetan oinarritzen dira. Beraz, ez dira eguneraketa handi eta astunak, baizik eta denbora-tarte jakin batean aurkitu diren segurtasun-arazoak konpontzen dituzten eguneraketa metagarri eta arinak.
Larritzat edo kritikotzat katalogatutako kalteberatasun bat aurkitzen denean, ez da hurrengo eguneraketa metagarriaren zain egongo, baizik eta segurtasun-adabaki bat aterako da ahalik eta lasterren. Hori gertatu zen CVE-2021-34527 kalteberatasun kritikoarekin, 2021eko uztailaren 1ean detektatutako “Print Nightmare” izenaz ezagunagoa dena, eta bost egun geroago jaso zuen segurtasun-adabaki bat. Kalteberatasun horrek erasotzaile bati aukera ematen dio Windows 7n eta bertsio berriagoetan kodea urrunetik exekutatzeko.
Segurtasun-adabakiek eskaintzen dizkiguten hainbat onura nagusi daude:
- Softwareak ez dira seguruak izaten, eta konpainiako arlo jakin batzuetan egiten diren akatsak izaten dituzte. Anomalia horiek aukera emango lukete eragile gaiztoen erasorako.
- Zuloak aurkitzearen eta adabaki bat sortzearen artean denborarik ez dagoenez, eragile gaiztoak ez du nahikoa denbora kalteberatasunerako exploit bat sortzeko, eta, beraz, adabakiak ezinbestekoak dira.
- Hornitzaile batek jada software-euskarririk ematen ez duenean, horrek esan nahi du jada ez duela adabakirik prest utziko aurkitutako kalteberatasunetarako. Software hori erabiltzeari uztea komeni da; izan ere, exploitak ohikoagoak izango dira eta horrek erasotzaileak erakarriko ditu.
- Enpresa-segurtasuneko politikak behar bezala aplikatzea; adibide xume bat antibirus zaharkitu bat erabiltzea da, birusen kontrako programa eguneratuta ez dagoenean nahiko alferrikakoa baita. Ezin dira bildu azken eguneraketaz geroztik aurkitzen diren mehatxu berriak. Adabakiak aplikatzeak esan nahi du egin beharko litzatekeen guztia biltegiratuko litzatekeela.
Aurrezkia. Zenbat kostako da segurtasun-kalteberatasuna gorabeheraren ondoren sistemak administratzeko moduari buruz ezarritako planik ez badago. Segurtasun-adabakiak honela sailka daitezke:
- Artxibo bitarretarako adabakiak: Askotan, adabaki bat programa bateko fitxategi exekutagarria eguneratzean datza. Kasu honetan, artxibo bitarra aldatu egiten da aldaketak gehitzeko edo erabat ordeztu ahal izateko.
- Iturburu-kodearen adabakiak: Adabaki batek testu-fitxategi bat izaten du, kasuan kasuko programaren iturburu-kodean egin beharreko aldaketak deskribatzen dituena. Software Librearen esparruan gehien hedatu den metodologia da.
