Como é realmente ser um examinador forense digital
- 4671
- 535
- Mr. Christian Powlowski
Há pouca dúvida de que a tecnologia mudou significativamente a maneira como a polícia faz negócios. Tão verdadeiro é a noção de que nossa tecnologia em constante inconvenção está mudando o tipo de crimes que os detetives da polícia investigam por completo, daí o aumento de trabalhos forenses digitais.
O ciberespaço está cada vez mais se tornando um "bairro de alto crime", e a necessidade de uma presença policial é prontamente aparente. É aí que entra o campo das ciências digitais e multimídia e pessoas como John Irvine.
Um dos pioneiros do campo forense digital, John estava conduzindo investigações de computadores antes que a maioria das pessoas sabia que havia uma coisa dessas. Atualmente, ele atua como diretor de produtos da Cyfir, que oferece uma plataforma remota de forense digital e resposta de incidentes.
John também é professor adjunto de forense digital na Universidade George Mason, onde ensina questões legais e éticas em computação forense. Ele possui um mestrado em sistemas de informação e um certificado de pós -graduação em engenharia de sistemas de software.
Ele trabalha em computação forense desde 1997, tanto no setor público quanto no privado, incluindo o trabalho com o FBI, o DEA e numerosas empresas de consultoria privada. Ele também é voluntário do Departamento de Bombeiros Voluntários de Arcola. Por mais ocupado que ele esteja, ele encontrou tempo de responder a algumas perguntas sobre o campo forense digital em rápido crescimento e como é trabalhar na indústria.
Entrevista com o especialista em forenses digitais John Irvine
Tim Roufa: Você tem anos de experiência em forense digital, a ponto de se estabelecer como um especialista reconhecido no campo. Obviamente, é preciso muito trabalho e educação para alcançar o que você conseguiu, mas como você começou?
John Irvine: Completamente por acidente! Como a maioria das histórias de ótimas carreiras, eu caí nela por causa do acontecimento, não planejando. Eu sempre tive um grande interesse em tecnologia. Quando criança, juntei o primeiro clone de PC no bloco. Além disso, a partir dos cinco anos, eu sabia que queria ser um agente do FBI. Eventualmente, os dois interesses se encaixaram.
Enquanto estava sentado no meu escritório trabalhando em gerenciamento de projetos de software um dia, o desejo me atacou de finalmente chegar ao FBI. Isso foi antes da internet ser, bem, a Internet, então eu não conseguia facilmente obter informações online. Liguei para o meu escritório local de campo do FBI, deixei meu nome e endereço na secretária eletrônica para candidatos interessados e respondi "sim" à pergunta feita sobre ter habilidades de informática.
Recebi o que chamo de “então você quer ser um agente especial?”Pacote algumas semanas depois. Abri a brochura e a primeira página explodiu meu sonho ao longo da vida em uma frase. Minha carreira como agente do FBI terminou antes de começar com o requisito para uma visão não corrigida de 20/40 ou melhor. Em um tempo antes das maravilhas de Lasik, eu era cerca de 20/2000.
Na parte de trás do pacote estava o que parecia um 17º Geração, cópia quase ilegível, de uma postagem de emprego para um "especialista em computadores" que aparentemente havia sido incluído devido à minha habilidade declarada com computadores. Eu pensei: “Bem, talvez eu possa consertar impressoras ou algo para o FBI. Pelo menos isso vai me levar pela porta.”
Enviei meu currículo para a pessoa de RH listada na descrição do trabalho e recebi uma ligação cerca de uma semana depois de um dos gerentes do programa na equipe de resposta de análise por computador do FBI. Ele disse: “Seu currículo foi encaminhado para mim porque você disse que era um 'generalista de computador' em sua carta de apresentação. O que você sabe sobre o computador forense?"" Nada ", respondi. Ele disse: “Ótimo. Entre para uma entrevista.”
TR: Como você se interessou pela primeira vez em forense digital?
Ji: Na entrevista, as pessoas com quem eu conheci me disseram que eu poderia ser um nerd com uma visão ruim e ainda ajudar a pegar os bandidos. Aparentemente, minhas habilidades generalistas mencionadas, eu poderia efetivamente usar diferentes sistemas operacionais e tinha um bom conhecimento dos internos de hardware e dos principais aplicativos, seria uma ótima opção em sua equipe.
