Какво наистина е да си цифров криминалист

Съдържание

• Интервю с експерта по цифрова криминалистика Джон Ървайн
• Кариерният път и клопки в цифровата криминалистика
• Променяща се дисциплина
• Защо цифровата криминалистика е толкова важна и как можете да започнете

Няма съмнение, че технологията е променила значително начина на работа на полицията. Точно както е вярно и схващането, че нашата непрекъснато усъвършенстваща се технология променя вида на престъпленията, които полицейските детективи разследват изцяло, следователно и нарастването на работните места в дигиталната криминалистика.

Киберпространството все повече се превръща в „квартал с висока престъпност“ и необходимостта от присъствие на полиция е ясно очевидна. Точно там влизат областта на цифровите и мултимедийните науки и хора като Джон Ървайн.

Един от пионерите в областта на дигиталната криминалистика, Джон е провеждал компютърни разследвания, преди повечето хора да са знаели, че има такова нещо. В момента той служи като главен продуктов директор на CyFir, който предлага дистанционна цифрова криминалистика и платформа за реагиране на инциденти.

Джон също е професор по дигитална криминалистика в университета Джордж Мейсън, където преподава правни и етични въпроси в компютърната криминалистика. Притежава магистърска степен по информационни системи и завършил сертификат по инженерство на софтуерни системи.

Той работи в областта на компютърната криминалистика от 1997 г. в публичния и частния сектор, включително работа с ФБР, DEA и множество частни консултантски фирми. Той също така доброволно участва в доброволческата противопожарна служба Arcola. Колкото и да е зает, той намери време да отговори на някои въпроси за нас относно бързо разрастващата се област на цифровата криминалистика и какво е да работиш в бранша.

Интервю с експерта по цифрова криминалистика Джон Ървайн

Тим Руфа: Имате дългогодишен опит в дигиталната криминалистика до степен, че сте се утвърдили като признат експерт в тази област. Очевидно е необходимо много упорит труд и образование, за да постигнете това, което сте успели, но как започнахте?

Джон Ървайн: Напълно случайно! Подобно на повечето истории за големи кариери, аз попаднах в нея заради случайността, а не планирането. Винаги съм имал голям интерес към технологиите. Като дете събрах първия PC клонинг на блока. Също така, от около петгодишна възраст, знаех, че искам да бъда агент на ФБР. В крайна сметка двата интереса се изравниха.

Докато един ден седях в офиса си, работещ в управлението на софтуерни проекти, настоятелно ме накара да се свържа с ФБР. Това беше преди интернет да е, Е, ИНТЕРНЕТ, така че не можех лесно да получа информация онлайн. Обадих се в местния офис на ФБР, оставих името и адреса си на телефонния секретар за заинтересованите кандидати и отговорих „да“ на въпроса, зададен за компютърни умения.

Получих това, което наричам „Значи искаш да бъдеш специален агент?“ пакет няколко седмици по-късно. Отворих брошурата и първата страница взриви живота ми в едно изречение. Кариерата ми като агент на ФБР приключи, преди да започна с изискването за 20/40 некоригирана визия или по-добре. Във време преди чудесата на LASIK бях около 20/2000.

В задната част на пакета имаше нещо, което приличаше на 17^тата поколение, лошо изкривено, почти нечетливо копие на обява за работа за „компютърен специалист“, което очевидно е било включено поради заявената ми способност с компютри. Помислих си: „Е, може би мога да поправя принтери или нещо за ФБР. Поне това ще ме вкара във вратата. "

Изпратих автобиографията си на HR служителя, посочен в описанието на длъжността, и получих обаждане около седмица по-късно от един от ръководителите на програми в екипа за реакция на компютърен анализ на ФБР. Той каза: „Вашето резюме беше изпратено към мен, защото в мотивационното си писмо казахте, че сте„ компютърен специалист “. Какво знаете за компютърната криминалистика? “ - Нищо - отвърнах. Той каза: „Страхотно. Ела на интервю. "

TR: Как първо се заинтересувахте от дигиталната криминалистика?

