Све о томе да је дигитални форензички испитивач

Нема сумње да је технологија значајно промијенила начин на који полиција послује. Исто тако је истина да је наша технологија која стално напредује мијења тип злочина који полицијски детективи истражују у цијелости, а тиме и послови дигиталне форензике.

Кибернетски простор све више постаје “сусједство високог криминала”, а потреба за присуством полиције је очигледна. Ту долази поље дигиталних и мултимедијалних наука и људи као што је Јохн Ирвине.

Један од пионира у области дигиталне форензике, Јохн је проводио компјутерске истраге прије него што је већина људи знала да постоји таква ствар. Тренутно ради као потпредседник за развој технологије у ЦиТецх Сервицес, приватној компанији која је специјализована за опоравак података и дигиталну форензику.

Џон је такође професор дигиталне форензике на Универзитету Џорџ Мејсон, где предаје Правна и етичка питања у рачунарској форензици. Дипломирао је магистарске студије информационих система и дипломирао на инжењерству софтверских система.

Од 1997. године ради у компјутерској форензици у јавном и приватном сектору, укључујући рад са ФБИ, ДЕА и бројним приватним консултантским фирмама. Он је такође волонтирао у Арцола Волонтерској ватрогасној служби. Колико год био заузет, нашао је времена да одговори на нека питања за нас о брзо растућем пољу дигиталне форензике и како је то радити у индустрији.

Интервју са стручњаком за дигиталне форензике Јохном Ирвинеом:

Тим Роуфа: Имате вишегодишње искуство у дигиталној форензици, до те мјере да сте се етаблирали као признати стручњак у овој области. Очигледно је потребно пуно напорног рада и образовања да би се постигло оно што сте успели, али како сте почели?

Јохн Ирвине: Потпуно случајно! Као и већина прича о великим каријерама, упао сам у њу због случајности, а не планирања. Увек сам имао велико интересовање за технологију. Као клинац, саставио сам први ПЦ клон на блоку. Такође, од око пет година, знао сам да желим да будем ФБИ агент. На крају су се ова два интереса ујединила.

Док сам седео у мојој канцеларији и радио једног дана у управљању софтверским пројектима, нагон ме погодио да коначно дођем до ФБИ-а. То је било пре Интернета, па, ИНТЕРНЕТ-а, тако да нисам могао лако да добијем информације на интернету. Назвао сам своју локалну канцеларију ФБИ-а, оставио своје име и адресу на телефонској секретарици за заинтересоване кандидате и одговорио „да“ на питање које се поставља о познавању компјутера.

Неколико седмица касније добио сам оно што ја зовем пакет "Ви желите да будете специјални агент?". Отворио сам брошуру, а прва страница ми је одузела доживотни сан у једној реченици. Моја каријера агента ФБИ-а завршила је пре него што је почела са захтевом за 20/40 некориговану визију или боље. У времену пре чуда ЛАСИК-а, био сам око 20/2000.

На полеђини пакета било је оно што је изгледало као 17^тх генерација, јако искривљена, готово нечитљива копија посла за “компјутерског специјалисте” који је очигледно био укључен због моје наведене способности са компјутерима. Помислио сам: “Па, можда могу да поправим штампаче или нешто за ФБИ. То ће ме бар довести до врата.

Послао сам свој животопис особљу за људске ресурсе наведену у опису посла, и примио сам позив недељу дана касније од једног од менаџера програма у тиму за анализу компјутерске анализе ФБИ-а. Рекао је: „Ваш животопис је преусмерен на мене зато што сте рекли да сте били„ генералиста рачунара “у вашем пропратном писму. Шта ти знаш о компјутерској форензици? ”“ Ништа ”, одговорио сам. Рекао је: “Одлично. Дођите на интервју."

ТР: Како сте се први пут заинтересовали за дигиталну форензику?