Isso era tudo que eu precisava ouvir. Eu pensei que estava brincando com os sistemas operacionais Linux e Mac, além do Windows apenas por diversão; Eu não sabia que estava tudo preparando o cenário para uma futura carreira.
TR: Além da sua experiência forense, você passou muito tempo trabalhando para o governo federal. Essa experiência ajudou a prepará -lo para sua carreira atual?
Ji: Antes de trabalhar para o FBI, eu havia passado muito tempo como empreiteiro do governo. De fato, durante meu último ano do ensino médio, eu saía quando a campainha tocava e subia a rua até um empreiteiro de defesa, onde trabalhei como assistente dos diretores de RH e segurança especial. Mais tarde, trabalhei para uma empresa de software que tinha vários clientes do governo.
Além de já ter uma autorização de segurança em uma idade muito jovem, essa experiência me ajudou, expondo-me a várias plataformas diferentes de hardware, aplicativos de software e tipos mais diferenciados de pessoas no mundo do governo e profissional. Independentemente da aparência, o computador forense é tanto sobre as pessoas que usam os computadores que você analisa quanto sobre o próprio hardware.
Na segunda parte de nossa entrevista com o professor e especialista em forenses digitais John Irvine, aprendemos sobre algumas das armadilhas da profissão e ele explica por que esse trabalho não é para todos.
A Carreira Forense Digital e Armadilhas
TR: Entre o seu diploma de bacharel em gerenciamento, seu certificado de engenharia de software e seu mestrado em sistemas de informação, quão bem você sente seus diplomas o preparou para sua carreira?
Ji: Cada um desses programas trouxe algo para a mesa para mim trabalhando em computação forense. Primeiro, acho importante dizer que o computador forense não é uma disciplina de ciência da computação. É tanto uma função investigativa quanto um desafio técnico. Se um conjunto de habilidades estiver faltando, terá muito mais dificuldade em trabalhar com sucesso no campo.
O MS nos sistemas de informação ajudou -me, dando -me uma melhor compreensão dos sistemas operacionais, sistemas de arquivos e mecânica de computadores. No entanto, meu BS em gestão foi igualmente útil com meus cursos em psicologia, sociologia, gestão e contabilidade. Eu realmente não posso dar uma vantagem em um grau sobre o outro para a utilidade no campo.
Dito isto, quero ter certeza de dizer algumas coisas. Forense de computador é uma disciplina de aprendizagem. Mais programas surgiram nos últimos anos-o que eu ensino na Universidade George Mason incluiu-que oferecem excelentes cursos em computação forense. No entanto, você realmente aprende o comércio quando está em um assento trabalhando em casos reais ao lado de um examinador sênior.
Além disso, você não precisa ter um histórico de programação para trabalhar com sucesso no campo. De fato, tive uma sorte significativamente melhor para treinar investigadores nos detalhes técnicos do trabalho do que eu tive no ensino de programadores de investigação e arte de “The Hunch."Se alguém não tem formação técnica na escola, isso não é um impedimento para entrar no campo.
TR: Você trabalhou nos setores público e privado, realizando muito do mesmo trabalho. Como você descreveria a diferença entre os dois?
Ji: As maiores diferenças entre o trabalho em setores públicos e privados geralmente são procedimentos e velocidade. No mundo federal, os procedimentos de alguém são geralmente (mas nem sempre) fortemente prescritos, e a velocidade da produção é geralmente menos crítica (com algumas exceções notáveis).
No mundo comercial, os procedimentos são amplamente impulsionados pela experiência pessoal ou pelas preferências do seu empregador, e a velocidade da produção é muito maior. Passei quatro meses em um único disco rígido uma vez com um empregador federal por causa da quantidade de dados que ele continha, mas no mundo comercial, você geralmente pretende um tempo de resposta de dias ou semanas no máximo.
TR: Como é um dia de trabalho típico para um analista ou examinador forense digital?
