今天早上收到信件:
大意是我去參加 ISC2 舉辦的 CCFP 認證考試的結果終於出來了 ..... 從 7/24 等到現在,好久。我考的是 CCFP-EU,CCFP 是電腦鑑識專家的認證,因此有按照地區做客製化,我後來選擇歐盟的,因為歐盟是跨國,所以他會降低單一國家法律的偏重程度。目前的狀況我就不講了,讓大家看看 ISC2 的統計數字,CCFP-EU 那一塊,基本上我要申請應該是 ok,如果我申請了以後,他再更新數字,就可以看到 Taiwan 1。顆顆。
其實台灣有 CISSP 的人不多,大概 235,CSSLP 大概有 8 人。那麼,這就要講到如果 CCFP-EU 即將有幾人呢?或者說同時有這些認證的有幾人呢?那我就不講了。
大概我是何時準備要考的呢?其實這個證照我一直很有興趣,因為國內在講鑑識講很久了,所以我有在留意,只是我一直沒有機會去取得足夠的資訊去看這些東西。也不知道要怎麼準備,於是有一天,我收到 isc2 的一個郵件,其實主要是要我再去投票還是甚麼的,然後我就順便找一下有沒有好玩的,結果發現他有出 ebook,然後只有在 iTune 上可以買,於是乎我就趕快去買,不過台灣的沒有辦法買,所以我把國籍換成加拿大,因為我妹妹在加拿大工作,所以我把地址設在她那邊,然後請她幫我買 100 加幣的 gift card,之後我就去買電子書(大約 80 加幣)。
其實,另外一個我會去買電子書的原因,是實體書都還沒出,不然我一般還是喜歡買本書來畫線。那本書大概用 mac 的 ibook 是 18xx 頁,用 ipad 的 ibook 大概 13xx 頁,應該 ipad 的頁數和實體書一樣。
那本書不太容易看,因為整個 CCFP 雖然只有 6 個 domain,但是每個領域都很複雜:
第一個 domain 是 Legal and Ethics,其實這在 CISSP 裡面一般有關個資保護或資安的法律是還好,但是到了 CCFP 裡面,講的就變成是有關證據的特性,以及證據在法庭上能夠使用,ㄧ些要滿足的基本原則。另外是倫理的部分,倫理的東西過去一般考試大家會覺得還好,但是一到了鑑識,我後來在上機考試的時候,會問你一堆像是例如你在蒐證時,原本要抓盜版,結果看到兒童色情的照片你該怎麼處理之類的問題,說實話,我到現在還覺得這些問題很複雜。
第二個 domain 是講蒐證和調查的程序,大家可能以為這很單純,但是很討厭的是,他還分刑事、民事、行政法等等,不同種類的法規在證據上有不同的要求,也要做到不同的程度。順帶一提,我為了要了解各國的法規原則,我跑去買了法學導論和訴訟技巧兩本書。反正就是相互對照來看。其實一般技術人通常會以專家證人的角度上去法庭作證,他也有提到很多專家證人該要做的事情,以及證詞要怎樣才能可信。(不過,這邊要講句心裡的話,我國的法規要達到這地步,可能還有得等。)
另外,後面也有一些章節在講說意外發生時該怎麼做處理的事情,以及數位證據的保全原則,對我來說,是看得比較快。
第三個 domain 是講 forensic science,其實我覺得這一個章節打開了我大腦中對於 forensic研究的思維,在做件事的時候,其實有很多研究可以發揮的地方,像是如果一個程序要嚴謹,你從蒐證一直到證據呈堂之間,你做得每一個動作,應該都是要在理論上可以說明是會造成甚麼影響的,其實光這一點,就有很多研究的題目可以發揮,另外像是如何去證明你的推論,可能不見得每個 case 都可以有理論,但是應該就像是做研究一樣的方式,你的結論才會有信度和有效。
後面三個 domain 就比較技術性了,我看起來是比較快,不過還是很複雜:
第四個 domain 是 digital forensic,原則上就是你如何從數位科技當中去萃取出資料出來,講到這個,因為我那時候要去考 EU 的,所以我特別去找了歐盟 ENISA 當中有關數位證據的教材來看,那個教材裡面,第一個例子是你怎麼用隨身碟去把電腦中 RAM 的資料 dump 出來。接下來就是怎麼樣從 RAM 的資料中,去找出到底病毒影響了哪個檔案,或是針對哪個程式進行攻擊。基本上這就是這個 domain 在談的一些事情,當然,我看了以後對於丹尼斯大神和黑橘大神充滿了無限的敬意。Anyway,這邊就是談到如何對檔案進行分析,然後針對不同的作業系統講不同的蒐證方法,同時講了一堆工具,然後又講網路、行動裝置的蒐證, 之後再講到多媒體檔案的蒐證。最後就是蒐證工具的彙整介紹,以及反蒐證工具的介紹。最後是針對 VM 的鑑識。
我要說的是,基本上如果去考 CCFP,你就會發現這些書寫的招式大概只有一小點,他每一題都是一堆情境問你說你要怎麼做鑑識,然後問你要看哪個檔案才能找到問題,其實要活用。所以在看書的時候,除了文字以外,腦中要浮現出系統的畫面和操作的過程,這樣比較能夠運用。
第五個 domain 是 application forensic,基本上就是針對ㄧ些特殊的應用程式去看怎麼蒐證,說實話,當你看到 mac, windows, 上面 ie, firefox, chrome 一堆不同的特徵,而且又有不同的版本要看的不同檔案,光這你就會想殺人,更不要說講收信軟體或 mail server 裡面有一堆不同的軟體,以及一堆不同的檔案中如何萃取出他的特徵。另外就是針對病毒去找說到底是影響到甚麼。
第六個 domain 算是未來的議題,主要是講雲端、IoT 、Social network 、AR 等新興科技的鑑識議題,以及SCADA 等Control System的架構與鑑識。我要說的是,還好我平常有看雲端安全聯盟及 ENISA 雲端安全的議題,以及我因為八月答應要給演講所以看了幾本 M2M 和 IoT 安全的書,不然這邊應該會升天。
Anyway,最後就是去考試,不過我原本約的時候遇到颱風,我猜會停班停課,所以我花了五十塊去延期考試時間,不過一延後來他就說我被選到要做 psychometric analysis,所以到現在才拿到結果。
結論,我其實很喜歡考這類的證照,因為考一個證照等於是把一個領域的知識稍微掌握到ㄧ些皮毛,而可以從一個起始點去往後延伸。這個證照算是蠻有趣的。
沒有留言:
張貼留言