Language:
SEARCH
  • Onlangse bydraes

  • Kategorieë

  • Argiewe

Sekuriteit

Wat is IAM?

Vrydag, Mei 9th, 2014

`n Tydjie gelede is `n interne oudit met die fokus op IT administratiewe stelsels, spesifiek Menslike Hulpbronnebestuur en Studente-administrasie, uitgevoer. Die doel van die oudit was om vas te stel of die universiteit se beleid oor administratiewe stelselgebruikers voldoen aan voorgeskrewe beste praktyke en of voldoende prosesse in plek is om regte te bestuur. 

Daar is bevind dat `n behoefte bestaan vir `n formele  Identiteit- en toegangsbestuurbeleid (IAM), beter gereguleerde prosesse en een sentrale bron waaruit identiteite (sien definisies onder) bestuur moet word. 

Die huidige praktyk reik veelvuldige eletroniese identiteite uit vir toegang tot administratiewe stelsels en doen dit per besigheidstoepassing of per individu geassosieer met die universiteit. Hierdie proses kan maklik blootgestel word aan die misbruik van elektroniese identiteite en informasie – `n hoë risiko vir `n akademiese instansie.

Die ouditbevindinge is in ag geneem en op grond daarvan is `n oorkoepelende Identiteit- en toegangsbestuurprojek (IAM Projek) geloods om bestaande en potensiële risikos rondom stelsel- en brontoegang (byvoorbeeld die Biblioteek) aan te spreek. 

In `n poging om beter kontrole te handhaaf wanneer identiteite geskep word, sal die volgende drie stelsels die enigste erkende stelsels wees waarop identiteit en elektroniese identiteit geskep kan word.

  1. Studente-administrasie – Registrasie van studente, insluitende Kortkursusregistrasies
  2. Menslike Hulpbronne – Alle US-personeel wat wetlik oor rapporteer moet word of op die Universiteit se salarisrol is.
  3.  SUNid –  Gebruik vir enige persoon wat geaffilieerd is met die US, maar nie geklassifiseer kan word as student of personeel nie. Die huidige klassifikasie is die van eksterne werker of besoeker.*

IAM poog om 95% van die ouditbevindinge aan te spreek deur `n sentrale stelsel te vestig waarvandaan een elektroniese identiteit uitgereik kan. Dit sal uitgereik word deur middel van `n outomatiese proses met `n volledige oudit van wie toegang to watter stelsel het en die aansoek goedgekeur het.

 Een van die doelwitte van hierdie projek sal `n formele definisie wees van rolle (byvoorbeeld Salarisrolklerk), onttrek uit stelselfunksie bestuurspatrone om rolgebaseerde toegangsversoekbestuur toe te pas.

`n Elektroniese Validasie Reglement is reeds goedgekeur en kan hier besigtig word.

Die IAM-projek word deurlopend ontwikkel en verbeter. Dis meer as net ‘n proses om stelsels in plek te sit, maar vereis ook begrip vir die Universiteit se organisatoriese werkverrigting en prosesse om te verseker dat stelsels produktiwiteit sal verhoog en optimaal kan funksioneer.

Om jou op hoogte te hou van toekomstige IAM-projekte sal ons ook voortaan `n reeks artikels bied. Ons volgende een fokus op AIS.

 * Indien SUNid steeds vir jou Grieks is, kyk gerus op ons wiki vir `n uiteensetting of lees ons vorige blog-artikelIndien jy `n meer praktiese aanslag verkies, sal ons binnekort `n paar informele sessies aanbied waar jy stap-vir-stap daardeur geneem sal word en ook die geleentheid sal kry om al jou vrae te vra. Stuur asseblief e-pos aan Petro Uys by puys@sun.ac.za indien jy belangstel om `n sessie by te woon. 

 


Definitions

    Identity – the capturing of all personal information and creating a unique 8 digit Stellenbosch university number also commonly referred to as student number, staff number, ut_number, su_number.
    Electronic Identity – refers to username and password associated to an identity record 

 

Heartbleed saai verwoesting

Vrydag, Mei 9th, 2014

Jy moet weet `n rekenaarswakplek is ernstig as dit al in die Huisgenoot gedraai het en dis presies wat laasweek met die Heartbleed gebeur het.

Die berugte swakplek het verlede maand sy opwagting gemaak en verwoesting gesaai op verskeie populêre webwerwe. Jy het waarskynlik teen die tyd  ook `n e-pos ontvang wat jou vriendelik versoek het om jou wagwoord te gaan verander op sommige webwerwe.