Ji: O dia de trabalho para um profissional forense digital é tudo menos típico. Dependendo da organização para quem você está trabalhando, você pode estar trabalhando em um fluxo constante de casos de pornografia infantil, ou pode estar analisando assuntos tão de alto perfil que os está assistindo na CNN enquanto faz o trabalho.
No entanto, muitas vezes você pode esperar estar em um escritório excessivamente quente (devido ao número de computadores em sua mesa dominando o ar condicionado típico do escritório), e você ficará muito bom em reunir um componente de trabalho de um monte de não funcionar uns.
Grande parte do seu dia será gasta em documentação. Você pode estar escrevendo um relatório de análise, por pares revisando o relatório de outro examinador ou observando tudo o que fez ao realizar um exame. O melhor exame do mundo é inútil se você não puder se comunicar claramente em um relatório escrito que pode ser facilmente compreendido por um agente, oficial, advogado ou júri. Além disso, se o seu relatório escrito for ruim, naturalmente questionará suas habilidades técnicas por aqueles que tentam lê -lo.
Dependendo de onde você trabalha, testemunhar no tribunal é uma parte potencial da realização de análises forenses digitais. Se você está trabalhando em um ambiente de aplicação da lei, é quase garantido, mas mesmo o pessoal forense corporativo pode ter que testemunhar durante um processo de rescisão injusta ou para apoiar a ação de aplicação da lei subsequente de rastrear uma intrusão. Alguns examinadores que conheci são ótimos atrás do teclado e podem escrever relatórios fantásticos, mas desmoronam quando chamados para testemunhar no tribunal.
TR: Você escreveu um artigo intitulado Lado mais escuro da forense digital. Você pode nos contar um pouco sobre algumas das armadilhas do trabalho?
Ji: Na verdade, você está referenciando uma postagem no blog que escrevi um EON atrás que foi escolhido por alguns pontos de venda forense digital e foi repassado várias vezes. Eu não tinha ideia de que teria essas "pernas" quando escrevi; Fiquei surpreso que as pessoas que queriam entrar em campo ainda não tinham ideia do que realmente implicava.
O computador forense tem sido uma carreira fantástica para mim, mas definitivamente existem armadilhas. De fato, as duas primeiras sessões de classe que ensino estão centradas nas realidades do trabalho, e estou chocado toda vez que descobri que sou a primeira pessoa que disse aos meus alunos como é realmente o trabalho depois Eles escolheram isso como seu campo de graduação.
Não tenho números científicos, mas eu estimaria cerca de 70 a 80 % dos casos forenses de computadores em todo o mundo estão relacionados à pornografia infantil. Quanto mais perto você chegar da aplicação da lei estadual e local, maior esse número.
Mesmo se você estiver se concentrando nas intrusões de computador e na resposta a incidentes, geralmente encontrará pornografia infantil como um propósito ou resultado da intrusão (ou simplesmente existente nos computadores que você examina do usuário regular da máquina).
Exposição à pornografia infantil, principalmente por oito horas por dia, 40 horas por semana, 52 semanas por ano, afeta. Não é apenas olhar para fotos paradas. Você está assistindo os vídeos também, e está vendo e ouvindo tudo.
Se você puder continuar fazendo isso, provavelmente desenvolverá um senso de humor muito escuro e cemitério para combatê -lo. Eu também voluntaroi com um esquadrão de incêndio e resgate e você vê muito do mesmo humor lá; É um mecanismo de enfrentamento desenvolvido por pessoas que trabalham nas áreas mais sombrias da vida.
Além disso, dependendo do trabalho que você está fazendo, você será exposto a imagens gráficas e texto de assassinato, tortura, estupro, terrorismo e praticamente qualquer crime, depravação, pornografia ou desvio, você pode imaginar.
Os computadores são excelentes ferramentas para o bem e também são excelentes ferramentas para cometer crimes e espalhar o ódio. Como um examinador forense de computador, você será exposto a tudo isso, dia após dia. Em um grupo, tivemos uma piada que riffed em um comercial na época conversando sobre pessoas que “surfavam no fundo da Internet.”Acrescentamos:“ ... e então nossa equipe recebe uma pá e começa a cavar.”