СИ: В интервюто хората, с които се срещнах, ми казаха, че мога да бъда маниер с лошо зрение и все още да помогна да хвана лошите. Явно моите генералистически способности - което означава, че мога ефективно да използвам различни операционни системи и имах доста добри познания както за вътрешния хардуер, така и за основните приложения - биха се вписали в екипа им.

Това беше наистина всичко, което трябваше да чуя. Мислех, че играя с операционни системи Linux и Mac в допълнение към Windows само за забавление; Не осъзнавах, че всичко това поставя основата за бъдеща кариера.

TR: Освен вашия опит в криминалистиката сте прекарали много време в работа за федералното правителство. Този опит помогна ли да ви подготви за настоящата ви кариера?

СИ: Преди да работя за ФБР, бях прекарал доста време като държавен изпълнител. Всъщност по време на моята старша година на гимназията щях да си тръгна, когато звънеше звънецът и щях да карам на улицата до изпълнител на отбраната, където работех като помощник на директорите на HR и Special Security. По-късно работих в софтуерна компания, която имаше редица държавни клиенти.

Освен че вече имах разрешение за сигурност в много млада възраст, този опит ми помогна, като ме изложи на редица различни хардуерни платформи, софтуерни приложения и най-важното - различни видове хора в правителствения и професионалния свят. Независимо от това как изглежда, компютърната криминалистика е толкова за хората, които използват компютрите, които анализирате, както и за самия хардуер.

Във втората част на нашето интервю с професора по цифрова криминалистика и експерт Джон Ървайн научаваме за някои от клопките на професията и той обяснява защо тази работа не е за всички.

Кариерният път и клопки в цифровата криминалистика

TR: Между степента на бакалавър по мениджмънт, вашия сертификат за софтуерно инженерство и магистърска степен по информационни системи, колко добре се чувствате, че степента ви е подготвена за вашия кариерен път?

СИ: Всяка от тези програми донесе нещо на масата за мен, работещ в компютърната криминалистика. Първо, мисля, че е важно да се каже, че компютърната криминалистика НЕ ​​е дисциплина по компютърни науки. Това е толкова разследваща функция, колкото е техническо предизвикателство. Ако липсва нито един от уменията, човек ще има много по-трудно време да работи успешно в полето.

MS в информационните системи ми помогна, като ми даде по-добро разбиране на операционните системи, файловите системи и компютърната механика. Въпреки това, моята бакалавърска степен по мениджмънт беше еднакво полезна с курсовата ми работа по психология, социология, управление и счетоводство. Наистина не мога да дам предимство в една степен пред другата за полезност в тази област.

Това каза, искам да съм сигурен, че казвам няколко неща. Компютърната криминалистика е учебна дисциплина. През последните години се появяват още програми - тази, в която преподавам в университета Джордж Мейсън - които предлагат отлична курсова работа по компютърна криминалистика. Въпреки това, вие наистина научавате търговията, след като сте на място, работещо по реални случаи, заедно с старши изпитващ.

Освен това НЕ е необходимо да имате програмен фон, за да работите успешно в полето.Всъщност имах значително по-голям късмет, за да обучавам следователите в техническите детайли на работата, отколкото имах в преподаването на програмисти на методи за разследване и изкуство на „пресъздаването“. Ако човек няма техническа подготовка в училище, това НЕ е възпиращо средство за влизане в полето.

TR: Работили сте както в частния, така и в публичния сектор, изпълнявайки голяма част от една и съща работа. Как бихте описали разликата между двете?

СИ: Най-големите разлики между работата в публичния и частния сектор обикновено са процедура и бързина. Във федералния свят нечии процедури са обикновено (но не винаги) строго предписани, а скоростта на производство като цяло е по-малко критична (с някои забележителни изключения).

В търговския свят процедурите до голяма степен се ръководят от личен опит или от предпочитанията на вашия работодател, а скоростта на производство е много по-висока. Бях прекарал четири месеца на един твърд диск веднъж с федерален работодател поради количеството на съдържащите се в него данни, но в търговския свят обикновено се стремите да преобърнете времето най-много на дни или седмици.

