2004-ben MBA fokozatot szereztem a brit Buckinghamshire Chilterns University College-ben. 2006-ban CISA, 2013-ban CISSP minősítést szereztem.
|
Letettem a
CCSK (Certificate of Cloud Security Knowledge v4)
vizsgát, ami a Cloud Security Alliance
felhő-szolgáltatások biztonságáról szóló governance/menedzsment vizsgája.
Leírom a tapasztalataimat (ahogy korábban CISSP-ről tettem).
A CCSK vizsga három anyagra épül:
Mindhárom dokumentum ingyen letölthető. A vizsgadíj 395 dollár. A vizsgának nincsen fenntartási költsége, viszont a vizsga az adott verzióra (jelenleg v4) szól.
A CCSK vizsga feleletválasztós teszt, 90 perc alatt 60 kérdést kell megválaszolni. Mindent lehet használni, csak nincs rá idő :P.
A felkészüléshez beszereztem az Udemy-n három vizsgasort, olyan csomagot találtam, ahol minimális plusz költségért járt hozzá Peter HJ van Eijk CCSK kedvcsinálója (amiről Peter hangsúlyozza, hogy csak kedvcsináló, és nem CCSK tréning). A vizsgasorok hasznosak voltak, az éles vizsgán sok ismerős kérdéssel találkoztam, bár a udemy-s sorokban elég sok hiba volt. (Például választani kellett, hogy az A&C vagy az A&B opciópárok-e a jók, de az opciók össze voltak keverve, és nem volt mellettük betűjel.)
Peter kedvcsináló tréningje viszont nagyon kellemes csalódás volt: Peter rendkívül értelmes fickó, nagyon jól összefoglalja, hogy szerinte mi az igazán fontos a CCSK-ban, elmagyarázza, hogy szerinte miért különösen fontos a cloud és annak biztonsága, és hasznos tippeket ad a felkészüléshez. Lelkesen, de kritikusan áll hozzá a témához, úgy érzem, sokat tanultam tőle. (A kedvcsinálóval az egyik célja, hogy fizessünk elő a teljes cloud kurzusára, de az gondolom, drágább.)
Számomra hasznos kaland volt a CCSK felkészülés, a CCSK-hoz tisztába kell kerülni azzal, hogy mi az a felhő, mit jelent a felhőben a biztonság, melyek a legjobb gyakorlatok, de legfontosabb, hogy ad egy terminológiát, amivel közös nevezőre kerülhetsz más cloud szakemberekkel. (A rossz terminológia gyakran a cloud projekt halálát jelenti; annyi mindent értenek az emberek felhő/cloud alatt, hogy ha elég sok szakember elég sokáig beszél felhőkről, akkor egy nagy árnyékbokszoláson kívül nem sok marad a projektből.)
A három dokumentum nem nagyon hosszú, el kell olvasni őket, ismerni kell őket annyira, hogy a vizsga során nagy biztonsággal tudj CTRL+F keresni bennük. Azt tapasztaltam, muszáj rákeresni, akkor is, ha úgy gondolom, tudom. A dokumentumok tartalmára szó szerint kérdeznek rá, és az egyes válaszok mást jelentenek, ha tudod, mi a kontextus. Azt vontam le, mindenképp rá kell keresni, és ehhez célszerű kipreparált PDF fájlokat használni, amelyekben megfelelő könyvjelzők és tartalomjegyzék van. Ezen túl, a mac-eseknek azt javasolják, ne a beépített PDF nézőt használják, hanem mást, amelyben hatékonyabban lehet keresni.
|
Megjelent egy PDF aláírások elleni támadásokról szóló cikk Nem a kriptográfiai aláírást törték meg, a cikk három trükköt mutat be, amelyekkel a PDF ellenőrzőket lehet becsapni:
Az egyik támadás (UCF) az aláírás-ellenőrző alkalmazás (pl. Acrobat Reader) hibáját használja ki, és az alkalmazás helyes aláírást jelenít meg.
A másik támadás (ISA) azt használja ki, hogy a PDF aláírás formátuma megengedi, hogy az aláírt PDF-hez módosításokat lehessen hozzáfűzni. Például, ha egy aláírt dokumentumra ráfirkál valaki, akkor a firka nem rontja el az aláírást. A dokumentumban van aláírt tartalom, a firka pedig az aláírt dokumentumhoz hozzáfűzött megjegyzés. Az a probléma, hogy megjelenítéskor nem derül ki egyértelműen, hogy a módosítás/hozzáfűzés az aláírást követően történt.
A harmadik támadás (SWA) áthelyezi az aláírt tartalmat egy másik helyre, a helyére pedig csaló tartalmat tesz. Nem rontja el a kriptográfiai aláírást az eredeti tartalmon, így a megjelenítő helyesnek véli az aláírást, de nem az aláírt, hanem a csaló tartalmat jeleníti meg.
A PDF aláírás remek eszköz volt, mert a PDF jól használható formátum, és szinte mindenkinek van PDF megjelenítője, amely PDF aláírást is tud ellenőrizni. Az implementációk javíthatóak, de ezek a támadások akkor is nagy pofont jelentenek a PDF aláírásoknak.
|
Készítettem egy PowerPoint animációt az agile és a waterfall szoftverfejlesztési módszertanok összahasonlításáról, főszereplője Frédi, a kőkorszaki szaki.
|
Az Oracle úgy döntött, kivezeti a Java plugint, és ezzel végérvényesen lezárulni látszik a böngészőkben futtatható Java appletek korszaka.
A Java az utóbbi időben megállíthatatlanul burjánzó biztonsági hibák tömkelegét jelentette, és a támadók gyakran a böngészők Java képességeit kihasználva vették át az irányítást áldozataik gépei felett. Ezzel szemben, ma már alig-alig használnak Javát a weben, így egyre inkább csak bajt okozott. (Jómagam néha nem kerülhettem el a Java appleteket, de a normál böngészőmben eddig sem volt Java, egy külön, az adott feladatra szolgáló virtuális gépen futtattam a Java appleteket támogató böngészőt.)
Nagyon örülök neki, hogy a Flash-hez hasonlóan (amely szintén biztonsági hibák gócát jelentette) a Java appletek is remélhetőleg a feledés homályába merülnek.
|
Az Oracle úgy döntött, kivezeti a Java plugint, és ezzel végérvényesen lezárulni látszik a böngészőkben futtatható Java appletek korszaka.
A Java az utóbbi időben megállíthatatlanul burjánzó biztonsági hibák tömkelegét jelentette, és a támadók gyakran a böngészők Java képességeit kihasználva vették át az irányítást áldozataik gépei felett. Ezzel szemben, ma már alig-alig használnak Javát a weben, így egyre inkább csak bajt okozott. (Jómagam néha nem kerülhettem el a Java appleteket, de a normál böngészőmben eddig sem volt Java, egy külön, az adott feladatra szolgáló virtuális gépen futtattam a Java appleteket támogató böngészőt.)
Nagyon örülök neki, hogy a Flash-hez hasonlóan (amely szintén biztonsági hibák gócát jelentette) a Java appletek is remélhetőleg a feledés homályába merülnek.
További bejegyzések a blogomban...