Por causa do trabalho e do conteúdo ao qual um examinador está submetido, muitas pessoas que entram em campo não duram. Em média, eu diria que cerca de 50 % das pessoas que entram nele saem em cerca de dois anos. Essa parece ser a marca quando um examinador já teve casos suficientes sob o cinto para serem pesados (ou imune a) a exposição. Se você pode superar a marca de dois anos, geralmente tem uma longa carreira pela sua frente no computador forense.
Uma disciplina em mudança
TR: Com esses avanços tão rápidos na tecnologia de computação na última década, como o campo da forense digital mudou ao longo de sua carreira?
Ji: O computador forense mudou tremendamente desde quando eu comecei nos anos 90. Naquela época, você olhou para cada arquivo em um disco rígido (porque você podia), e os dispositivos móveis não eram nem um pensamento. Discos de disquete chegariam às centenas, mas agora você nunca os vê.
Hoje, a quantidade de dados é tão vasta que você precisa ser muito mais definido em suas pesquisas, e os dispositivos móveis são iguais-se não são mais importantes do exame de exame.
Além disso, a profundidade das ferramentas mudou significativamente. Nos primeiros dias, a maioria das ferramentas era escrita por policiais que haviam participado de algumas aulas de programação ou que eram autodidatas. Tínhamos dezenas de utilitários de uso único que nós reuniríamos para fazer um exame.
Agora, as ferramentas são muito mais profissionais e multiuso. Um bom examinador ainda terá uma grande "caixa de ferramentas" para trabalhar, mas ele ou ela tem opções de plataforma de base muito melhores para realizar o exame geral. A indústria está sempre tentando se mudar para a mágica "Encontre todas as evidências", e algumas ferramentas estão se aproximando daquele para certos tipos de casos.
Politicamente, os tipos de casos mudaram tremendamente. Originalmente, o computador forense era usado principalmente pela aplicação da lei para casos criminais. Após o 11 de setembro, grande parte do trabalho mudou para o contraterrorismo. Agora, as intrusões de computador são o tópico quente, e muitas carreiras avançaram para a resposta a incidentes. O campo muda tremendamente com os tempos.
TR: Atualmente, você atua como vice -presidente de desenvolvimento de tecnologia na Cytech Services. Se você pode compartilhá -los conosco, que tipo de inovações você conseguiu ter uma mão ao longo de sua carreira?
Ji: Fazer a mudança para os serviços da Cytech tem sido fantástico para mim. Na minha posição, não apenas sou capaz de usar minha experiência forense de computador, mas também posso usar minha formação em gerenciamento de projetos de software. A Cytech produz a Cyfir Enterprise (Cytech Forensics and Incidents Response) para realizar investigações forenses de computador corporativo.
Minha contribuição aqui é um desenvolvimento adicional da ferramenta com os olhos de um praticante. Por exemplo, a arquitetura do Cyfir permite que os investigadores pesquisem todos os nó em uma rede corporativa de uma só vez por dados forenses--Exigindo que os usuários parem de trabalhar para um longo processo de imagem.
Se houver um surto de código malicioso em uma organização, o Cyfir tem a capacidade de localizar todas as máquinas afetadas em poucos minutos, em vez de dias ou semanas. Isso é enorme ao realizar a resposta a incidentes, descoberta eletrônica ou investigações internas em uma grande rede corporativa ou ao responder a um compromisso de ponto de venda de várias lojas que está roubando dados do cartão de crédito das faixas de checkout. O antigo pensamento de “Image tudo e classificá -lo mais tarde” simplesmente não voa mais em um contexto corporativo.
Embora não seja uma "inovação" em si, com minha formação em gerenciamento, tive excepcionalmente sorte de identificar candidatos que fazem excelentes examinadores forenses.
Retomar a inflação é, infelizmente, um grande problema em nossa indústria, e alguém que está ótimo no papel pode ter apenas um conhecimento no nível da palavra de buzz de realmente realizar um exame. Por meio de um processo de entrevista que desenvolvi ao longo do tempo, tive muito bem -sucedido em encontrar os candidatos certos com as habilidades necessárias para a posição.
