El experto en análisis forense digital John Irvine comparte cómo comenzó su carrera
- Aprenda más acerca de los trabajos de experto forense digital
El ciberespacio se está convirtiendo cada vez más en un "barrio de alto crimen", y la necesidad de una presencia policial es evidente.
Ahí es donde entran en juego el campo de las ciencias digitales y multimedia, y gente como John Irvine.
Uno de los pioneros del campo forense digital, John estaba realizando investigaciones por computadora antes de que la mayoría de la gente supiera que existía tal cosa. Actualmente, se desempeña como Vicepresidente de Desarrollo Tecnológico en CyTech Services, una compañía privada que se especializa en recuperación de datos y análisis forense digital.
John es también profesor adjunto de análisis forense digital en la Universidad George Mason, donde enseña Asuntos Legales y Éticos en Informática Forense. Tiene una Maestría en Sistemas de Información y un certificado de postgrado en ingeniería de sistemas de software.
Ha estado trabajando en informática forense desde 1997 en el sector público y privado, incluido el trabajo con el FBI, la DEA y numerosas firmas privadas de consultoría. También es voluntario del Departamento de Bomberos Voluntarios de Arcola. Tan ocupado como está, encontró el momento de responder algunas preguntas sobre el campo de rápido crecimiento del análisis forense digital y sobre cómo es trabajar en la industria.
Entrevista con el experto en análisis forense digital John Irvine :
Tim Roufa: Tienes años de experiencia en análisis forense digital, hasta el punto de que te has establecido como un experto reconocido en el campo. Obviamente, se necesita mucho trabajo y educación para lograr lo que ha podido, pero ¿cómo comenzó?
John Irvine: ¡ Completamente por accidente! Como la mayoría de las historias de grandes carreras, caí en ello por casualidad, no por planificación. Siempre he tenido un gran interés en la tecnología. Cuando era niño, armé el primer clon de PC en el bloque. Además, desde los cinco años, sabía que quería ser un agente del FBI. Finalmente, los dos intereses encajaron.
Mientras estaba sentado en mi oficina trabajando en la gestión de proyectos de software un día, sentí la necesidad de finalmente contactar al FBI. Esto fue antes de que Internet fuera, bueno, INTERNET, por lo que no pude obtener información fácilmente en línea. Llamé a mi oficina de campo local del FBI, dejé mi nombre y mi dirección en el contestador automático para los candidatos interesados, y respondí "sí" a la pregunta sobre las habilidades informáticas.
- Digital Forensics no es para usted? Aprenda cómo convertirse en un agente del FBI
Recibí lo que llamo el paquete "¿Así que quieres ser un agente especial?" Unas semanas más tarde. Abrí el folleto y la primera página sopló mi sueño de toda la vida en una oración. Mi carrera como agente del FBI terminó antes de que comenzara con el requisito de una visión 20/40 sin corregir o mejor. En un tiempo anterior a las maravillas de LASIK, tenía alrededor de 20/2000.
Al final del paquete estaba lo que parecía una copia de la 17ª generación, muy sesgada, casi ilegible, de una publicación de trabajo para un "especialista en informática" que aparentemente había sido incluido debido a mi capacidad declarada con las computadoras.
Pensé: "Bueno, tal vez pueda arreglar impresoras o algo para el FBI". Al menos eso me llevará a la puerta ".
Envié mi currículum a la persona de Recursos Humanos que figura en la descripción del trabajo, y recibí una llamada más o menos una semana después de uno de los Gerentes de Programa en el Equipo de Respuesta de Análisis Computacional del FBI. Él dijo: "Tu currículum me fue enviado porque dijiste que eras un 'generalista informático' en tu carta de presentación. ¿Qué sabes sobre informática forense? "" Nada ", respondí. Él dijo: "Genial. Ven a una entrevista ".
El resto, como dicen, era historia.
- Hablando de historia, explora la historia temprana de la ciencia forense
- Descubra más sobre la historia moderna de la ciencia forense
TR: ¿Cómo te interesaste por primera vez en el análisis forense digital?
JI: En la entrevista, las personas con las que me encontré me dijeron que podía ser un friki con mala vista y aún así ayudar a atrapar a los malos.
