給自己的四十歲生日禮物

2014/7/14

之前聽說 ISC2 有出一個認證 - CCFP 是講電腦鑑識，而最近我們國家有關電腦鑑識好像是一個很重要的議題，因此，我就一直有關注。

在 7/5 晚上，好像是看到 ISC2 的ㄧ些廣告信，讓我就順便看一下他相關的官方書籍訊息，結果發現，他竟然有出 CCFP 的官方書籍。當場我就想要下單，但是沒想到美國和英國的實體書要 9 月底才會出，能買得只能在 iTune 上買電子書。而且好笑的是，要到美加的 iTune 才能買，於是我申請了一個美加的帳號，但是問題來了，我沒辦法用信用卡買，要用禮物卡才行，因為我的信用卡帳單地址不是美加的。

還好我妹人在加拿大，於是我把地址填他家，然後我請他去買禮物卡然後把卡號寄給我，一波三折後，7/6 晚上我順利買到書。

不過一看嚇一跳，頁數竟然有 1950 頁左右。他的主題其實就是講 CCFP 的六大知識領域：

Domain 1: Legal and Ethical Principles
Domain 2: Investigation
Domain 3: Forensic Science
Domain 4: Digital Forensics
Domain 5: Application Forensics
Domain 6: Hybrid and Emerging Technologies

第一個 Domain 是在講說在法庭作證的原則，以及專家證人應該要做的事情和責任。另外，也提到了道德和倫理的問題。其實我看了這個 Domain 了以後，我就大概抓到我們如果要做電腦鑑識大概要做的方向。也有點欲罷不能。但是在那個時點，我正好很多事情卡在上面：
要教學生東西、國科會計畫、和國外合作寫論文、新的研究議題，產學合作 .....。另外，下學期我開新課，那門課要準備的教材也是 ITIL 全套好幾千頁的書。我覺得我不能花太多時間在上面，於是我決定一個星期把他幹掉。

我原本最佳的打算是，把考試當作是給自己的生日禮物，然後生日那天去考，然後如果有過就是錦上添花。於是我就想著去報名，但是發現只有 7/14 才能報。於是我就報 7/14 的。

說實話，這本書的教材涵蓋的範圍很廣，讓我對電腦鑑識有了一個很深的體會：

在第一個 Domain 裡面是講證據的特性，甚麼東西可以在法院裡面採用甚麼東西不行。並且介紹 Chain of Custody，就是證據的保存與有效性的一個重要考量， 並且說明鑑識人員的腳色以及專家證人應該要有的原則。裡面有提到專家證人為什麼要叫專家證人，以及評斷是否是專家證人的依據，這讓我頓時開朗，想到了其實我們如果要做電腦鑑識的研究，應該可以針對某種資料從資訊設備取出到法庭可以被呈現的過程，去提出相關的方法並且做有效性的證明。之後也提到了有關於倫理準則，簡單來說，就是誠實、守法，不要膨風。

第二個 Domain 講的是鑑識程序，其實他先講民事刑事和行政法庭所需要的證據的證據力程度，之後講到意外事件發生的時候應該要去做採證的原則，以及針對智慧財產權問題的解決方法。說實話，我為什麼會那麼早報名，或是我會決定不要花太多時間在這個考試上的原因就是因為這一章 ─ 這邊一堆法律的原則和方式都是美國法律，其實以前 CISSP 法律部分沒有考太多的原因是因為地區性，但是 CCFP 他把它變成三個區域：美國、印度、韓國等三個區域的考試，我選的是美國，因此就是要看美國的法律，其實如果選另外兩個區域應該會更慘。事實上，我剛剛考完，考試中間就發現很多法律的名詞或是用語，我後來回來找他官方的教材都沒有 ....

第三個 Domain 是把鑑識當作科學，說明其相關的原理與程序。其實這樣的概念我是同意的，因為這樣做出來的鑑識才有它的公信力。他這邊講到幾個有關鑑識的基本原理與程序，其實蠻值得讀的。

第四個 Domain 是講說怎樣可以收集各種資料證據，這是比較技術性的議題，我看了這一章，大概知道坊間ㄧ些比較重視技術的證照考試大概是怎樣的走向。但說實話，我實在不太 Care 拿到一個損毀的硬碟以後怎麼去看哪裡到哪裡是哪個檔案，或是我也不太想背哪個擋頭有哪個特徵，這自然是致命傷

第五個 Domain 是講說針對應用程式的鑑識，其實這個部分主要針對應用程式所產生的檔案、作業系統、網頁應用程式、網路、資料庫等去講他的技術和鑑識問題 ......。其實這部分很多細節我決定要放棄的，畢竟 NTFS 等檔案格式怎麼切 Partition 等問題和我相距的太遠，而且我也不想要背說到底 IE 或 Firefox 把暫存資訊放在哪

第六個 Domain 講進階議題，就是針對雲端、社群網路、Big Data、SCADA 等控制系統、關鍵系統等的鑑識問題做討論。其實我是在 7/13 晚上十點才開始看這段的內容，一共有四百頁左右的書，不過我硬是 1:00 把他看完。

7/14 上午我去考試，在基隆路上的聯合大樓十二樓考電腦考試，我的建議是如果可以考紙筆還是考紙筆，因為紙筆的考試可以做記號和畫線，而且可以帶字典，電腦考試連食物都不能帶進去 .....

結果，700 分可以過我只考了 638。說實話，我覺得倒是蠻慶幸一個星期就看完書去考，沒通過雖然惆悵，但是基本上：

1. 那官方書籍真的是很多東西都沒寫 .....
2. 有很多美國法庭實務的東西，我的法庭實務刑事來自律師本色，民事來自訴訟雙雄，行政法的沒有參考影集，因此死定了。我覺得那東西書也沒寫很多，要能夠通太難了
3. 有很多鑑識技術的細節，例如說 NTFS 格式和圖檔格式，以及證據資料會存哪，說實話，我覺得目前我對那東西沒興趣，看來我覺得我暫時也用不到。

說實話，上周我很淒慘：星期一到三中午要教研究生和專題生 Android 和 Servlet，因此早上要做投影片，講完看一下研究生的論文一天就結束了。我大概只有 10:00~12:00 的時間可以看書。星期四和星期五要準備一個計畫的報告和相關資料。
因此，當星期六的時候，我發現我還有一千兩百頁的書才能把那資料看完 ..... 但是我想到我常和學生說，三分鐘就可以看完一頁書，我就拚了。但是沒想到即便三分鐘看完一頁書， 1200 頁需要 3600 分，也就是六十小時，因此，後面我提昇到 1 頁書只能看 1 分鐘。

其實我有看完，甚至早上還有複習，但是書沒寫得或是我知道會考但是我不想去背的就是出現，雖然 90 天後可以再考，但是我應該不會再去考。

總結來說，雖然沒有錦上添花，但是今年生日，我給自己一個很棒的禮物：連續 K 書 12 hr 和了解到電腦鑑識的一個輪廓，如果接下來要繼續做，大概也知道可以做哪個方面。不過，自己畢竟也四十歲了，要多體會自己能力的極限，這種惡搞的事，還是別再幹為佳。