Expert forense digital John Irvine Accions Com va aconseguir el seu inici
- Obteniu més informació sobre els treballs d'experts periòdics digitals
El ciberespai es converteix cada vegada més en un "barri d'alta delicte", i la necessitat d'una presència policial és fàcilment evident.
Aquí és on entra el camp de les ciències digitals i multimèdia i la gent com John Irvine.
Un dels pioners del camp forense digital, John estava realitzant investigacions informàtiques abans que la majoria de la gent sabés que hi havia tal cosa. Actualment, és vicepresident de Desenvolupament Tecnològic de CyTech Services, una empresa privada especialitzada en recuperació de dades i forenses digitals.
John també és professor adjunt de forenses digitals a la Universitat George Mason, on imparteix problemes jurídics i ètics en Computer Forensics. Té un màster en Ciències de Sistemes d'Informació i un certificat de postgrau en enginyeria de sistemes de programari.
Des de 1997 treballa en informàtica forense tant en el sector públic com el privat, incloent treballs amb el FBI, la DEA i nombroses consultores privades. També és voluntari amb el Departament de Bombers de Voluntaris de Arcola. Tan ocupat com ho és, va trobar el temps per respondre algunes preguntes sobre el camp de forenses digitals que creix ràpidament i com funciona a la indústria.
Entrevista amb l'expert en Forenses Digitals John Irvine :
Tim Roufa: tens anys d'experiència en forenses digitals, fins al punt que t'has establert com un expert reconegut en el camp. Òbviament, es necessita molta feina i educació per aconseguir el que ha estat capaç de fer, però com vau començar?
John Irvine: completament per accident! Com la majoria de les històries de grans carreres, vaig caure en ella a causa de la casualitat, no de la planificació. Sempre he tingut un gran interès per la tecnologia. Quan era nen, vaig muntar el primer clon de PC al bloc. A més, des de l'edat de cinc anys, sabia que volia ser un agent de l'FBI. Finalment, els dos interessos van coincidir.
Mentre estava assegut a la meva oficina treballant en la gestió de projectes de programari algun dia, em va cridar l'impuls per arribar finalment al FBI. Això era abans que Internet era, bé, INTERNET, de manera que no podia obtenir informació fàcilment en línia. Vaig trucar a la meva oficina local del FBI, vaig deixar el meu nom i adreça al contestador automàtic per als candidats interessats i va respondre "sí" a la pregunta que es va fer sobre com tenir habilitats informàtiques.
- La forense digital no és per a tu? Conegui com esdevenir un agent de l'FBI
He rebut el que jo anomeno el paquet "So You Want to be Special Agent?" Unes setmanes després. Vaig obrir el fulletó, i la primera pàgina va volar el meu somni de tota la vida en una frase. La meva carrera com a agent de l'FBI va acabar abans que comencés amb el requisit de 20/40 de visió no corregida o millor. En un moment abans de les meravelles de LASIK, vaig ser al voltant de 20/2000.
A la part posterior del paquet era el que semblava una còpia quasi il·legible de la publicació d'una feina per a un "especialista en informàtica" que aparentment havia estat inclosa en la seva 17a generació, per la meva capacitat declarada amb les computadores.
Vaig pensar: "Bé, potser puc arreglar impressores o alguna cosa per al FBI. Almenys això em portarà a la porta ".
He enviat el meu full de vida a la persona de recursos humans que figura a la descripció de la feina, i vaig rebre una trucada aproximadament una setmana més tard d'un dels directors de programa del Equip de resposta d'anàlisi informàtica del FBI. Va dir: "El meu currículum es va dirigir a mi perquè vau dir que era un" generalista informàtic "a la vostra carta de presentació. Què saps sobre la informàtica forense? "" Res ", vaig respondre. Va dir: "Gran. Vine a una entrevista. "
La resta, com diuen, era la història.
- Parlant d'història, explora la història primerenca de la ciència forense
- Descobreix més sobre la història moderna de la ciència forense
TR: com vas començar a interessar-te per la forensia digital?
JI: En l'entrevista, les persones amb les quals he conegut em van dir que podia ser un geek amb una mala vista i encara ajudar a atrapar als dolents.