ЈИ: У интервјуу, људи са којима сам се упознала рекли су ми да могу бити штребер са лошим видом и да и даље помажем ухватити лоше момке. Очигледно је да би моје генералистичке способности - што значи да могу ефикасно да користим различите оперативне системе и да сам добро познавала како унутрашње хардверске тако и главне апликације - било одлично уклопљено у њихов тим.

То је заиста све што сам требала чути. Мислила сам да се играм са Линук и Мац оперативним системима поред Виндовса само за забаву; Нисам схватио да је све то основа за будућу каријеру.

ТР: Осим вашег форензичког искуства, провели сте доста времена радећи за савезну владу. Да ли вам је то искуство помогло да се припремите за вашу тренутну каријеру?

ЈИ: Пре него што сам радио за ФБИ, провео сам доста времена као владин извођач. У ствари, током моје средње школе, отишао сам кад би се огласило звоно и одвезао се улицом до одбрамбеног извођача где сам радио као помоћник директора за људске ресурсе и специјалну безбедност. Касније сам радио за софтверску компанију која је имала неколико владиних клијената.

Поред тога што већ поседује безбедносну проверу у веома младом добу, то искуство ми је помогло тако што ме је излагало бројним различитим хардверским платформама, софтверским апликацијама и, што је најважније - различитим типовима људи у влади и професионалном свету. Без обзира на то како изгледа, рачунарска форензика је исто толико о људима који користе компјутере које анализирате, него о самом хардверу.

У другом делу нашег интервјуа са професором и стручњаком за дигиталне форензике Јохном Ирвинеом, учимо о неким замкама професије и он објашњава зашто овај посао није за свакога.

Интервју са стручњаком за дигиталну форензику Јохн Ирвине, други део:

ТР: Између вашег дипломског студија менаџмента, сертификата за софтверско инжењерство и магистерија из информационих система, колико добро осећате да су вас ваши степени припремили за вашу каријеру?

ЈИ: Сваки од тих програма донио ми је нешто за стол у компјутерској форензици. Прво, мислим да је важно рећи да компјутерска форензика НИЈЕ дисциплина информатике. То је исто толико истражна функција колико и технички изазов. Ако било који од ових вештина недостаје, биће много теже да се успешно ради на терену.

МС у информационим системима помогао ми је да боље разумем оперативне системе, системе датотека и компјутерску механику. Међутим, моја диплома из менаџмента била је једнако корисна са мојим радом из психологије, социологије, менаџмента и рачуноводства. За корисност на терену не могу да додам један степен у односу на други.

С тим у вези, желим да будем сигуран да кажем неколико ствари. Рачунарска форензика је дисциплина науковања. У последњих неколико година дошло је до више програма - укључујући и оне у којима сам предавао на Универзитету Џорџ Мејсон - који нуде одличне курсеве из рачунарске форензике. Међутим, када се налазите у седишту и радите на стварним предметима заједно са вишим испитивачем, заиста ћете научити занат.

Такође, НЕ морате имати позадину програмирања да бисте успешно радили на терену. У ствари, ја сам имао много бољу срећу обучити истражитеље у техничким детаљима посла него што сам их имао у подучавању програмера методама истраживања и умјетности “предосјећаја”. то није препрека за улазак у терен.

• Сазнајте који тип дипломе бисте требали да зарадите за форензичку каријеру
• Истражите врсте диплома које бисте требали зарадити за криминологију и каријеру кривичног правосуђа

ТР: Радили сте у приватном и јавном сектору, обављајући већи дио истог посла. Како бисте описали разлику између та два?

ЈИ: Највеће разлике између рада у јавном и приватном сектору су генерално процедура и брзина. У федералном свету, процедуре су генерално (али не увек) јако прописане, а брзина производње је генерално мање критична (уз неке изузетке).

У комерцијалном свету, процедуре су углавном вођене личним искуством или преференцијама вашег послодавца, а брзина производње је много већа. Четири месеца сам провео на једном чврстом диску једном код федералног послодавца због количине података које је садржавао, али у комерцијалном свијету, обично тежи за временом обртаја дана или највише седмица.