Do lado educacional, pude passar meus conhecimentos e mais experiências, minha experiência para as gerações futuras de examinadores forenses. Durante os dois primeiros dias de aula que mencionei, acho que uma ou duas pessoas a cada semestre me dirão que elas não perceberam o que haviam negociado quando iniciaram o programa e me agradecem por que eles soubessem qual era o trabalho Como, porque eles não se sentiram confortáveis em executar esse tipo de trabalho.
Nesse ponto, sou capaz de guiá -los em um programa de segurança de computadores que não terá os mesmos tipos de problemas de conteúdo que os esperam no futuro. Da mesma forma, posso identificar rapidamente os alunos que realmente parecem ter "The Knack", e posso ajudar a apontá -los na direção certa para iniciar suas carreiras.
Na parte final de nossa entrevista com o especialista em forense digital John Irvine, aprendemos por que o campo é tão importante, o que os aspirantes a examinadores podem ganhar e o que você pode fazer para começar em uma carreira como especialista forense digital.
Por que forense digital é tão importante e como você pode começar
TR: Por que o campo da forense digital é tão valioso para governos e corporações?
Ji: A forense digital é valiosa para governos e corporações exatamente pela mesma informação da razão. Se essas informações são evidências de um caso criminal federal ou conhecimento de um privilégio que rouba a propriedade intelectual corporativa para um concorrente, os profissionais forenses digitais fornecem dados que os clientes, de outra forma, não têm disponível.
Em termos muito simples, alguém poderia comparar o trabalho de um examinador forense digital ao de um desenvolvedor de fotos. Por exemplo, se eu tiver um rolo de filme não desenvolvido em minhas mãos, isso é quase inútil para mim como qualquer tipo de evidência. No entanto, se alguém desenvolver esse filme em imagens (ou recuperar dados de um disco rígido em nosso caso), esse conteúdo pode fornecer tudo o que o promotor, o gerente de RH ou o oficial de segurança corporativa precisa.
Agora que penso nisso, preciso criar uma nova analogia para o futuro. As crianças na escola hoje provavelmente nem sabem o que é mais um "rolo de filme"!
TR: O que você mais gosta no seu trabalho e por que você continua fazendo isso?
Ji: Forense Digital me atrai em vários níveis. Em primeiro lugar, isso me permite fazer contribuições significativas para a segurança das pessoas sem ser restrito pelas limitações físicas da visão ou idade. Talvez eu não seja o agente perseguindo alguém em um beco, mas posso dar a esse agente os dados do telefone celular do sujeito que sela o estojo e abre mais três.
Em seguida, a forense digital me atrai profundamente porque é um híbrido do meu amor pela aplicação e inteligência da lei (meu tivo está cheio de shows de policial e espionagem) e meu geek interno. Se você assistir a esses programas, você está vendo uma evolução desses personagens na tela. Quinze anos atrás, eles eram os nerds über com óculos quebrados e graças sociais desajeitadas. Agora, o examinador forense do computador geralmente tem um senso de humor seco e um ótimo senso de estilo!
TR: O que é preciso para ter sucesso como examinador ou analista forense digital?
Ji: Principalmente, é preciso uma paixão sincera pela justiça (e estou usando isso em um termo abrangente) com o amor pelas coisas técnicas. Se você tem esses dois itens, você está no seu caminho.
Programas educacionais formais estão disponíveis agora, que não existiam apenas alguns anos atrás, e vale a pena dedicar um tempo para investigá -los para ver o que cada um tem a oferecer. Além disso, muitas das ferramentas forenses por aí têm aulas (usando a ferramenta vendida pela empresa, a minha incluída) que pode deixar você começar.
Enquanto digo aos meus alunos, o campo exige um forte senso de responsabilidade pessoal. Você precisa estar disposto a colocar seu nome e reputação em risco a cada caso que analisa, porque você pode muito bem acabar no tribunal com base no conteúdo do seu relatório. Se você não tem convicção, graça sob pressão ou sinceridade, este não é absolutamente o campo de carreira para você.
Por fim, ser bem-sucedido é ajudado tremendamente, encontrando um bom mentor no campo e trabalhando no ombro a ombro com essa pessoa enquanto você aprende o comércio. As escolas podem lhe dar uma ótima base, mas a experiência do caso ajuda você a colocar as pessoas atrás das grades.