Pel que sembla, les meves habilitats generalistes-el que significa que podria utilitzar eficaçment diferents sistemes operatius i que tinguessin un bon coneixement tant de les internes de maquinari com de les principals aplicacions- serien molt atractives en el seu equip.
Això era tot el que necessitava per escoltar. Vaig pensar que havia estat jugant amb sistemes operatius Linux i Mac, a més de Windows només per diversió; No em vaig adonar que tot era escenari d'una carrera futura.
TR: A més de la vostra experiència forense, heu dedicat molt de temps al govern federal. Aquesta experiència t'ajudava a preparar-te per la teva carrera actual?
JI: Abans de treballar per al FBI, he dedicat molt de temps a un contractista del govern. De fet, durant el meu últim any de batxillerat, em deixaria quan el timbre sonava i conduís al carrer a un contractista de defensa on treballava com a ajudant dels Directors de RRHH i Seguretat Especial. Més tard, vaig treballar per a una empresa de programari que tenia diversos clients governamentals.
A més de disposar d'una habilitació de seguretat a una edat molt primerenca, aquesta experiència em va ajudar a exposar-me a diverses plataformes de maquinari, aplicacions de programari i, sobretot, diferents tipus de persones al món del govern i professionals. Independentment del seu aspecte, la informàtica forense és tant sobre les persones que utilitzen les computadores que analitza com sobre el propi maquinari.
Següent: John Irvine analitza el costat més fosc dels forenses digitals
En la segona part de la nostra entrevista amb el professor i expert en forenses digitals, John Irvine, ens assabentem d'alguns dels esculls de la professió i explica per què aquest treball no és per a tots.
Entrevista amb l'expert en Forenses Digitals John Irvine, Part 2:
TR: entre el grau de màster en gestió, el certificat d'enginyeria de software i el màster en sistemes d'informació, com us sentiu els graus que us ha preparat per a la vostra carrera professional?
JI: cadascun d'aquests programes va portar alguna cosa a la taula per a mi treballant en informàtica forense. En primer lloc, crec que és important dir que la informàtica forense no és una disciplina informàtica. És tant una funció d'investigació com un repte tècnic. Si falta un conjunt d'habilitats, tindreu un temps molt més difícil de treballar correctament al camp.
L'EM en Sistemes d'Informació m'ha ajudat a entendre millor els sistemes operatius, els sistemes de fitxers i la mecànica de la computació. Tanmateix, la meva llicenciatura en administració va ser igualment útil amb el meu curs de psicologia, sociologia, gestió i comptabilitat. Realment no puc donar un límit a un grau sobre l'altre per la seva utilitat en el camp.
Dit això, vull assegurar-me que dic algunes coses. Computer Forensics és una disciplina d'aprenentatge. En els darrers anys, s'han produït més programes: el que imparteixo a la Universitat George Mason, que ofereixen cursos de qualitat excel·lents en informàtica forense.
No obstant això, realment coneixeu el comerç una vegada que esteu en un seient treballant en casos reals juntament amb un examinador principal.
A més, NO necessiteu tenir un fons de programació per treballar correctament al camp. De fet, he tingut investigadors de formació de sort molt millor en els detalls tècnics del treball que he tingut en els programadors de l'ensenyament de mètodes d'investigació i d'art de "el puny". Si no es disposa d'un fons tècnic a l'escola, Això no és un obstacle per entrar al camp.
- Conegui el tipus de llicenciatura que hauria de guanyar una carrera de ciències forenses
- Explora els tipus de titulacions que has de guanyar per a la criminalitat i la justícia penal
TR: ha treballat tant en el sector privat com en el públic, realitzant gran part del mateix treball. Com descriuria la diferència entre els dos?
JI: Les diferències més grans entre treballar en sectors públics i privats són generalment procediments i velocitats. En el món federal, els procediments es generalment (però no sempre) molt prescrits, i la velocitat de producció és generalment menys crítica (amb algunes excepcions notables).
En el món comercial, els procediments es basen en gran mesura en l'experiència personal o en les preferències del vostre ocupador, i la velocitat de producció és molt superior. Vaig passar quatre mesos en un únic disc dur una vegada amb un empresari federal a causa de la quantitat de dades que contenia, però en el món comercial, generalment apunta a un temps de resposta de dies o setmanes com a màxim.