Heartbleed dui op `n swakplek in sekuriteit in OpenSSL sagteware wat `n kuberkraker toegang gee tot databedieners se geheue. Volgens Netcraft, `n maatskappy wat spesialiseer in internetnavorsing, is 5000 webwerwe moontlik besmet daardeur. 

Anders as virusse wat deur middel van e-pos op jou rekenaar beland, het Heartbleed swakplekke in kode op webbedieners aangeval. Dit beteken dat `n gebruiker van die webwerf wat aangeval is, se data – gebruikersnaam, wagwoorde en kredietkaartdetails, die risiko loop om onderskep te word. Jou inligting kan dus sonder moeite bekom word en kuberkrakers kan toegang kry tot jou rekening.

Dit beteken ook dat kuberkrakers toegang kan kry tot die bedieners se digitale sleutels, wat verantwoordelik is vir enkripsie en tot `n maatskappy se vertroulike, interne dokumente.

Volgens Vocativ, is die naam Heartbleed gekies deur Ossi Herrala,`n stelseladministreerder by Codenomicon. Die tegniese naam is CVE-2014-0160 en verwys na die lyn kode waarin die swakplek vervat is. Heartbleed verwys na `n verlenging in OpenSSL  genaamd heartbeat. Die protokol  word gebruik om verbindings oop te hou, selfs as data nie gestuur word tussen verbindings nie. 

Indien jy nog nie jou wagwoord verander het nie, speel liefs veilig en verander dit in elk geval. Dit bly steeds goeie praktyk om jou wagwoord gereeld te verander vir veiligheid. As jy wil weet watter webwerwe geteiken is deur Heartbleed, kan jy hier gaan kyk.

Meer gedetaileerde inligting oor Heartbleed is ook beskikbaar by:

http://www.cnet.com/news/how-to-protect-yourself-from-the-heartbleed-bug/
http://www.cnet.com/news/heartbleed-bug-what-you-need-to-know-faq/
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
http://www.vocativ.com/tech/hacking/behind-scenes-crazy-72-hours-leading-heartbleed-discovery/

BRON: www.cnet.com

 

Internet Explorer swakplek uitgewys

Donderdag, Mei 8th, 2014

Sekuriteitsmaatskappy FireEye het onlangs bekendgemaak dat alle weergawes van Internet Explorer  oor `n swakplek beskik. Sekuriteitspanne van die Amerikaanse regering het selfs gebruikers versoek om eerder `n alternatiewe webblaaier te gebruik totdat `n sekuriteitsopdatering vrygestel word. Nadat Microsoft die week die `n nuwe opdatering vrygestel het, is die gebruik van `n alternatiewe blaaier egter nie meer nodig nie.

Hierdie hoë risiko kwesbaarheid kan, indien dit misbruik word deur `n kuberkraker, aan hom dieselfde regte gee as die huidige gebruiker van die program. Die sekuriteitskending kan plaasvind indien die aanvaller `n spesiaal-geboude webwerf, ontwerp om IE se kwesbaarheid te misbruik daarstel en gebruikers oortuig om dit te gebruik.

Die aanvaller kan `n gebruiker uitlok om na inhoud op sy webwerf te kyk deur middel van `n skakel in `n e-pos, `n aanlyn boodskap of deur die aanhangsel in `n e-pos oop te maak. 

Die opdatering van Internet Explorer (weergawes 6, 7, 8. 9, 10 en 11) is krities op Windows rekenaars. Die sekuriteitsopdatering spreek die swakplek aan deur die wyse waarop IE items in sy geheue hanteer, te verander. 

Microsoft het die sekuriteitsopdaterings KB2964358 en KB2964444 vrygestel om die swakplek te voorkom. (Meer inligting oor Microsoft se opdatering kan hier gelees word.)

Kampusrekenaars met Microsoft Windows OS het die WSUS konfigurasie, dateer outomaties op en gebruikers hoef self geen verdere aksie te neem nie. Die opdatering sal afgelaai word en outomaties installeer. T

FireEye het opgemerk dat hierdie tipe aanvalle Flash gebruik en het gebruikers aangeraai om die Flash inpropprogram buite werking te stel. Maak ook altyd seker dat jou antivirus sagteware op datum is en gereeld opdateer word om aanvalle in die toekoms te vermy.