TR: Quanto o seu examinador forense digital médio deve esperar ganhar e quanto eles podem ganhar se se tornarem respeitáveis e/ou irem para uma empresa privada?
Ji: Os salários forenses digitais variam amplamente e, recentemente devido à seqüestro e saturação do mercado de pessoas que tentam se anunciar como examinadores forenses de computador que não estão, os salários estão começando a descer. (Grande parte da responsabilidade repousa com maus gerentes de contratação que não podem determinar o verdadeiro conjunto de habilidades de um candidato.)
No entanto, em geral, uma pessoa com talento deve ser capaz de encontrar posições entre US $ 60 e US $ 80.000 em nível júnior, US $ 80 e US $ 120.000 em um nível médio e até e mais de US $ 150.000 em nível sênior. Dito isto, eu conheço alguns examinadores incríveis que estavam em cargos pagando apenas US $ 50.000 por ano como policiais locais, e eu conheço examinadores ruins que ganhavam mais de US $ 250.000 por ano porque comercializavam bem seu nome.
Em termos muito gerais, os examinadores forenses aproveitam o máximo em casos de litígio de defesa ou em descoberta eletrônica se puderem executar um grande número de casos de uma só vez (e cobrar vários clientes). Esses níveis salariais são normalmente seguidos por contratados do governo federal, funcionários do governo federal, funcionários do governo estadual, militares e, finalmente, examinadores do governo local, respectivamente.
Os salários comerciais variam dependendo da experiência, tamanho da empresa e interesse corporativo em forense (por causa da proatividade ou constrangimento público).
TR: Que conselho você dá para alguém que está tentando decidir se deseja ou não trabalhar como examinador forense digital ou para alguém que está começando no campo?
Ji: Leia este artigo! Sério, eu gastaria um pouco de tempo no LinkedIn e alcançava pessoas em forense digital para fazer muitas das mesmas perguntas que você me fez.
Encontre pessoas que trabalham para as organizações ou empresas para as quais você deseja trabalhar e deixe-as falar sobre a rotina do dia-a-dia. Eu coloco uma ou duas perguntas por semana através dos meus endereços de e -mail do LinkedIn ou da escola e fico feliz em oferecer meus conselhos, dependendo de suas situações individuais.
Se você tem um pouco de dinheiro para gastar, sugiro se inscrever em uma das aulas de treinamento oferecidas pelos grandes fabricantes de ferramentas forenses de computador para ter uma ideia do que está envolvido com o trabalho e as maneiras pelas quais é feito.
Se a turma mantive seu interesse, eu examinaria os excelentes programas em algumas universidades nos níveis de BS ou MS (como os mestres do computador forense disponíveis na George Mason University em Fairfax, Virginia, onde eu ensino).
TR: Se você tiver mais alguma coisa que gostaria de acrescentar sobre sua carreira ou campo em geral, fique à vontade para compartilhá -lo.
Ji: Forense de computador definitivamente não é para todos, e isso está ok. Antes de gastar muito tempo ou dinheiro, encontre um profissional forense digital em sua área, ofereça -se para comprar uma xícara de café e escolha seus cérebros por uma hora. A maioria de nós está mais do que disposta a compartilhar nosso conhecimento, pois foi assim que surgimos.
Digital Forensics é um campo de crescimento (vamos ser sinceros, os computadores não vão embora tão cedo), e há muito trabalho para todos. No entanto, se você não valoriza a verdade e não conseguir defender seu trabalho diante das adversidades, você não vai durar muito neste negócio, onde a reputação é tudo.
Talvez eu não conheça um determinado examinador forense pessoalmente, mas posso garantir que estou com um telefonema de alguém que o faz, e aqueles “arquivos de salão” não oficiais são passados entre os examinadores rapidamente. Um exemplo de pobre sinceridade ou falta de responsabilidade pode acabar com uma carreira em suas trilhas.
Tudo isso dito, tem sido um campo fantástico para mim, e sou grato a todos com quem trabalhei no passado pelas lições que eles me ensinaram e as experiências que eles transmitiram. Tem sido um passeio selvagem.
- « 8 grandes filmes Rita Hayworth
- As habilidades que você precisa para ser um desenvolvedor de back-end »