TR: Quina és una jornada laboral típica, com per a un analista o un analista forense digital?
JI: La jornada de treball d'un professional de forenses digitals és quelcom típic. Depenent de l'organització per la qual esteu treballant, podria estar treballant un flux constant de casos de pornografia infantil, o bé podria estar analitzant temes de perfil tan alt que els veieu a CNN mentre feu el treball.
No obstant això, sovint podeu esperar en un despatx molt calent (a causa de la quantitat d'ordinadors del taulell que dominen l'aire condicionat de l'oficina típica), i us mostrarà molt bé unir un component de treball d'un grup de no funcionar uns.
Gran part del dia es gastarà en documentació. Podeu escriure un informe d'anàlisi, revisar l'informe d'un altre examinador o assenyalar tot el que vau fer al realitzar un examen. El millor examen al món és inútil si no es pot comunicar amb claredat en un informe escrit que es pot entendre fàcilment per un agent, funcionari, advocat o jurat. A més, si el vostre informe escrit és pobre, naturalment posarà en dubte les vostres habilitats tècniques per part d'aquells que intenten llegir-lo.
- Obteniu més informació sobre per què les habilitats d'escriptura són tan importants en qualsevol carrera de criminologia
Depenent d'on treballis, testificar a la cort és una part potencial de realitzar anàlisis forenses digitals. Si esteu treballant en un entorn de compliment de la llei, gairebé es garanteix, però fins i tot el personal de l'empresa forense podria haver de declarar durant una demanda injusta de resolució o per donar suport a posteriors accions d'aplicació de la llei per fer un seguiment d'una intrusió. Alguns examinadors que he conegut són excel·lents darrere del teclat i poden escriure informes fantàstics, però es desmunten quan se'ls crida per declarar a la cort.
TR: Va escriure un article titulat The Dark Side of Digital Forensics . Ens pot dir una mica sobre algunes de les traves de la feina?
JI: en realitat es fa referència a una publicació de bloc que vaig escriure fa un eon que va ser recollida per alguns punts de venda forenses digitals i que s'ha reprès una i una altra. No tenia ni idea que tindrien aquestes "cames" quan ho vaig escriure; Em va sorprendre que la gent que volia entrar al camp encara no tenia ni idea del que comportava.
El forense informàtic ha estat una carrera fantàstica per a mi, però definitivament hi ha esculls. De fet, les dues primeres sessions de classe que imparteix se centren en les realitats del treball, i em sorprèn cada vegada que s'assabenta que sóc la primera persona que ha dit als meus alumnes què és el treball després de el van triar com a camp de titulacions.
No tinc números científics, però estimaria que entre el 70% i el 80% dels casos forenses informàtics a tot el món estan relacionats amb la pornografia infantil. Com més s'acosti a l'aplicació de la llei estatal i local, més gran serà aquest número.
Fins i tot si es concentra en intrusions i respostes d'incidents, sovint trobarà pornografia infantil com a propòsit o resultat de la intrusió (o simplement existeix a les computadores que examina des de l'usuari habitual de la màquina).
L'exposició a la pornografia infantil, especialment durant vuit hores al dia, quaranta hores a la setmana, cinquanta-dues setmanes a l'any, cobra feina. No es tracta simplement d'imatges fixes. Esteu veient els vídeos també, i esteu veient i escoltant tot.
Si podeu seguir fent-ho, és probable que desenvolupeu un sentit de l'humor humil i molt cec per combatre'l. També sóc voluntari amb un escamot d'incendis i rescat, i hi veus molt del mateix humor; és un mecanisme de superació desenvolupat per persones que treballen en les àrees més tèrmiques de la vida.
A més, depenent del treball que feu, estarà exposat a imatges gràfiques i textos d'assassinats, tortures, violacions, terrorisme i qualsevol delicte, depravació, pornografia o desviació que pugueu imaginar.
Les computadores són excel·lents eines per al bé, i també són excel·lents eines per cometre delictes i difondre l'odi. Com a examinador forense informàtic, estaràs exposat a tot això, dia a dia. En un grup vam tenir una broma que va riure d'un anunci en el moment de parlar sobre persones que "navegaven al fons d'Internet". Afegim: "... i després el nostre equip aconsegueix una pala i comença a cavar".