Aparentemente, mis capacidades generalistas, lo que significa que podría usar diferentes sistemas operativos y tener un conocimiento bastante bueno de las aplicaciones de hardware y aplicaciones principales, encajarían perfectamente en su equipo.
Eso fue realmente todo lo que necesitaba escuchar. Pensé que había estado jugando con los sistemas operativos Linux y Mac además de Windows solo por diversión; No me di cuenta de que todo estaba preparando el escenario para una futura carrera.
TR: Además de su experiencia forense, ha pasado mucho tiempo trabajando para el gobierno federal. ¿Esa experiencia te ayudó a prepararte para tu carrera actual?
JI: Antes de trabajar para el FBI, había pasado bastante tiempo como contratista del gobierno. De hecho, durante mi último año de secundaria, me iría cuando sonara el timbre y me dirigiría por la calle a un contratista de defensa donde trabajé como asistente de los Directores de Recursos Humanos y Seguridad Especial. Más tarde, trabajé para una compañía de software que tenía varios clientes del gobierno.
Además de tener una autorización de seguridad a una edad muy temprana, esa experiencia me ayudó exponiéndome a varias plataformas de hardware, aplicaciones de software y, lo que es más importante, diferentes tipos de personas en el mundo gubernamental y profesional. Independientemente de cómo se ve, la informática forense se trata tanto de las personas que usan las computadoras que se analizan como del hardware en sí.
Siguiente: John Irvine analiza el lado oscuro de la ciencia forense digital
En la segunda parte de nuestra entrevista con el profesor y experto forense digital John Irvine, nos enteramos sobre algunos de los peligros de la profesión y él explica por qué este trabajo no es para todos.
Entrevista con el experto en análisis forense digital John Irvine, Parte 2:
TR: Entre tu licenciatura en administración, tu certificado de ingeniería de software y tu maestría en sistemas de información, ¿qué tan bien crees que tus títulos te prepararon para tu carrera?
JI: Cada uno de esos programas trajo algo a la mesa para mí trabajando en informática forense. Primero, creo que es importante decir que la informática forense NO es una disciplina de ciencias de la computación. Es tanto una función de investigación como un desafío técnico. Si falta alguna de las habilidades, tendrá mucho más difícil trabajar con éxito en el campo.
La Maestría en Sistemas de Información me ayudó al comprender mejor los sistemas operativos, los sistemas de archivos y la mecánica de la computadora. Sin embargo, mi BS en Administración fue igualmente útil con mi trabajo de curso en psicología, sociología, administración y contabilidad. Realmente no puedo dar una ventaja de un grado sobre el otro por su utilidad en el campo.
Dicho eso, quiero asegurarme de decir algunas cosas. Informática Forense es una disciplina de aprendizaje. Se han producido más programas en los últimos años -el en el que doy clases en la Universidad George Mason- que ofrecen cursos excelentes en informática forense.
Sin embargo, realmente aprendes el oficio una vez que estás en un asiento trabajando en casos reales junto a un examinador superior.
Además, NO es necesario tener un fondo de programación para trabajar con éxito en el campo. De hecho, he tenido investigadores de entrenamiento de suerte significativamente mejores en los detalles técnicos del trabajo que he tenido en la enseñanza de métodos de investigación de los programadores y el arte de "la corazonada". Si uno no tiene una formación técnica en la escuela, eso NO es un impedimento para entrar al campo.
- Aprenda qué tipo de título debe obtener para una carrera de ciencia forense
- Explore las clases de títulos que debería ganar para carreras en criminología y justicia criminal
TR: Has trabajado tanto en el sector privado como en el público, realizando gran parte del mismo trabajo. ¿Cómo describirías la diferencia entre los dos?
JI: Las mayores diferencias entre trabajar en los sectores público y privado generalmente son de procedimiento y velocidad. En el mundo federal, los procedimientos propios generalmente están (pero no siempre) muy prescritos, y la velocidad de producción generalmente es menos crítica (con algunas excepciones notables).
En el mundo comercial, los procedimientos dependen en gran medida de la experiencia personal o de las preferencias de su empleador, y la velocidad de producción es mucho mayor. Pasé cuatro meses en una sola unidad de disco duro con un empleador federal debido a la cantidad de datos que contenía, pero en el mundo comercial, generalmente busca un tiempo de respuesta de días o semanas como máximo.
TR: ¿Cuál es un día de trabajo típico para un analista o examinador forense digital?