TR: Какво е типичен работен ден като за анализатор или изпитващ дигитална криминалистика?

СИ: Работният ден за професионален специалист по дигитална криминалистика е всичко друго, но не типичен. В зависимост от организацията, за която работите, може да работите с постоянен поток от случаи на детска порнография или да анализирате теми толкова високо, че ги гледате в CNN, докато вършите работата.

Въпреки това, често можете да очаквате да бъдете в прекалено горещ офис (тъй като броят на компютрите на бюрото ви претоварва типичните офисни климатици) и ще се справите много добре, като обедините заедно един работен компонент от куп не функциониращи нечий.

Голяма част от деня ви ще бъде изразходван за документация. Може да пишете доклад за анализ, партньорска проверка на доклада на друг проверяващ или да забележите всичко, което сте направили при извършване на изпит. Най-добрият изпит в света е безполезен, ако не можете да комуникирате ясно в писмен доклад, който може да бъде разбран лесно от агент, служител, адвокат или съдебни заседатели. Освен това, ако вашият писмен доклад е лош, това естествено ще постави под въпрос техническите ви способности от тези, които се опитват да го прочетат.

В зависимост от това къде работите, даването на показания в съда е потенциална част от извършването на цифров криминалистичен анализ. Ако работите в среда на правоприлагане, това е почти гарантирано, но дори служителите на корпоративната криминалистика може да трябва да свидетелстват по време на дело за несправедливо прекратяване или да подкрепят последващи действия на правоприлагащите органи за проследяване на посегателство. Някои изпитващи, които познавам, са страхотни зад клавиатурата и могат да пишат фантастични доклади, но те се разпадат, когато са повикани да свидетелстват в съда.

TR: Написахте статия, озаглавена The По-тъмна страна на цифровата криминалистика, Можете ли да ни разкажете малко за някои клопки на работата?

СИ: Вие всъщност се позовавате на публикация в блог, която написах преди един енон, която бе взета от няколко дигитални бюра за криминалистика и беше отново отчетена отново и отново. Нямах представа, че ще има такива "крака", когато го писах; Просто се удивих, че хората, които искат да влязат в полето, все още нямат представа какво всъщност води.

Компютърната криминалистика беше фантастична кариера за мен, но определено има клопки. Всъщност първите две учебни занятия, които преподавам, са съсредоточени около реалността на работата и се шокирам всеки път, когато разбера, че съм първият човек, който е казал на студентите си каква е работата в действителност след те са го избрали за своя степен.

Нямам научни данни, но предполагам, че около 70 до 80 процента от случаите на компютърна криминалистика по света са свързани с детската порнография. Колкото по-близо се доближавате до държавните и местните правоприлагащи органи, толкова по-голям е този брой.

Дори и да се концентрирате върху компютърни нахлувания и реакции на инциденти, често ще намерите детска порнография като цел или резултат от проникването (или просто съществува на компютрите, които разглеждате от обикновения потребител на машината).

Излагането на детска порнография, особено за осем часа на ден, 40 часа седмично, 52 седмици годишно, отнема своето. Не е просто да гледате неподвижни снимки. Вие също гледате видеоклиповете и виждате и чувате всичко.

Ако можете да продължите да го правите, най-вероятно ще развиете много тъмно, гробищно чувство за хумор, за да се борите с него. Аз също доброволно се занимавам с отряд за пожар и спасяване и вие виждате голяма част от същия хумор там; това е механизъм за справяне, разработен от хора, които работят в по-мрачните области на живота.

Освен това, в зависимост от работата, която вършите, ще бъдете изложени на графични изображения и текст на убийства, изтезания, изнасилвания, тероризъм и почти всяко престъпление, поквара, порнография или отклонение, което можете да си представите.

Компютрите са отлични инструменти за добро, а също така са отлични инструменти за извършване на престъпления и разпространение на омраза. Като компютърен съдебномедицински работник ще бъдете изложени на всичко това всеки ден и навън. В една група имахме шега, която навремето пускаше рекламна реклама, която говори за хора, които „сърфират до дъното на интернет“. Ние добавихме, "... и след това нашият екип получава лопата и започва да копае."

