Gidak, ikerkuntzak eta informeak

Erakunde eta enpresetako zibersegurtasunari buruzko erreferentziaesparrua

BCSC-k kudeaketa aurreratuko eredua interpretatzeko gida bat garatu du, zibersegurtasunaren ikuspegia errazago aplikatzeko. Gida honen bidez, lortu nahi da erakundeek ikuspegi hori biltzea posible duten kudeaketa-esparru guztiak identifikatzea eta haien aplikazioa erraztea. Honako gida hau prestatzeko, ereduaren ekintza- eta emaitza-eskemari jarraitu zaio, baita hainbat esparru eta metodologiatan sorturiko beste zenbait jardunbide egokiri ere.

Zibersegurtasunaren Liburu Zuriaren 2. edizioa

Euskadiko zibersegurtasunaren sektorea heterogeneoa da eta tamaina desberdinetako eragileak dauden haren barruan, bai multinazional handiak bai enpresa txiki eta ertainak. Euskadiko zibersegurtasunaren Liburu Zuriak merkatu horren argazkia eta laburpena ematen ditu, eta bere horretan, aldiro berrikusten den katalogo bizia da. 2018an argitaratutako lehen edizioaren ondoren, BCSCk bigarren edizio bat argitaratu du, eta 153 agente katalogatu ditugu, 125 enpresa pribaturekin; horietatik 29 startup-ak dira, eta 109 enpresak eta 18 startupak, berriz, 1. edizioan.

CallStranger ahultasuna

Plug and Play (UPnP) protokolo unibertsalean "CallStranger" izeneko ahultasun bat argitaratu da, milaka milioi gailuri eragiten diena, eta ustiatu egin daiteke trafikoa helmuga arbitrarioetara bidaltzeko, sare lokaletan DoS erasoak egiteko eta informazio konfidentziala iragaztea lortzeko.

Ripple20 Ahultasunak

Mundu osoko 500 fabrikatzailetik gorako milioika IoT gailuri eragiten dieten 19 "0day" kalteberatasun plazaratu dira. Ikerketen arabera, kaltetutako gailu asko etxeko kontsumorako eta industria mota askotarako dira, hala nola osasunerako, datu zentroetarako, telekomunikazioetarako, petroliorako, gaserako, energia nuklearrerako, garraiorako eta azpiegitura kritikoetarako.

SMBleed ahultasuna

Ahultasun kritiko berri bat argitaratu da, SMB (Server Message Block) protokoloari eragiten diona, eta erasotzaileei nukleoaren memoriara urrunetik iristeko aukera emango diena. Gainera, lehendik ezaguna den beste zaurgarritasun batekin (SMBGhost) batera, akatsa urruneko kode bidezko exekuzio-erasoetan ustiatu daiteke, informazioa lortzeko eta Windows sistema kalteberak erabat arriskuan jartzeko.

Strandhogg 2.0 ahultasuna

Beste zaurgarritasun bat aurkitu da Android sistema eragilean, kaltetutako gailuetan instalatutako aplikazio gehienetarako sarbidea lortzeko ustiatu daitekeena. Googlek kritika gisa sailkatuta, zaurgarritasuna "StrandHogg 2.0" izendatu dute, 2019an aurkitutako "StrandHogg" (1.0) zaurgarritasunarekin duen antzekotasunagatik.

ThunderSpy Ahultasunak

Zibersegurtasuneko ikertzaileek "ThunderSpy" izeneko zazpi ahultasun argitaratu dituzte, Thunderbolt portu bat gaituta duten gailuei eragiten dietenak.

0days iOS-en

IOSen jatorrizko posta aplikazioan bi akats kritiko aurkitu dira, iPhone eta iPad gailuei eragiten dietenak. Era berean, ahultasunak aurkitu dituzten ikertzaileek argitaratutako informazioaren arabera, akats horien ustiapen aktiboaren ebidentziak daude gutxienez duela 2 urtetik.

Starbleed Ahultasuna

Ikertzaile talde batek Xilinx FPGA (Field Programmable Gate Arrays) txipei eragiten dien kalteberatasun bat aurkitu du, "Starbleed" izenekoa. FPGAak zirkuitu integratuko plaka txikiak dira, gailuaren jabeak bere beharren arabera programatzen duen kode oso espezifikoa exekutatzeko diseinatuak.

Zoom ahultasuna

ZOOMek azken asteetan bere segurtasun arazoak ugaritu egin direla komunikatu du.Horien jatorria diseinu praktika baldarrak edo segurtasun inplementazio ahulak dira.

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa