Cómo es realmente ser un examinador forense digital
- 2335
- 477
- Guillermo Coronado
Hay pocas dudas de que la tecnología ha cambiado significativamente la forma en que la policía hace negocios. Igual de cierto es la noción de que nuestra tecnología cada vez mayor está cambiando el tipo de delitos que investigan los detectives policiales, de ahí el aumento de los trabajos de forense digitales.
El ciberespacio se está convirtiendo cada vez más en un "vecindario de alto crimen", y la necesidad de una presencia policial es fácilmente evidente. Ahí es donde entran el campo de las ciencias digitales y multimedia y las personas como John Irvine.
Uno de los pioneros del campo forense digital, John estaba realizando investigaciones informáticas antes de que la mayoría de la gente supiera que había tal cosa. Actualmente, se desempeña como director de productos de Cyfir, que ofrece una plataforma remota de Forensics y Respuesta a Incidentes.
John también es profesor adjunto de forenses digitales en la Universidad George Mason, donde enseña problemas legales y éticos en forense informático. Tiene una maestría en ciencias en sistemas de información y un certificado de posgrado en ingeniería de sistemas de software.
Ha estado trabajando en forense informático desde 1997 en el sector público y privado, incluido el trabajo con el FBI, la DEA y las numerosas firmas de consultoría privadas. También es voluntario en el Departamento de Bomberos Voluntarios de Arcola. Tan ocupado como está, encontró tiempo para responder algunas preguntas sobre el campo de rápido crecimiento de los forenses digitales y lo que es trabajar en la industria.
Entrevista con el experto en forense digital John Irvine
Tim Roufa: Tiene años de experiencia en forense digital, hasta el punto de que se ha establecido como un experto reconocido en el campo. Obviamente, se necesita mucho trabajo duro y educación para lograr lo que ha podido, pero ¿cómo empezaste??
John Irvine: Completamente por accidente! Como la mayoría de las historias de grandes carreras, me caí por el casualidad, no a la planificación. Siempre he tenido un gran interés en la tecnología. Cuando era niño, preparé el primer clon de PC en el bloque. Además, desde la edad de unos cinco años, supe que quería ser un agente del FBI. Finalmente, los dos intereses encajaron.
Mientras estaba sentado en mi oficina trabajando en la gestión de proyectos de software un día, el impulso me sorprendió a llegar finalmente al FBI. Esto fue antes de que Internet fuera, bueno, Internet, por lo que no pude obtener información fácilmente en línea. Llamé a mi oficina de campo local del FBI, dejé mi nombre y dirección en el contestador automático para los candidatos interesados, y respondí "sí" a la pregunta que se hizo sobre las habilidades informáticas.
Recibí lo que llamo el "así que quieres ser un agente especial?"Paquete unas semanas después. Abrí el folleto, y la primera página voló mi sueño de toda la vida en una oración. Mi carrera como agente del FBI terminó antes de que comenzara con el requisito de 20/40 visión no corregida o mejor. En un tiempo antes de las maravillas de Lasik, tenía unos 20/2000.
En la parte posterior del paquete estaba lo que parecía un 17th Generación, una copia de una publicación de trabajo para un "especialista en computación" que aparentemente se había incluido debido a mi habilidad declarada con computadoras. Pensé: "Bueno, tal vez pueda arreglar impresoras o algo para el FBI. Al menos eso me llevará a la puerta."
Envié mi currículum a la persona de recursos humanos que figura en la descripción del trabajo, y recibí una llamada aproximadamente una semana después de uno de los gerentes de programas en el Equipo de Respuesta de Análisis de Computación del FBI. Él dijo: "Tu currículum me fue enrutado porque dijiste que eras un" generalista de la computadora "en tu carta de presentación. ¿Qué sabes sobre el forense informático??"" Nada ", respondí. Él dijo: "Genial. Ven a una entrevista."
TR: ¿Cómo te interesaste por primera vez en los forenses digitales??
JI: En la entrevista, las personas con las que conocí me dijeron que podría ser un geek con mala vista y aún así ayudar a atrapar a los malos. Aparentemente, mi intención de habilidades generalistas, podría usar efectivamente diferentes sistemas operativos y tenía un conocimiento bastante bueno de las partes internas de hardware y las principales aplicaciones sería un gran ajuste para su equipo.
Eso fue realmente todo lo que necesitaba escuchar. Pensé que había estado jugando con los sistemas operativos Linux y Mac, además de Windows solo por diversión; No me di cuenta de que todo estaba preparando el escenario para una futura carrera.
TR: Además de su experiencia forense, ha pasado mucho tiempo trabajando para el gobierno federal. ¿Esa experiencia te ayudó a prepararte para tu carrera actual??