Поради работата и съдържанието, на което е подложен изпитващият, много хора, които влизат в полето, не продължават. Средно бих казал, че около 50 процента от хората, които влизат в него, напускат в рамките на около две години. Това изглежда е белегът, когато изпитващият е имал достатъчно случаи под колана си, или да бъде претеглен от (или имунизиран) на експозицията. Ако успеете да преминете през двегодишната марка, като цяло имате пред себе си дълга кариера в компютърната криминалистика.

Променяща се дисциплина

TR: С толкова бърз напредък в изчислителните технологии през последното десетилетие, как се промени областта на дигиталната криминалистика през вашата кариера?

СИ: Компютърната криминалистика се промени значително, когато започнах през 90-те. Тогава прегледахте всеки файл на твърдия диск (защото можехте) и мобилните устройства не бяха дори мисъл. Дискети биха влезли от стотиците, но сега никога не ги виждате.

Днес количеството данни е толкова голямо, че трябва да бъдете много по-точни в търсенията си, а мобилните устройства са еднакви - ако не и по-важни - предмет на проверка.

Освен това дълбочината на инструментите се е променила значително. В първите дни повечето инструменти са писани от ченгета, които са взели няколко урока по програмиране или са били самоуки. Имахме десетки комунални услуги за еднократна употреба, които заедно щяхме да направим преглед.

Сега инструментите са много по-професионални и многоцелеви. Добрият изпитващ все още ще има голям „инструментариум“, от който да работи, но той или тя има много по-добри опции за основна платформа за извършване на цялостния изпит. Индустрията винаги се опитва да премине към вълшебния бутон „намери всички доказателства“, а някои инструменти се оказват близо до този за някои видове случаи.

В политическо отношение видовете случаи се промениха изключително. Първоначално компютърната криминалистика се използва най-вече от органите на реда за наказателни дела. След 11 септември голяма част от работата се насочи към борбата с тероризма. Сега компютърните нахлувания са горещата тема и много кариери се насочиха към реакция на инцидентите. Полето се променя изключително много с времето.

TR: В момента вие работите като вицепрезидент за технологично развитие в CyTech Services. Ако можете да ги споделите с нас, какви видове иновации сте успели да имате ръка в кариерата си?

СИ: Преминаването към CyTech Services беше фантастично за мен. В моята позиция не само съм в състояние да използвам опита си от компютърната криминалистика, но мога също да използвам своя опит в управлението на софтуерни проекти. CyTech произвежда CyFIR Enterprise (CyTech Forensics and Incident Response) за извършване на компютърни съдебно-медицински разследвания.

Моят принос тук е по-нататъшното развитие на инструмента с поглед на практикуващия. Например архитектурата на CyFIR позволява на изследователите да търсят всеки възел в корпоративната мрежа за криминалистични данни - без да се изисква от потребителите да спират работата си за дълъг процес на изобразяване.

Ако в организация има огнище на злонамерен код, CyFIR има възможност да намира всички засегнати машини в рамките на минути, вместо дни или седмици. Това е огромно при извършване на реакция на инциденти, електронно откриване или вътрешни разследвания в голяма корпоративна мрежа или при реакция на компромис с много магазини, който открадва данните на кредитната карта от пътните платки. Старото мислене за „представете всичко и го редете по-късно“ просто не лети повече в корпоративния контекст.

Макар и да не е „иновация“ сама по себе си, с моя опит в управлението, имах изключителен късмет при идентифицирането на кандидати, които правят изключителни съдебни експерти.

Инфлацията за възобновяване е, за съжаление, голям проблем в нашата индустрия и някой, който изглежда страхотно на хартия, може да има само знания на ниво buzzword за действително извършване на изпит. Чрез процеса на интервю, който разработих с течение на времето, бях изключително успешен в намирането на подходящи кандидати с умения, необходими за позицията.