ТР: Шта је типичан радни дан за аналитичара или испитивача за дигиталну форензику?

ЈИ: Радни дан за стручњака за дигиталну форензику је све само не типичан. У зависности од организације за коју радите, можда радите сталан ток случајева дечије порнографије, или можда анализирате предмете тако високог профила да их гледате на ЦНН-у док радите посао.

Међутим, често можете очекивати да ћете бити у претјерано врућем уреду (због броја рачунала на вашем столу који превладавају типичну уредску климу), а ви ћете бити врло добри у састављању једне радне компоненте од хрпе нефункционирања оне.

Велики део вашег дана ће бити утрошен у документацији. Можда пишете извештај о анализи, рецензирате извештај другог испитивача или приметите све што сте урадили приликом испита. Најбоље испитивање на свијету је бескорисно ако не можете јасно комуницирати у писаном извјештају који може лако разумјети агент, службеник, адвокат или порота. Осим тога, ако је ваш писани извјештај лош, то ће природно довести у питање ваше техничке способности од стране оних који покушавају да га прочитају.

• Сазнајте више о томе зашто су вјештине писања толико важне у свакој криминалистичкој каријери

Зависно од тога гдје радите, свједочење на суду је потенцијални дио обављања дигиталне форензичке анализе. Ако радите у окружењу за спровођење закона, то је скоро загарантовано, али чак и запослени у корпоративној форензици можда ће морати да сведоче током непоштене судске тужбе или да подрже каснију акцију спровођења закона од праћења упада. Неки испитивачи које познајем су велики иза тастатуре и могу да пишу фантастичне извештаје, али се распадају када су позвани да сведоче на суду.

ТР: Написали сте чланак под насловом Тхе Тамнија страна дигиталне форензике. Можете ли нам рећи нешто о неким замкама у послу?

ЈИ: Ви заправо реферирате на блог који сам написао пре неколико година и који је покупила неколико дигиталних форензичких центара и поново постављана. Нисам имао појма да ће имати такве “ноге” када сам их написао; Била сам запањена да људи који су хтели да уђу на терен још увек нису имали појма шта то заиста подразумева.

Рачунарска форензика је за мене била фантастична каријера, али дефинитивно постоје замке. У ствари, прва два предавања која предајем су усредоточена на стварност посла, и шокиран сам сваки пут када откријем да сам прва особа која је рекла мојим ученицима какав је посао послије изабрали су га као своје поље.

Немам научне бројеве, али процењујем да је 70-80% случајева рачунарске форензике у свету повезано са дечјом порнографијом. Што се више приближавате државној и локалној полицији, то је већи број.

Чак и ако се концентришете на компјутерске упаде и реакције на инциденте, често ћете пронаћи дјечју порнографију као сврху или резултат упада (или једноставно постојећи на рачуналима које прегледате од обичног корисника строја).

Изложеност дечјој порнографији, нарочито осам сати дневно, четрдесет сати недељно, педесет две недеље годишње, узима свој данак. Не гледа само слике. Гледате и видео снимке, а све то видите и слушате.

Ако то можете да наставите, вероватно ћете развити веома мрачан, гробни смисао за хумор да бисте се борили против њега. Такође волонтирам у ватрогасној и спасилачкој јединици, а ви видите много истог хумора тамо; то је механизам суочавања развијен од стране људи који раде у туробнијим областима живота.

Такође, у зависности од посла који обављате, изложени сте графичким сликама и текстовима убистава, мучења, силовања, тероризма и готово сваког злочина, изопачености, порнографије или девијантности које можете замислити.

