Zero eguneko edo zero-day kalteberatasunak dira aurkitu berri direnak baina oraindik zuzentzen ez dituen adabaki edo eguneratzerik ez dituztenak.
Zero-day kalteberatasuna zertan datzan ondo ulertzeko, lehenik eta behin jakin behar da zer den kalteberatasun bat eta zein diren haren etapak.
Segurtasun informatikoan, kalteberatasuna da sistema batean dagoen ahultasuna, erasotzaile batek erabil dezakeena segurtasuna arriskuan jartzeko. Kalteberatasunak hainbat motatakoak izan daitezke: softwarea, hardwarea, prozedurazkoak edo gizakiari dagozkionak. Sistema kalteberen adibide batzuk hauek izango lirateke:
- Aplikazio eguneratu gabeak edo zaharkituak
- Zifratze-mekanismo ez-seguru bat erabiltzea
- Sarbide-kontrol eskasa
- Pasahitzak kudeatzeko politikarik eza
- Gizarte-ingeniaritzarekiko kaltebera den pertsona bat
Softwareari eragiten dioten kalteberatasunen kasuan, hauek dira mota ezagunenetako batzuk:
- SQL injekzioa
- Cross-site scripting
- Buferra gainezkatzea
- Karrera-baldintzak
- Cross-Site Request Forgery
Oro har, hainbat etapa bereizten dira software-kalteberatasun baten bizitzan. Ordena alda daiteke, edo gerta daiteke etapa guztiak ez egotea, baina hauek hartu ohi dira kontuan:
- Jaiotza: Sistema bat garatzean, akatsak gerta daitezke sistemaren diseinuan, inplementazioan edo kudeaketan. Akatsak kalteberatasuntzat jotzen dira baldin eta sistema diseinatu ez zen funtzioak egiteko erabil badaiteke, hala nola baimenik gabeko sarbidea lortzeko, pribilegioak igotzeko edo zerbitzu bat ukatzeko.
- Aurkikuntza: Etapa hau kalteberatasuna dagoela jakiten denean gertatzen da.
- Komunikazioa: Aurkitzaileak kalteberatasuna jakinarazten duenean gertatzen da, normalean sistemaren garatzaileari.
- Zuzenketa: Sistemaren garatzaileak kalteberatasuna zuzentzen du, normalean produktuaren adabaki bat edo bertsio berri bat argitaratuz.
- Argitalpena: Kalteberatasuna jendaurrean jartzen denean.
- Ustiapena: Exploit funtzional bat garatzen denean, kalteberatasun horretaz baliatzen dena sistema garatu ez zen funtzioak egiteko.
- Heriotza: Gertatzen da exploit-arekiko kalteberak diren sistemen kopurua hutsala denean.
Aipatu den bezala, baliteke aldagaiak egotea kalteberatasun baten bizi-zikloan. Kasu batzuetan, adibidez, sistemaren garatzaileak ez du kalteberatasuna ezagutzen, eta, beraz, ez dago adabaki erabilgarririk. Kasu horietako batzuetan, exploit-ak gara daitezke kalteberatasun horretaz baliatzeko: zero-day edo 0 egunekoak. Azken urteotan, industria garrantzitsua garatu da mota horretako ahultasunen inguruan, eta Zerodium da enpresa ezagunenetako bat. Zerodium-ek 0 eguneko kalteberatasunen eta exploit-en berri emateagatik ordaintzen du, eta milioi bat dolarreraino irits daiteke ustiatzen den sistemaren eta ustiapenak eragindako inpaktuaren arabera.