От гледна точка на образованието, аз успях да предам своите знания и - по-важното - опита си на бъдещите поколения съдебни експерти. По време на първите два учебни дни, които споменах, установявам, че един или двама души всеки семестър ще ми кажат, че не са осъзнали за какво са се пазарили, когато са започнали програмата, и ми благодарят, че съм ги уведомил каква е работата тъй като те не се чувстваха комфортно при извършване на такъв вид работа.

В този момент мога да ги насоча към програма за компютърна сигурност, която няма да има същите проблеми със съдържанието, които ги чакат в бъдеще. По същия начин мога доста бързо да идентифицирам студентите, които наистина изглеждат „умение“ и мога да помогна да ги насоча в правилната посока, за да започнат кариерата си.

В последната част от нашето интервю с експерта по дигитална криминалистика Джон Ървайн научаваме защо полето е толкова важно, какво могат да спечелят амбициозните експерти и какво можете да направите, за да започнете в кариера като експерт по дигитална криминалистика.

Защо цифровата криминалистика е толкова важна и как можете да започнете

TR: Защо полето на цифровата криминалистика е толкова ценно за правителствата и корпорациите?

СИ: Цифровата криминалистика е ценна както за правителствата, така и за корпорациите по абсолютно същата причина - информация. Независимо дали тази информация е доказателство за федерално наказателно дело или познаване на вътрешна информация за кражба на корпоративна интелектуална собственост за конкурент, специалистите по дигитална криминалистика предоставят данни, които клиентите иначе не разполагат.

С много прости думи, човек би могъл да оприличи работата на дигитален съдебномедицински специалист с тази на разработчик на снимки. Например, ако имам неразработен ролков филм в ръцете си, това е почти безполезно за мен като всякакъв вид доказателства. Ако обаче някой развие този филм в снимки (или възстановява данни от твърд диск в нашия случай), това съдържание може да предостави всичко, от което има нужда прокурорът, HR мениджърът или служителят по корпоративна сигурност.

Сега като се замисля, трябва да измисля нова аналогия за бъдещето. Децата в училище днес вероятно дори не знаят какво е „ролка филм“!

TR: Какво ви харесва най-много в работата ви и защо продължавате да я вършите?

СИ: Дигиталната криминалистика ме обръща на много нива. На първо място, това ми позволява да дам смислен принос за безопасността и сигурността на хората, без да се ограничавам с физическите ограничения на зрението или възрастта. Може да не съм агентът, преследващ някоя по улица, но бих могъл да дам на този агент данните от мобилния телефон на субекта, който запечатва случая и отваря още три.

На следващо място, дигиталната криминалистика силно ми харесва, защото това е хибрид на любовта ми към правоприлагането и разузнаването (моят TiVo е изпълнен с ченгета и шпионски шоута) и вътрешния ми поглед. Ако гледате тези предавания, дори виждате еволюция на тези герои на екрана. Преди петнадесет години те бяха über-глупаци със счупени очила и неудобни социални благодат. Сега компютърният криминалист обикновено има сухо чувство за хумор и страхотно чувство за стил!

TR: Какво е необходимо, за да бъдете успешни като дигитален експерт по криминалистика или анализатор?

СИ: На първо място е необходима искрена страст към справедливостта (и аз го използвам в всеобхватен термин) с любов към нещата към техническите неща. Ако имате тези два продукта, вие сте на път.

Вече има официални образователни програми, които не са съществували само преди няколко години, и си струва да отделите време, за да ги проучите, за да видите какво може да предложи всеки. Освен това, много от инструментите по криминалистика там имат класове (използвайки инструмента, продаван от компанията, включително и моя), които могат да ви помогнат да започнете.

Както казвам на моите студенти, полето изисква много силно чувство за лична отговорност. Трябва да сте готови да поставите името и репутацията си в съответствие с всеки анализиран случай, защото много добре бихте могли да се окажете в съда въз основа на съдържанието на доклада си. Ако ви липсва убеждение, благодат под натиск или откровеност, това е абсолютно НЕ кариерното поле за вас.