A causa del treball i el contingut al qual l'examinador està sotmès, moltes persones que entren al camp no duren. De mitjana, diria que al voltant del cinquanta per cent de les persones que s'hi adquireixen en un termini de dos anys. Aquesta sembla ser la marca quan un examinador ha tingut suficients casos sota el seu cinturó per a ser pesat per (o immune) a l'exposició. Si podeu fer-ho abans de la marca de dos anys, generalment teniu una llarga carrera per avançar-vos a la informàtica forense.
TR: Amb els avenços tan ràpids en tecnologia informàtica durant l'última dècada, com ha canviat el camp de la forensia digital durant la vostra carrera professional?
JI: Computer forensics ha canviat enormement des que vaig començar en els anys 90. En aquest moment, va mirar tots els fitxers en un disc dur (perquè podria), i els dispositius mòbils ni tan sols eren pensats. Els disquets vindrien als centenars, però ara, mai no els veieu.
Avui en dia, la quantitat de dades és tan gran que haureu d'identificar molt més a les vostres cerques, i els dispositius mòbils són un tema d'examen igual, si no més important.
A més, la profunditat de les eines ha canviat significativament. En els primers dies, la majoria de les eines van ser escrites per policies que havien pres algunes classes de programació o que eren autodidactas. Vam tenir dotzenes d'utilitats d'un sol ús que podríem empassar per fer un examen.
Ara, les eines són molt més professionals i polivalents. Un bon examinador encara tindrà una gran "caixa d'eines" des del qual treballar, però té opcions de plataforma base molt millors per realitzar l'examen general. La indústria sempre tracta de passar a la màgia "trobar el botó d'evidència", i algunes eines s'aproximen a alguns casos.
Políticament, els tipus de casos han canviat enormement. Originalment, la informàtica forense va ser utilitzada principalment per l'aplicació de la llei per a casos criminals. Després de l'11 de setembre, gran part del treball es va desplaçar cap al contra-terrorisme. Ara, les intrusions de l'ordinador són el tema candent, i moltes carreres s'han mogut cap a la resposta d'incidents. El camp canvia tremendament amb els temps.
TR: Actualment és vicepresident de Desenvolupament Tecnològic de CyTech Services. Si podeu compartir-les amb nosaltres, quines innovacions heu pogut fer per la vostra carrera?
JI: Fer el trasllat a CyTech Services ha estat fantàstic per a mi. En la meva posició, no sóc capaç d'utilitzar l'experiència forense de la meva computadora, però també puc utilitzar els meus antecedents en la gestió de projectes de programari. CyTech produeix CyFIR Enterprise (CyTech Forensics and Incident Response) per realitzar investigacions forenses d'ordinador corporatiu.
La meva contribució aquí és continuar desenvolupant l'eina amb l'objectiu d'un practicant. Per exemple, l'arquitectura de CyFIR permet als investigadors buscar tots els nodes d'una xarxa empresarial alhora per obtenir dades forenses, sense que els usuaris deixin de treballar per un llarg procés d'imatges.
Si hi ha un brot de codi maliciós en una organització, CyFIR té la capacitat de localitzar totes les màquines afectades en pocs minuts en comptes de dies o setmanes. Això és enorme quan es realitzen respostes d'incidents, eDiscovery o investigacions internes en una gran xarxa empresarial o quan es respon a un compromís de punt de venda de diverses botigues que està robant dades de la targeta de crèdit dels carrils de comprovació. El pensament antic de "imatge de tot i classificar-lo més endavant" només no volarà més en un context empresarial.
Encara que no és una "innovació" per se, amb els antecedents de la meva gestió, he estat excepcionalment afortunada per identificar candidats que fan exàmens forenses excepcionals.
La reactivació de la inflació és desafortunadament un gran problema en la nostra indústria, i algú que es veu bé en el paper pot tenir només un coneixement de nivell de buzzword que realment realitza un examen. A través d'un procés d'entrevista que he desenvolupat amb el temps, he tingut molt èxit en trobar els candidats adequats amb les habilitats necessàries per al càrrec.