Компјутери су одличан алат за добро, и они су такође одличан алат за почињење злочина и ширење мржње. Као компјутерски форензички истражитељ, ви ћете бити изложени свему томе, из дана у дан. У једној групи имали смо шалу која је у то време рифала реклама о људима који су „сурфовали до дна Интернета“. Додали смо: „… и наш тим добија лопату и почиње копати.“

Због рада и садржаја којима је испитивач изложен, многи људи који уђу у поље не трају. У просеку, рекао бих да око педесет процената људи који уђу у њега одлазе за око две године. Чини се да је то знак када је испитивач имао довољно случајева под његовим или њеним појасом да би био или оптерећен (или имун на) изложеност. Ако успијете да пређете двогодишњу оцјену, обично имате дугу каријеру испред рачуналне форензике.

ТР: Са тако брзим напретком у рачунарској технологији током протекле деценије, како се поље дигиталне форензике променило током ваше каријере?

ЈИ: Компјутерска форензика се знатно променила од када сам почео 90-их. Тада сте прегледали сваки фајл на чврстом диску (јер сте могли), а мобилни уређаји нису били ни помисао. Дискете би долазиле на стотине, али их сада не видите.

Данас је количина података толико велика да морате бити много прецизнији у својим претрагама, а мобилни уређаји су једнаки - ако не и важнији - предмет испитивања.

Осим тога, дубина алата се значајно промијенила. У раним данима, већина алата је написана од стране полицајаца који су узели неколико часова програмирања или који су били самоуки. Имали смо на десетине комуналних услуга за једнократну употребу, које бисмо заједно саставили да бисмо обавили преглед.

Сада су алати много професионалнији и вишенамјенски. Добар испитивач ће и даље имати велику „кутију с алатима“ из које ће радити, али он или она имају много боље основне платформе за извођење цјелокупног прегледа. Индустрија увек покушава да пређе на чаробни “дугме за проналажење свих доказа”, а неки алати се приближавају оној за одређене врсте случајева.

Политички гледано, врсте случајева су се знатно промијениле. Првобитно је компјутерску форензику углавном користила полиција у кривичним предметима. После 11. септембра, велики део посла померио се ка борби против тероризма. Сада су компјутерске упаде врућа тема, и многе каријере су прешле на одговор на инцидент. Поље се страховито мења са временом.

ТР: Тренутно радите као потпредседник за развој технологије у ЦиТецх Сервицес. Ако можете да их поделите са нама, какве сте иновације могли да остварите у својој каријери?

ЈИ: Прелазак на ЦиТецх Сервицес био је фантастичан за мене. У мојој позицији, не само да сам у могућности да користим своје искуство у рачунарској форензици, већ могу да користим и своју позадину у управљању пројектима софтвера. ЦиТецх производи ЦиФИР Ентерприсе (ЦиТецх Форенсицс и Инцидент Респонсе) за обављање форензичких истраживања у компјутерским компанијама.

Мој допринос је у даљем развоју алата са очима практичара. На пример, архитектура ЦиФИР-а омогућава истраживачима да претражују сваки чвор на мрежи предузећа одједном за форензичке податке - без потребе да корисници прекину са радом за дуготрајан процес снимања.

Ако у организацији постоји епидемија злонамерног кода, ЦиФИР има могућност да пронађе све погођене машине за неколико минута уместо дана или недеља. Ово је огромно када се врши реаговање на инциденте, еДисцовери или интерне истраге на великој мрежи предузећа или када се реагује на компромис на продајном месту са више продавница који краде податке са кредитних картица са трака за наплату. Старо размишљање о “имиџу свега и касније кроз њега” једноставно више не лети у контексту предузећа.

Иако то није „иновација“ сама по себи, са мојом управљацком позадином, била сам изузетно срецна када сам идентификовала кандидате који су изврсни форензицки испитивачи.

Настављање инфлације је, нажалост, велики проблем у нашој индустрији, а нетко тко изгледа сјајно на папиру може имати само знање на разини буззворд-а о стварном испиту. Кроз процес интервјуа који сам развио током времена, био сам изузетно успешан у проналажењу правих кандидата са вештинама неопходним за ту позицију.