JI: El día de trabajo para un profesional forense digital es cualquier cosa menos típico. Dependiendo de la organización para la que trabaje, podría estar trabajando en un flujo constante de casos de pornografía infantil, o podría estar analizando temas de tan alto perfil que los está viendo en CNN mientras está haciendo el trabajo.
Sin embargo, a menudo puede esperar estar en una oficina demasiado caliente (debido a la cantidad de computadoras en su escritorio que dominan el típico aire acondicionado de la oficina), y obtendrá muy buenos elementos para ensamblar un componente funcional de un grupo de dispositivos que no funcionan unos.
Gran parte de tu día se gastará en documentación. Puede estar escribiendo un informe de análisis, revisando por pares el informe de otro examinador o anotando todo lo que hizo al realizar un examen. El mejor examen en el mundo es inútil si no se puede comunicar claramente en un informe escrito que pueda ser fácilmente entendido por un agente, funcionario, abogado o jurado. Además, si su informe escrito es deficiente, naturalmente cuestionará sus habilidades técnicas por parte de quienes intentan leerlo.
- Aprenda más acerca de por qué las habilidades de escritura son tan importantes en cualquier carrera de criminología
Dependiendo de dónde trabaje, testificar en la corte es una parte potencial de realizar un análisis forense digital. Si está trabajando en un entorno policial, está casi garantizado, pero incluso el personal forense corporativo podría tener que testificar durante una demanda por despido improcedente o para respaldar una acción posterior de aplicación de la ley al rastrear una intrusión. Algunos de los examinadores que conozco son excelentes detrás del teclado y pueden escribir informes fantásticos, pero se desmoronan cuando se los llama para testificar ante un tribunal.
TR: Usted escribió un artículo titulado The Dark Side of Digital Forensics . ¿Puedes contarnos un poco sobre algunos de los peligros del trabajo?
JI: En realidad, hace referencia a una publicación de blog que escribí hace un año y que fue recopilada por algunos medios forenses digitales y que se ha vuelto a publicar una y otra vez. No tenía idea de que tendría esas "piernas" cuando lo escribí; Me sorprendió que las personas que querían entrar en el campo aún no tenían idea de lo que realmente implicaba.
La informática forense ha sido una carrera fantástica para mí, pero definitivamente hay trampas. De hecho, las dos primeras sesiones de clase que enseño se centran en las realidades del trabajo, y estoy sorprendido cada vez que descubro que soy la primera persona que les ha dicho a mis alumnos cómo es realmente el trabajo después de lo han elegido como su campo de grado.
No tengo números científicos, pero estimaría que alrededor del 70-80% de los casos forenses informáticos en todo el mundo están relacionados con la pornografía infantil. Cuanto más se acerque a la policía estatal y local, mayor será el número.
Incluso si se está concentrando en intrusiones de computadora y respuesta a incidentes, a menudo encontrará pornografía infantil como un propósito o resultado de la intrusión (o simplemente existe en las computadoras que examina del usuario habitual de la máquina).
La exposición a la pornografía infantil, particularmente durante ocho horas al día, cuarenta horas a la semana, cincuenta y dos semanas al año, pasa factura. No es solo mirar imágenes fijas. También está viendo los videos y está viendo y escuchando todo.
Si puedes seguir haciéndolo, lo más probable es que desarrolles un sentido del humor en el cementerio muy oscuro para combatirlo. También soy voluntario de un escuadrón de bomberos y rescate, y se ve mucho del mismo humor allí; es un mecanismo de adaptación desarrollado por personas que trabajan en las áreas más sombrías de la vida.
Además, según el trabajo que realice, estará expuesto a imágenes gráficas y textos de asesinatos, torturas, violaciones, terrorismo y casi cualquier delito, depravación, pornografía o desviación que pueda imaginarse.
Las computadoras son herramientas excelentes para bien, y también son herramientas excelentes para cometer crímenes y propagar el odio. Como examinador forense de la computadora, estarás expuesto a todo, día tras día. En un grupo teníamos una broma que riffed en un comercial en ese momento hablando de personas que "navegaban hasta el fondo de Internet". Añadimos, "... y luego nuestro equipo saca una pala y comienza a cavar".