Des del punt de vista educatiu, he pogut transmetre el meu coneixement i, sobretot, la meva experiència a les futures generacions d'examinadors forenses. Durant els dos primers dies de classe que he esmentat, trobo que una o dues persones cada semestre em diran que no es van adonar del que havien negociat quan van començar el programa i em van agrair que els fessin saber què feia com, perquè no se sentien còmodes per realitzar aquest tipus de treball.
En aquest moment, puc guiar-los en un programa de seguretat informàtica que no tindrà els mateixos tipus de contingut que els espera en el futur. De la mateixa manera, puc identificar ràpidament els estudiants que realment semblen tenir "el talent", i puc ajudar-los a assenyalar-los en la direcció correcta per començar les seves carreres.
Següent: John Irvine comparteix consells sobre com obtenir un lloc de treball en forenses digitals
A la part final de la nostra entrevista amb l'expert en forenses digitals John Irvine, ens assabentem per què el camp és tan important, el que els aspirants a l'examen poden guanyar i el que podeu fer per començar a treballar com a expert forense digital.
Entrevista amb l'expert en Forenses Digitals John Irvine, part 3:
TR: Per què el camp dels forenses digitals és tan valuós per als governs i les corporacions?
JI: La forensia digital és valuosa tant per als governs com per a les corporacions per la mateixa raó: informació.
Ja sigui que aquesta informació sigui prova d'un cas criminal federal o el coneixement d'una informació privilegiada que robes la propietat intel·lectual corporativa d'un competidor, els professionals de la indústria digital forense proporcionen dades que els clients no disposen d'una altra manera.
En termes molt senzills, es podria comparar el treball d'un examinador forense digital amb el d'un desenvolupador de fotos. Per exemple, si tinc un rotlle de pel·lícules no desenvolupat a les meves mans, això és gairebé inútil per a mi com qualsevol tipus d'evidència. Tanmateix, si algú desenvolupa aquesta pel·lícula en imatges (o recupera dades d'un disc dur en el nostre cas), aquest contingut pot proporcionar tot el que necessita el fiscal, el gerent de recursos humans o l'agent de seguretat corporativa.
Ara que penso en això, he d'elaborar una nova analogia per al futur. Els nens a l'escola avui probablement ni tan sols saben què és un "rotllo de pel·lícula" més!
TR: Què us agrada més del vostre treball i per què continueu fent-ho?
JI: Digital forensics m'ha cridat en diversos nivells. En primer lloc, em permet fer contribucions significatives a la seguretat i la seguretat de les persones sense restringir-les per limitacions físiques de la vista o l'edat. Pot ser que no sigui l'agent que persegueix a algú per un carreró, però podria donar-li a l'agent les dades del telèfon cel·lular de l'assumpte que segella el cas i obre tres més.
A continuació, la forense digital m'aprofita profundament perquè és un híbrid del meu amor per l'aplicació de la llei i la intel·ligència (el meu TiVo està ple d'espectacles de policia i espia) i el meu geek interior. Si veieu aquests espectacles, fins i tot veieu una evolució d'aquests personatges a la pantalla. Fa quinze anys, eren els über-nerds amb ulleres trencades i incòmodes gràcies socials. Ara, l'examinador forense informàtic sol tenir un sentit sec de l'humor i un gran sentit de l'estil.
TR: Què es necessita per tenir èxit com a analista o analista forense digital?
JI: bàsicament, es fa una sincera passió per la justícia (i ho estic fent servir en un terme que engloba tot allò) amb un amor per les coses tècniques. Si teniu aquests dos elements, us trobeu bé.
Actualment hi ha programes educatius formals que no existien fa pocs anys, i val la pena dedicar-se a investigar-los per veure què ofereix cada un. A més, moltes de les eines forenses que hi ha tenen classes (utilitzant l'eina que ven l'empresa, la meva inclosa) que us pot ajudar.
Com dic als meus alumnes, el camp requereix un sentit molt fort de responsabilitat personal. Heu d'estar disposats a posar el vostre nom i la vostra reputació en la línia amb cada cas que analitzeu, perquè podríeu acabar amb la finalitat del tribunal en funció del contingut de l'informe.
Si no té convicció, la gràcia sota pressió o la candor, aquest NO és el camp professional.
Finalment, tenir èxit es veu ajudat tremendament per trobar un bon mentor en el camp i treballar amb l'espatlla amb la persona mentre aprèn el comerç. Les escoles poden donar-vos una gran base, però l'experiència de casos us ajuda a posar a les persones darrere de les reixes.