 

BRON: http://www.zdnet.com en www.microsoft.com

 

MTN waarsku teen nuwe simkaart skelmstreek

Dinsdag, April 8th, 2014

MTN in Suid-Afrika het pas sy kliënte gewaarsku dat `n nuwe simkaart skelmstreek tans die rondtes doen. Dié swendelary maak misbruik van die waarskuwing-sms’e wat MTN aan sy kliënte stuur.

Die sindikaat poog om MTN-kliënte se persoonlike bankdetails te bekom deur `n e-pos, soortgelyk aan onderstaande te stuur:

“Dear Client, We have discovered a suspected Sim swap attempt on your no. The swap will be processed within the next hour. If you did not initiate this Sim swap, please Cancel here.” 

Die “cancel”-skakel lei die gebruiker na `n webwerf waar hy/sy bankdetails moet invul. Vanselfsprekend kan kuberkriminele dan hierdie inligting gebruik om bedrog te pleeg vanaf die rekening.

MTN waarsku selfoongebruikers om nie op hierdie e-posse te reageer nie. Indien `n simkaart-omruiling sou plaasvind, sal daar nie d.m.v. e-pos gekommunikeer word nie. MTN het toegang tot die webwerf geblokkeer op sy netwerk, maar neem ook kennis van soortgelyke e-posse as jy op ander selfoonnetwerke is. 

Indien jy `n MTN-gebruiker is, rapporteer insidente by  083 123 7867.

[BRON: www.techcentral.co.za]

 

 

CAPTCHA – nuttig of blote irritasie?

Vrydag, Februarie 28th, 2014

 

CAPTCHA, of “Completely Automated Public Turing” is `n tipe reaksietoets gebruik in die rekenaaromgewing om vas te stel of die gebruiker `n persoon is. Die term omvat alle tegnologiese middele wat gebruik word om mense van rekenaars te onderskei gedurende aanlyn interaksie. 

Die hoofdoel van CAPTCHA teks is om te verhoed dat outomatiese rekenaarprosesse e-pos stelsels misbruik deur herhaaldelik wagwoorde in te tik, of om onnodige stremming of sekuriteitsprobleme te veroorsaak vir netwerkdienste.

Die algemeenste voorbeeld van CAPTCHA kan onder gesien word en behels dat die gebruiker `n reeks verwronge of kruisluik (“cross-hatched”) letters en syfers herken en tik.  Mense kan verwronge letters wat weggesteek word in `n beeld maklik herken, terwyl rekenaars dit besonder moeilik vind.  

Ongelukkig word rekenaars en algoritmes wat CAPTCHA-kodes kraak meer gesofistikeerd en gevolglik raak die CAPTCHA-kodes ook meer verbuig en moeiliker vir mense om te herken. Sekuriteitspesialiste is voortdurend opsoek na nuwe CAPTCHA tegnieke wat robot-gedrewe misbruik kan voorkom sonder om die gewone gebruiker te benadeel. 

Die term is die eerste keer in 2000 deur Luis von Ahn, Manuel Blum, Nicholas J. Hopper van die Carnegie Mellon Universiteit en John Langford van IBM gevestig. Die algemeenste CAPTCHA is die eerste keer uitgevind deurMark D. Lillibridge, Martin Abadi, Krishna Bharat en Andrei Z. Broder. Dié tipe CAPTCHA vra van die gebruiker om die letters van `n verwronge beeld, wat soms ook oorskadu word deur `n reeks letters of syfers op die skerm, weer te gee.

Omdat die toets, anders as die standaard Turing-toets wat deur `n persoon gefasiliteer word, deur `n rekenaar uitgevoer word, word daarna soms verwys as `n omgekeerde Turing-toets. 

Hierdie identifikasieproses vir gebruikers is al hewiglik gekritiseer, veral deur gestremde persone, maar ook deur ander gebruikers wat voel dat hul daaglikse take belemmer word deur verwronge woorde wat onleesbaar is, selfs vir mense met geen gestremdhede.

Lees meer oor CAPTCHA op hulle amptelik webwerf

[BRON: http://www.webopedia.com/DidYouKnow/_index.asp en www.wikipedia.org]

 

 

© 2013-2025 Disclaimer: The views and opinions expressed in this page are strictly those of the page author(s) and content contributor(s). The contents of this page have not been reviewed or approved by Stellenbosch University.