JI: Antes de trabajar para el FBI, había pasado bastante tiempo como contratista del gobierno. De hecho, durante mi último año de secundaria, me iría cuando sonó la campana y conduzca por la calle a un contratista de defensa donde trabajé como asistente de los directores de RRHH y la seguridad especial. Más adelante, trabajé para una compañía de software que tenía varios clientes gubernamentales.
Además de tener una autorización de seguridad a una edad muy temprana, esa experiencia me ayudó a exponerme a varias plataformas de hardware diferentes, aplicaciones de software y tipos de personas más importantes en el mundo gubernamental y profesional. Independientemente de cómo se ve, la computadora forense de la computadora se trata tanto de las personas que usan las computadoras que analiza como sobre el hardware en sí.
En la segunda parte de nuestra entrevista con el profesor y experto digital forense John Irvine, aprendemos sobre algunas de las trampas de la profesión y él explica por qué este trabajo no es para todos.
La carrera forense digital y las dificultades
TR: Entre su licenciatura en administración, su certificado de ingeniería de software y su maestría en sistemas de información, ¿qué tan bien siente que sus títulos lo prepararon para su carrera profesional??
JI: Cada uno de esos programas trajo algo a la mesa para mí trabajando en forense de computadora. Primero, creo que es importante decir que el forense informático no es una disciplina de informática. Es tanto una función de investigación como un desafío técnico. Si falta cualquier conjunto de habilidades, uno tendrá mucho más tiempo trabajando con éxito en el campo.
La MS en los sistemas de información ayudó al darme una mejor comprensión de los sistemas operativos, los sistemas de archivos y la mecánica informática. Sin embargo, mi BS en administración fue igualmente útil con mis cursos en psicología, sociología, gestión y contabilidad. Realmente no puedo dar una ventaja a un grado sobre el otro por utilidad en el campo.
Dicho esto, quiero asegurarme de decir algunas cosas. Computer Forensics es una disciplina de aprendizaje. Se han producido más programas en los últimos años, el que enseño en la Universidad George Mason incluye, que ofrecen excelentes cursos en forense informático. Sin embargo, realmente aprende el comercio una vez que está en un asiento trabajando en casos reales junto con un examinador de alto nivel.
Además, no necesita tener antecedentes de programación para funcionar con éxito en el campo. De hecho, he tenido a los investigadores de capacitación de suerte significativamente mejor en los detalles técnicos del trabajo que en enseñar a los programadores métodos de investigación y arte de "The Hunch."Si uno no tiene antecedentes técnicos en la escuela, eso no es un elemento disuasorio para llegar al campo.
TR: Has trabajado tanto en los sectores privados como en el público, realizando gran parte del mismo trabajo. ¿Cómo describirías la diferencia entre los dos?
JI: Las mayores diferencias entre trabajar en sectores público y privado son generalmente procedimientos y velocidad. En el mundo federal, los procedimientos de uno generalmente (pero no siempre) se prescriben fuertemente, y la velocidad de producción es generalmente menos crítica (con algunas excepciones notables).
En el mundo comercial, los procedimientos están impulsados en gran medida por la experiencia personal o las preferencias de su empleador, y la velocidad de producción es mucho mayor. Pasé cuatro meses en un solo disco duro una vez con un empleador federal debido a la cantidad de datos que contenía, pero en el mundo comercial, generalmente apunta a un tiempo de respuesta de días o semanas como máximo.
TR: ¿Cómo es un día de trabajo típico para un analista o examinador forense digital??
JI: La jornada laboral para un profesional forense digital es cualquier cosa menos típica. Dependiendo de la organización para la que esté trabajando, es posible que esté trabajando en un flujo constante de casos de pornografía infantil, o puede analizar sujetos tan de alto perfil que los está viendo en CNN mientras realiza el trabajo.
Sin embargo, a menudo puede esperar estar en una oficina demasiado caliente (debido a la cantidad de computadoras en su escritorio agotador de aire acondicionado típico de la oficina), y será muy bueno para unir un componente de trabajo de un montón de no funciones sin función unos.
Gran parte de su día se gastará en documentación. Es posible que esté escribiendo un informe de análisis, revisando pares de otro informe del examinador o observando todo lo que hizo al realizar un examen. El mejor examen en el mundo es inútil si no puede comunicarse claramente en un informe escrito que puede ser fácilmente entendido por un agente, un oficial, abogado o jurado. Además, si su informe escrito es pobre, naturalmente pondrá en duda sus habilidades técnicas de aquellos que intentan leerlo.