Debido al trabajo y el contenido al que está sujeto un examinador, muchas personas que ingresan al campo no duran. En promedio, diría que aproximadamente el cincuenta por ciento de las personas que ingresan se van dentro de unos dos años. Esa parece ser la marca cuando un examinador ha tenido suficientes casos debajo de su cinturón como para sentirse abrumado por (o inmune a) la exposición. Si puede superar la marca de dos años, generalmente tiene una larga carrera por delante en informática forense.
TR: Con avances tan rápidos en la tecnología informática en la última década, ¿cómo ha cambiado el campo de la informática forense en tu carrera?
JI: La informática forense ha cambiado enormemente desde que comencé en los 90. En aquel entonces, mirabas cada archivo en un disco duro (porque podrías), y los dispositivos móviles ni siquiera eran un pensamiento. Los disquetes llegaban por cientos, pero ahora, nunca los ves.
Hoy en día, la cantidad de datos es tan grande que debe ser mucho más preciso en sus búsquedas, y los dispositivos móviles son un tema de examen igual, si no más importante.
Además, la profundidad de las herramientas ha cambiado significativamente. En los primeros días, la mayoría de las herramientas fueron escritas por policías que habían tomado algunas clases de programación o que eran autodidactas. Tuvimos docenas de utilidades de un solo uso que improvisamos para hacer un examen.
Ahora, las herramientas son mucho más profesionales y multiusos. Un buen examinador todavía tendrá una gran "caja de herramientas" para trabajar, pero él o ella tiene opciones de plataforma base mucho mejores para realizar el examen general. La industria siempre está tratando de pasar al mágico botón "encontrar todas las pruebas", y algunas herramientas se acercan a eso en ciertos tipos de casos.
Políticamente, los tipos de casos han cambiado tremendamente. Originalmente, la informática forense era utilizada principalmente por las fuerzas del orden público para casos criminales. Después del 11 de septiembre, gran parte del trabajo se orientó hacia la lucha contra el terrorismo. Ahora, las intrusiones informáticas son el tema candente y muchas carreras se han movido hacia la respuesta a incidentes. El campo cambia tremendamente con los tiempos.
TR: Actualmente usted se desempeña como Vicepresidente de Desarrollo Tecnológico en CyTech Services. Si puede compartirlos con nosotros, ¿qué tipo de innovaciones ha podido tener en su carrera?
JI: Pasar a CyTech Services ha sido fantástico para mí. En mi posición, no solo puedo usar mi experiencia forense de computadora, sino que también puedo usar mi experiencia en administración de proyectos de software. CyTech produce CyFIR Enterprise (CyTech Forensics and Incident Response) para realizar investigaciones forenses informáticas empresariales.
Mi contribución aquí es desarrollar aún más la herramienta con el ojo de un practicante. Por ejemplo, la arquitectura de CyFIR les permite a los investigadores buscar en todos los nodos de una red empresarial de una vez para obtener datos forenses, sin requerir que los usuarios dejen de trabajar durante un largo proceso de creación de imágenes.
Si hay un brote de código malicioso en una organización, CyFIR tiene la capacidad de localizar todas las máquinas afectadas en minutos en lugar de días o semanas. Esto es enorme cuando se realizan respuestas a incidentes, eDiscovery o investigaciones internas en una red de grandes empresas o cuando se responde a un compromiso de punto de venta de múltiples tiendas que está robando datos de tarjetas de crédito de las líneas de pago. El viejo pensamiento de "representar todo y ordenarlo más tarde" simplemente ya no vuela en un contexto empresarial.
Si bien no es una "innovación" per se, con mi experiencia en gestión, he sido excepcionalmente afortunado al identificar candidatos que son excelentes forenses.
Reanudar la inflación es, lamentablemente, un gran problema en nuestra industria, y alguien que se ve muy bien en el papel podría tener solo un conocimiento a nivel de palabra de moda para realizar un examen. A través de un proceso de entrevistas que he desarrollado con el tiempo, he tenido mucho éxito en encontrar los candidatos adecuados con las habilidades necesarias para el puesto.
En el aspecto educativo, he podido transmitir mi conocimiento y, lo que es más importante, mi experiencia a las futuras generaciones de examinadores forenses. Durante los primeros dos días de clase que mencioné, encuentro que una o dos personas cada semestre me dirán que no se dieron cuenta de lo que habían negociado cuando comenzaron el programa y me agradecieron por dejarles saber cuál era el trabajo. como, porque no se sentían cómodos realizando ese tipo de trabajo.