Са образовне стране, успела сам да пренесем своје знање и - што је још важније - моје искуство будућим генерацијама форензичких испитивача. Током прва два дана у разреду које сам споменуо, откривам да ће једна или две особе сваког семестра рећи да нису схватиле за шта су се договориле када су покренуле програм и захвалиле су ми што сам им дао до знања шта је посао. слично, јер се нису осећали пријатно да обављају такве послове.

У том тренутку, ја сам у могућности да их водим у програм компјутерске сигурности који неће имати исте врсте садржаја који их чекају у будућности. Исто тако, веома брзо могу да идентификујем студенте који заиста имају "смисао", и могу да им помогнем да их усмерим у правом смеру да започну каријеру.

Горе: Јохн Ирвине дијели савјете о томе како добити посао у дигиталној форензици

У завршном дијелу нашег интервјуа са стручњаком за дигиталне форензике Јохном Ирвинеом, сазнали смо зашто је поље тако важно, што амбициозни испитивачи могу зарадити, и што можете учинити да започнете каријеру као стручњак за дигиталну форензичку струку.

Интервју са стручњаком за дигиталне форензике Јохн Ирвине, трећи део:

ТР: Зашто је поље дигиталне форензике толико драгоцјено владама и корпорацијама?

ЈИ: Дигитална форензика је вриједна и за владе и за корпорације из истог разлога - информације. Да ли је та информација доказ за федерални кривични предмет или знање о корпоративној интелектуалној својини која је украдена од стране инсајдера за конкуренте, професионалци за дигиталну форензику пружају податке које клијенти иначе немају.

У врло једноставним терминима, посао дигиталног форензичког испитивача могао би се упоредити са радом фотографа. На пример, ако имам неразвијену ролну филма, то ми је скоро бескорисно као било какав доказ. Међутим, ако неко развије тај филм у слике (или обнови податке са хард диска у нашем случају), тај садржај може пружити све што је потребно тужиоцу, менаџеру за људске ресурсе или корпоративном службенику за сигурност.

Сада када размишљам о томе, морам смислити нову аналогију за будућност. Деца у школи данас вероватно више не знају шта је то "ролна филма"!

ТР: Шта највише волите у свом послу и зашто то и даље радите?

ЈИ: Дигитална форензика ми се обраћа на више нивоа. Прво и најважније, допушта ми да значајно доприносим сигурности и безбједности људи без ограничавања физичког ограничења вида или старости. Можда нећу бити агент који јури некога низ улицу, али том агенту бих могао дати податке са мобитела субјекта који затвара случај и отвара још три.

Даље, дигитална форензика дубоко ми се допада јер је то хибрид моје љубави према спровођењу закона и обавештајној служби (мој ТиВо је пуна шпијунских и полицијских емисија) и мој унутрашњи геек. Ако гледате те емисије, чак видите и еволуцију тих карактера на екрану. Пре петнаест година, били су убер-штребери са сломљеним наочарима и неспретним друштвеним милостима. Рачунарски форензичар обично има суви смисао за хумор и велики осећај за стил!

ТР: Шта је потребно да бисте били успешни као аналитичар или форензичар?

ЈИ: Пре свега, потребна је искрена страст према правди (а то користим у свеобухватном термину) са љубављу према техничким стварима. Ако имате те две ставке, добро сте на путу.

Формални образовни програми су сада доступни, а који нису постојали само прије неколико година, и вриједи узети времена да их истражимо како бисмо видјели што сваки од њих може понудити. Поред тога, многи од форензичких алата имају часове (користећи алат који продаје компанија, укључујући и мене) који вам могу помоћи да почнете.

Како кажем својим студентима, терен захтева веома снажан осећај личне одговорности. Морате бити вољни да ставите своје име и репутацију на линију са сваким случајем који анализирате, јер бисте могли врло добро да завршите на суду на основу садржаја вашег извештаја. Ако вам недостаје увјерења, милост под притиском или искреност, ово НИЈЕ каријера за вас.

На крају, успешност је изузетно помогнута проналажењем доброг ментора на терену и радом раме уз раме са том особом док ви учите занат. Школе вам могу дати одличну основу, али искуство у случају случаја помаже вам да ставите људе иза решетака.