Dependiendo de dónde trabaje, testificar en la corte es una parte potencial de realizar análisis forenses digitales. Si está trabajando en un entorno de aplicación de la ley, está casi garantizado, pero incluso el personal forense corporativo podría tener que testificar durante una demanda por terminación injusta o para apoyar la acción posterior de la aplicación de la ley para rastrear una intrusión. Algunos examinadores que conozco son geniales detrás del teclado y pueden escribir informes fantásticos, pero se desmoronan cuando se les llama a testificar en la corte.
TR: Escribiste un artículo titulado Lado más oscuro de los forenses digitales. ¿Puedes contarnos un poco sobre algunas de las trampas del trabajo??
JI: En realidad, estás haciendo referencia a una publicación de blog que escribí hace un eon que fue recogido por algunos puntos de venta digitales y ha sido repostado una y otra vez. No tenía idea de que tales "piernas" cuando lo escribí; Me sorprendió que las personas que querían entrar al campo todavía no tenían idea de lo que realmente implicaba.
El forense de la computadora ha sido una carrera fantástica para mí, pero definitivamente hay dificultades. De hecho, las dos primeras sesiones de clase que enseño se centran en las realidades del trabajo, y me sorprende cada vez que descubro que soy la primera persona que le ha dicho a mis alumnos cómo es realmente el trabajo después de después. Lo han elegido como su campo de grado.
No tengo números científicos, pero estimaría entre el 70 y el 80 por ciento de los casos forenses de la computadora en todo el mundo están relacionados con la pornografía infantil. Cuanto más se acerca a la aplicación de la ley estatal y local, mayor será ese número.
Incluso si se está concentrando en intrusiones informáticas y respuesta a incidentes, a menudo encontrará pornografía infantil como un propósito o resultado de la intrusión (o simplemente existente en las computadoras que examina del usuario regular de la máquina).
La exposición a la pornografía infantil, particularmente durante ocho horas al día, 40 horas a la semana, 52 semanas al año, le hace afectar. No es solo mirar fotos fijas. También estás viendo los videos, y estás viendo y escuchando todo.
Si puedes seguir haciéndolo, lo más probable es que desarrollarás un sentido del humor muy oscuro y cementerio para combatirlo. También soy voluntario con un escuadrón de bomberos y rescate, y ves mucho del mismo humor allí; Es un mecanismo de afrontamiento desarrollado por personas que trabajan en las áreas más sombrías de la vida.
Además, dependiendo del trabajo que esté haciendo, estará expuesto a imágenes gráficas y texto de asesinato, tortura, violación, terrorismo y casi cualquier crimen, depravación, pornografía o desviación que pueda imaginar.
Las computadoras son excelentes herramientas para el bien, y también son excelentes herramientas para cometer crímenes y difundir el odio. Como examinador forense de computadora, estará expuesto a todo, día tras día. En un grupo tuvimos una broma que se acercaba a un comercial en ese momento hablando de personas que "surfearon al final de Internet."Añadimos:" ... y luego nuestro equipo recibe una pala y comienza a cavar."
Debido al trabajo y al contenido al que se somete a un examinador, muchas personas que ingresan al campo no duran. En promedio, diría que alrededor del 50 por ciento de las personas que entran en él se van en unos dos años. Esa parece ser la marca cuando un examinador ha tenido suficientes casos bajo su haber (o inmune) a la exposición. Si puede superar la marca de dos años, generalmente tiene una larga carrera por delante de usted en Forensics de Computer.
Una disciplina cambiante
TR: Con tales avances rápidos en la tecnología informática durante la última década, ¿cómo ha cambiado el campo de los forenses digitales durante su carrera??
JI: El forense de la computadora ha cambiado enormemente desde que comencé en los años 90. En aquel entonces, miró cada archivo en un disco duro (porque podría), y los dispositivos móviles ni siquiera eran un pensamiento. Los discos floppy entrarían por cientos, pero ahora, nunca los ves.
Hoy, la cantidad de datos es tan vasta que debe ser mucho más identificada en sus búsquedas, y los dispositivos móviles son un sujeto de examen igual, si no más importante,.
Además, la profundidad de las herramientas ha cambiado significativamente. En los primeros días, la mayoría de las herramientas fueron escritas por policías que habían tomado algunas clases de programación o que eran autodidactos. Tuvimos docenas de servicios públicos de un solo uso que adoptaríamos para hacer un examen.
Ahora, las herramientas son mucho más profesionales y multipropósito. Un buen examinador aún tendrá una gran "caja de herramientas" para trabajar, pero tiene opciones de plataforma base mucho mejores para realizar el examen general. La industria siempre está tratando de pasar al mágico "Encuentra todo el botón de evidencia", y algunas herramientas se están acercando a los de ciertos tipos de casos.