En ese momento, puedo guiarlos hacia un programa de seguridad informática que no tendrá el mismo tipo de problemas de contenido esperándolos en el futuro. Del mismo modo, puedo identificar rápidamente a los estudiantes que realmente parecen tener "la habilidad", y puedo ayudarles a orientarlos en la dirección correcta para comenzar sus carreras.
Siguiente: John Irvine comparte consejos sobre cómo conseguir un trabajo en análisis forense digital
En la parte final de nuestra entrevista con el experto en análisis forense digital John Irvine, nos damos cuenta de por qué el campo es tan importante, lo que los aspirantes a examinadores pueden obtener y lo que puede hacer para comenzar una carrera como experto forense digital.
Entrevista con el experto en análisis forense digital John Irvine, Parte 3:
TR: ¿Por qué el campo de la ciencia forense digital es tan valioso para los gobiernos y las empresas?
JI: El análisis forense digital es valioso tanto para los gobiernos como para las empresas por exactamente la misma razón: información.
Ya sea que esa información sea evidencia de un caso criminal federal o conocimiento de un robo interno de propiedad intelectual corporativa para un competidor, los profesionales forenses digitales proporcionan datos que los clientes de otro modo no tendrían disponibles.
En términos muy simples, uno podría comparar el trabajo de un examinador forense digital con el de un desarrollador de fotografías. Por ejemplo, si tengo un rollo de película sin revelar en mis manos, eso es casi inútil para mí como cualquier tipo de evidencia. Sin embargo, si alguien desarrolla esa película en imágenes (o recupera datos de un disco duro en nuestro caso), ese contenido puede proporcionar todo lo que el fiscal, el gerente de recursos humanos o el oficial de seguridad corporativa necesita.
Ahora que lo pienso, necesito encontrar una nueva analogía para el futuro. Los niños en la escuela hoy probablemente ni siquiera saben lo que es un "rollo de película".
TR: ¿Qué es lo que más disfrutas de tu trabajo y por qué continúas haciéndolo?
JI: El análisis forense digital me atrae en varios niveles. En primer lugar, me permite hacer contribuciones significativas a la seguridad de las personas sin estar restringido por las limitaciones físicas de la vista o la edad. Puede que no sea el agente persiguiendo a alguien en un callejón, pero podría darle a ese agente los datos del teléfono celular del sujeto que sella el caso y abre tres más.
Luego, el análisis forense digital me atrae profundamente porque es un híbrido de mi amor por la aplicación de la ley y la inteligencia (mi TiVo está lleno de espectáculos de policías y espías) y mi friki interno. Si ves esos programas, incluso estás viendo una evolución de esos personajes en la pantalla. Quince años atrás, eran los über-nerds con gafas rotas y extrañas gracias sociales. ¡Ahora, el examinador forense de la computadora por lo general tiene un seco sentido del humor y un gran sentido del estilo!
TR: ¿Qué se necesita para tener éxito como analista o analista forense digital?
JI: Principalmente, se necesita una sincera pasión por la justicia (y lo estoy usando en un término que lo abarca todo) con un amor por las cosas técnicas. Si tiene esos dos elementos, ya está en camino.
Los programas educativos formales están disponibles ahora, que no existían hace unos pocos años, y vale la pena tomarse el tiempo para investigarlos y ver lo que cada uno tiene para ofrecer. Además, muchas de las herramientas forenses tienen clases (usando la herramienta que vende la empresa, incluida la mía) que pueden ayudarlo a comenzar.
Como les digo a mis alumnos, el campo requiere un fuerte sentido de responsabilidad personal. Debe estar dispuesto a poner su nombre y su reputación en línea con cada caso que analice, porque podría terminar en la corte según el contenido de su informe.
Si carece de convicción, gracia bajo presión o franqueza, este NO es en absoluto el campo profesional para usted.
Por último, ser exitoso se ayuda tremendamente al encontrar un buen mentor en el campo y trabajar codo a codo con esa persona mientras aprende el oficio. Las escuelas pueden darte una buena base, pero la experiencia de casos te ayuda a poner a las personas tras las rejas.