TR: Quant hauria d'esperar l'examinador digital forense digital mitjà, i quant guanyaria si es reputable i / o anar a una empresa privada?
JI: Els salaris forenses digitals varien àmpliament, i recentment, a causa del segrest i la saturació del mercat de persones que intenten anunciar-se com a examinadors forenses informàtics que no ho són, els salaris comencen a baixar. (Gran part de la responsabilitat descansa amb els mals gerents de contractació que no poden determinar el veritable conjunt d'habilitats d'un candidat).
Tanmateix, en general, una persona amb talent hauria de poder trobar llocs entre $ 60- $ 80,000 a nivell júnior, $ 80- $ 120,000 a un nivell mitjà i un màxim de $ 150,000 a un nivell superior. Dit això, he conegut alguns examinadors sorprenents que estaven en càrrecs que pagaven només $ 50,000 per any com a agents de la policia local, i he conegut pessebres examinadors que van fer més de $ 250,000 per any perquè van comercialitzar el seu nom bé.
En termes molt generals, els examinadors forenses aprofiten al màxim els casos de litigis de defensa o en eDiscovery si poden executar una gran quantitat de casos alhora (i facturar diversos clients). Aquests nivells salarials solen ser seguits per contractistes del govern federal, empleats del govern federal, empleats del govern estatal, militars i, finalment, examinadors del govern local, respectivament.
- Conegui més sobre les carreres d'execució de la llei militar
- Descobreix les carreres federals d'aplicació de la llei
Els salaris comercials funcionen en funció de l'experiència, la mida de l'empresa i l'interès corporatiu en forenses (ja sigui per la proactivitat o per la vergonya pública).
TR: Quin consell té per a algú que intenta decidir si vol treballar com a examinador de forenses digitals o si algú acaba de començar al camp?
JI: llegeix aquest article! De debò, passaria una mica de temps a LinkedIn i arribaria a les persones de forenses digitals per demanar-los moltes de les mateixes preguntes que em vau preguntar.
Trobeu persones que treballen per a les organitzacions o empreses que voleu treballar i que us informin sobre la rutina del dia a dia. Faig una o dues consultes a la setmana a través de les meves adreces electròniques de LinkedIn o de l'escola i estic encantat d'oferir el meu consell en funció de les seves situacions individuals.
Si teniu una mica de diners per gastar, us suggeriríeu inscriure'm a una de les classes de formació que ofereixen els grans fabricants d'eina forense informàtica per fer-se sentir pel que fa al treball i les formes en què es fa.
Si la classe té el vostre interès, examinaré els excel·lents programes d'algunes universitats en els nivells de BS o MS (com ara els màsters d'informàtica forense disponibles a la Universitat George Mason de Fairfax, Virginia, on imparteixo).
- Obteniu més informació sobre com esdevenir un examinador forense digital
TR: si teniu alguna cosa que vulgueu afegir sobre la vostra carrera o el camp en general, no dubteu a compartir-la.
JI: Computer forensics definitivament no és per a tothom, i això està bé. Abans de gastar molt de temps o diners, busqueu un professional de forenses digitals a la vostra zona, oferiu-vos per comprar-li una tassa de cafè i trieu el cervell durant una hora. La majoria de nosaltres estem més que disposats a compartir el nostre coneixement, ja que així és com ens vam presentar.
Digital Forensics és un camp de creixement (ens enfrontem, les computadores no s'aparten en cap moment), i hi ha molta feina per a tothom. No obstant això, si no valora la veritat i no pot defensar el vostre treball davant l'adversitat, no durarà gaire en aquest negoci on la reputació sigui tot.
Pot ser que no conec personalment a un examinador forense determinat, però puc garantir-vos que tinc una trucada telefònica d'algú que ho faci, i que els "passis" no oficials passin ràpidament entre els examinadors. Una instància de mala candor o falta de responsabilitat pot acabar amb una carrera en les seves pistes.
Tot el que ha dit, ha estat un camp fantàstic per a mi, i agraeixo a tots els que he treballat en el passat per les lliçons que m'han ensenyat i les experiències que han impartit. Ha estat un viatge salvatge.