И накрая, успехът се подпомага изключително много, като се намери добър ментор в областта и да се работи рамо до рамо с този човек, докато научите търговията. Училищата могат да ви дадат страхотна основа, но практическият опит ви помага да поставите хората зад решетките.

TR: Колко трябва да очаква вашият среден дигитален криминалист да спечели и колко може да спечели, ако стане реномиран и / или отиде в частна фирма?

СИ: Цифровите криминалистични заплати варират значително и отскоро поради секвестр и насищане на пазара на хора, които се опитват да се рекламират като компютърни криминалисти, които не са, заплатите започват да намаляват. (Голяма част от отговорностите там са на лоши мениджъри за наемане на работа, които не могат да определят истинския набор от умения на кандидата.)

Въпреки това, като цяло, човек с талант трябва да може да намери позиции между $ 60 - $ 80 000 на ниво младши, $ 80 - $ 120 000 на средно ниво и до и над 150 000 долара на висше ниво. Това каза, аз познавам някои невероятни проверяващи, които са били на позиции, плащащи само 50 000 долара на година като местни полицаи, и познавам отвратителни проверяващи, които печелеха повече от 250 000 долара на година, защото добре продаваха името си.

Най-общо казано, съдебните експерти правят най-много при делата за отбрана или при електронно откриване, ако могат да водят голям брой дела наведнъж (и да фактурат множество клиенти). Тези нива на заплати обикновено се следват от изпълнителите на федералното правителство, служителите на федералното правителство, служителите в държавното правителство, военните и накрая проверяващите от местната власт.

Търговските заплати управляват гамата в зависимост от опита, големината на компанията и корпоративния интерес към криминалистиката (било поради проактивност или обществено притеснение).

TR: Какъв съвет имате за някой, който се опитва да реши дали искат да работят като изпитващ дигитална криминалистика или за някой, който тепърва започва на място?

СИ: Прочетете тази статия! Сериозно, бих отделил малко време за LinkedIn и ще се свържа с хората в дигиталната криминалистика, за да им задам много от същите въпроси, които сте ми задали.

Намерете хора, които работят за организациите или компаниите, за които искате да работите, и нека да ви разкажат за ежедневната работа. Попълвам една или две запитвания седмично чрез моя LinkedIn или училищен имейл адрес и ще се радвам да ви предложа съвети в зависимост от техните индивидуални ситуации.

Ако имате малко пари да похарчите, бих препоръчал да се запишете в един от учебните класове, предлагани от големите производители на компютърни криминалистични инструменти, за да получите представа за това какво е свързано с работата и начините, по които се извършва.

Ако класът ви интересува, ще разгледам отличните програми в някои университети на нива BS или MS (като магистрите по компютърна криминалистика, налични от университета Джордж Мейсън във Феърфакс, Вирджиния, където преподавам).

TR: Ако имате нещо друго, което бихте искали да добавите относно кариерата си или като цяло, моля, не се колебайте да я споделите.

СИ: Компютърната криминалистика определено не е за всички и това е добре. Преди да похарчите много време или пари, намерете професионалист по дигитална криминалистика във вашия район, предложете да му купите чаша кафе и да им изберете мозъка за час. Повечето от нас са повече от склонни да споделят своите знания, тъй като така сме излезли сами.

Цифровата криминалистика е поле за растеж (нека да се обърнем внимание, компютрите няма да изчезнат скоро) и има много работа за всички. Ако обаче не цените истината и не сте в състояние да отстоявате работата си пред несгоди, няма да издържите дълго в този бизнес, където репутацията е всичко.

Може да не познавам лично даден съдебномедицински специалист, но мога да ви гарантирам, че съм на един телефонен разговор от някой, който го прави, и тези неофициални „преписки в залата“ се преминават бързо между проверяващите. Един случай на лоша откровеност или липса на отговорност може да сложи край на кариера.

Всичко, което каза, за мен е фантастично поле и съм благодарен на всички, с които съм работил в миналото, за уроците, на които са ме преподавали, и за преживяванията, които са им дали. Това беше диво возене.