TR: ¿Cuánto debería esperar ganar su examinador forense digital promedio, y cuánto podrían ganar si se hacen acreedores y / o van a una firma privada?
JI: Los sueldos forenses digitales varían ampliamente, y recientemente debido al secuestro y la saturación del mercado de las personas que intentan anunciarse como examinadores forenses informáticos que no lo son, los salarios están empezando a disminuir. (Gran parte de la responsabilidad recae en los malos gerentes de contratación que no pueden determinar el verdadero conjunto de habilidades del candidato).
Sin embargo, en general, una persona con talento debería poder encontrar puestos entre $ 60- $ 80,000 en un nivel junior, $ 80- $ 120,000 en un nivel medio, y hasta y más de $ 150,000 en un nivel superior. Dicho esto, conocí a algunos examinadores increíbles que estaban en puestos que pagaban solo $ 50,000 por año como agentes de la policía local, y conocí a pésimos examinadores que ganaban más de $ 250,000 por año porque promocionaban bien su nombre.
En términos muy generales, los examinadores forenses aprovechan al máximo los casos de litigio en defensa o en eDiscovery si pueden ejecutar una gran cantidad de casos a la vez (y facturar a varios clientes). Esos niveles de sueldo generalmente son seguidos por contratistas del gobierno federal, empleados del gobierno federal, empleados del gobierno estatal, militares y finalmente inspectores del gobierno local, respectivamente.
- Aprenda acerca de las Carreras de la Aplicación de la Ley Militar
- Descubra Carreras Federales de Aplicación de la Ley
Los salarios comerciales abarcan toda la gama, dependiendo de la experiencia, el tamaño de la empresa y el interés corporativo en medicina forense (ya sea por proactividad o vergüenza pública).
TR: ¿Qué consejo tienes para alguien que está tratando de decidir si quiere o no trabajar como examinador forense digital, o para alguien que recién comienza en el campo?
JI: ¡ Lee este artículo! En serio, me gustaría pasar un poco de tiempo en LinkedIn y llegar a las personas en análisis forense digital para hacerles muchas de las mismas preguntas que me han hecho.
Busque personas que trabajen para las organizaciones o empresas en las que desea trabajar y permítales que le cuenten sobre el día a día. Realizo una o dos consultas a la semana a través de mi LinkedIn o las direcciones de correo electrónico de la escuela, y estoy feliz de poder ofrecer mi asesoramiento dependiendo de sus situaciones individuales.
Si tiene un poco de dinero para gastar, le sugiero que se inscriba en una de las clases de capacitación que ofrecen los grandes fabricantes de herramientas forenses informáticas para tener una idea de lo que implica el trabajo y las formas en que se lleva a cabo.
Si la clase tiene su interés, examinaría los excelentes programas en algunas universidades en los niveles de BS o MS (como el Masters of Computer Forensics disponible en la Universidad George Mason en Fairfax, Virginia, donde enseño).
- Obtenga más información acerca de cómo convertirse en un examinador forense digital
TR: Si tiene algo más que quisiera agregar sobre su carrera o el campo en general, no dude en compartirlo.
JI: La informática forense definitivamente no es para todos, y está bien. Antes de gastar mucho tiempo o dinero, busque un profesional forense digital en su área, ofrézcale una taza de café y escoja sus cerebros durante una hora. La mayoría de nosotros estamos más que dispuestos a compartir nuestro conocimiento, ya que así es como surgimos nosotros mismos.
Digital Forensics es un campo de crecimiento (seamos sinceros, las computadoras no desaparecerán pronto), y hay mucho trabajo para todos. Sin embargo, si no valoras la verdad y no puedes defenderte de tu trabajo frente a la adversidad, no durarás mucho en este negocio donde la reputación lo es todo.
Puede que no conozca a un examinador forense dado personalmente, pero puedo garantizarle que estoy a una llamada de distancia de alguien que sí lo hace, y esos "archivos de pasillo" no oficiales se pasan rápidamente entre los examinadores. Un ejemplo de poca sinceridad o falta de responsabilidad puede terminar una carrera en sus pistas.
Dicho todo esto, ha sido un campo fantástico para mí, y estoy agradecido con todas las personas con las que he trabajado en el pasado por las lecciones que me han enseñado y las experiencias que han impartido. Ha sido un paseo salvaje.