ТР: Колико би просечни испитивач дигиталне форензике могао очекивати да ће зарадити, и колико може зарадити ако постану угледни и / или иду у приватну фирму?

ЈИ: Дигиталне форензичке плате веома се разликују, а од недавно због секвестрације и засићења тржишта људи који се покушавају рекламирати као рачунарски форензички испитивачи који нису, плаће почињу да падају. (Много одговорности на које почивају лоши менаџери за запошљавање који не могу да утврде истински сет вештина кандидата).

Међутим, генерално, особа са талентом треба да буде у могућности да нађе позиције између 60-80.000 долара на нижем нивоу, $ 80- $ 120.000 на средњем нивоу, и до и преко 150.000 долара на вишем нивоу. Међутим, познато ми је да су неки чудесни испитивачи који су били на позицијама плаћали само 50.000 долара годишње као локални полицајци, а познато ми је да су лоши испитивачи који су зарадили више од 250.000 долара годишње зато што су добро продавали своје име.

У веома уопштеном смислу, форензички испитивачи највише користе у случајевима одбране или е-откривања ако могу да воде велики број случајева одједном (и обрачунавају више клијената). Ове нивое плата обично прате извођачи савезне владе, запослени у федералној влади, запослени у државној управи, војни и, на крају, испитивачи локалне управе.

• Сазнајте више о војној проведби закона
• Откријте савезне законе за спровођење закона

Комерцијалне зараде покривају гаму зависно од искуства, величине компаније и корпоративног интереса у форензици (било због проактивности или због јавности).

ТР: Који савет имате за некога ко покушава да одлучи да ли желе да раде као експерти за дигиталну форензику, или за некога ко тек почиње да ради на терену?

ЈИ: Прочитајте овај чланак! Озбиљно, провео бих мало времена на ЛинкедИну и посегнуо за људима из дигиталне форензике да им поставим многа иста питања која сте ми поставили.

Пронађите људе који раде за организације или компаније за које желите да радите и пустите их да вам говоре о свакодневном раду. Полажем једну или две упите недељно, било преко ЛинкедИн или школских е-маил адреса, и радо ћу вам понудити свој савет у зависности од њихових појединачних ситуација.

Ако имате мало новца за потрошњу, предлажем да се пријавите за један од часова обуке који нуде велики произвођачи рачуналних форензичких алата да бисте добили осећај за оно што је укључено у посао и начин на који је то учињено.

Ако разред држи свој интерес, гледао бих у одличне програме на неким универзитетима на нивоу БС или МС (као што су магистри за форензику на компјутеру са универзитета Георге Масон у Фаирфаку, Виргиниа, гдје предајем).

• Сазнајте више о томе како постати дигитални форензички испитивач

ТР: Ако желите да додате нешто о својој каријери или области уопште, слободно је подијелите.

ЈИ: Рачунарска форензика сигурно није за свакога, и то’ с окаи. Пре него што потрошите много времена или новца, пронађите стручњака за дигиталну форензику у вашој области, понудите му да купи шалицу каве, и покупи мозак на сат времена. Многи од нас су више него вољни да поделе наше знање, јер смо тако и сами дошли.

Дигитална форензика је поље раста (хајде да се суочимо са тим, рачунари не одлазе у скорије време), а за свакога постоји много посла. Међутим, ако не цените истину и нисте у стању да се заузимате за свој рад у лице недаћа, нећете дуго трајати у овом послу где су репутације све.

Можда не познајем личног форензичког истражитеља, али вам могу гарантовати да сам један телефонски позив удаљен од некога ко то ради, и да се ти неслужбени “фајлови” брзо прослеђују између испитивача. Један примјер слабе искрености или недостатка одговорности може прекинути каријеру.

Све то је било фантастично поље за мене, и захвалан сам свима са којима сам радио у прошлости за лекције које су ми научили и искуства која су они пренели. Била је дивља вожња.