Políticamente, los tipos de casos han cambiado enormemente. Originalmente, el forense informático fue utilizado principalmente por la policía para casos penales. Después del 11 de septiembre, gran parte del trabajo cambió hacia el contraterrorismo. Ahora, las intrusiones informáticas son el tema candente, y muchas carreras se han movido hacia la respuesta a los incidentes. El campo cambia tremendamente con los tiempos.
TR: Actualmente se desempeña como Vicepresidente de Desarrollo de Tecnología en Cytech Services. Si puede compartirlos con nosotros, ¿qué tipo de innovaciones ha podido participar en su carrera??
JI: Hacer el traslado a Cytech Services ha sido fantástico para mí. En mi posición, no solo puedo usar mi experiencia forense de computadora, sino que también puedo usar mi experiencia en la gestión de proyectos de software. Cytech produce Cyfir Enterprise (Cytech Forensics y Respuesta a incidentes) para realizar investigaciones forenses de la computadora empresarial.
Mi contribución aquí es un mayor desarrollo de la herramienta con el ojo de un profesional. Por ejemplo, la arquitectura de Cyfir permite a los investigadores buscar cada nodo en una red empresarial a la vez para obtener datos forenses sin exigir que los usuarios dejen de trabajar para un largo proceso de imagen.
Si hay un brote de código malicioso en una organización, Cyfir tiene la capacidad de ubicar todas las máquinas afectadas en cuestión de minutos en lugar de días o semanas. Esto es enorme cuando se realiza la respuesta a los incidentes, el descubrimiento electrónico o las investigaciones internas en una gran red empresarial o al responder a un compromiso de punto de venta de varias tiendas que está robando datos de tarjetas de crédito de los carriles de pago. El viejo pensamiento de "Imagine todo y lo ordena más tarde" ya no vuela en un contexto empresarial.
Si bien no es una "innovación" per se, con mis antecedentes de gestión, he sido excepcionalmente afortunado de identificación de candidatos que son excelentes examinadores forenses.
La inflación del currículum es, desafortunadamente, un gran problema en nuestra industria, y alguien que se ve muy bien en el papel solo tiene un conocimiento de nivel de moda de realizar un examen realmente. A través de un proceso de entrevista que he desarrollado con el tiempo, he tenido mucho éxito en encontrar los candidatos adecuados con las habilidades necesarias para el puesto.
En el lado educativo, he podido aprobar mi conocimiento y más lo que es más importante a mi experiencia a las generaciones futuras de examinadores forenses. Durante esos primeros dos días de clase que mencioné, encuentro que una o dos personas cada semestre me dirán que no se dieron cuenta de lo que habían negociado cuando comenzaron el programa y me agradecerán por dejarles saber cuál era el trabajo. como, porque no se sintieron cómodos realizando ese tipo de trabajo.
En ese momento, puedo guiarlos en un programa de seguridad informática que no tendrá el mismo tipo de problemas de contenido que los esperan en el futuro. Del mismo modo, puedo identificar rápidamente a los estudiantes que realmente parecen tener "la habilidad", y puedo ayudar a señalarlos en la dirección correcta para comenzar sus carreras.
En la parte final de nuestra entrevista con el experto en forense digital John Irvine, aprendemos por qué el campo es tan importante, qué pueden ganar los aspirantes a examinadores y qué puede hacer para comenzar en una carrera como experto forense digital.
Por qué el forense digital es tan importante y cómo puede comenzar
TR: ¿Por qué el campo de los forenses digitales es tan valioso para los gobiernos y las corporaciones??
JI: El forense digital es valioso tanto para los gobiernos como para las corporaciones para exactamente la misma razón de la razón. Si esa información es evidencia de un caso criminal federal o conocimiento de una privilegio de robo de propiedad intelectual corporativa para un competidor, los profesionales forenses digitales proporcionan datos que los clientes de otro modo no tienen disponibles.
En términos muy simples, uno podría comparar el trabajo de un examinador forense digital con el de un desarrollador de fotos. Por ejemplo, si tengo un rollo de película no desarrollado en mis manos, eso es casi inútil para mí como cualquier tipo de evidencia. Sin embargo, si alguien desarrolla esa película en imágenes (o recupera datos de un disco duro en nuestro caso), ese contenido puede proporcionar todo lo que el fiscal, el gerente de recursos humanos o el oficial de seguridad corporativo necesitan.
Ahora que lo pienso, necesito encontrar una nueva analogía para el futuro. Los niños en la escuela hoy probablemente ni siquiera saben qué es un "rollo de película"!
TR: ¿Qué es lo que más disfruta de su trabajo y por qué continúa haciéndolo??
JI: Forense digital me atrae en varios niveles. En primer lugar, me permite hacer contribuciones significativas a la seguridad de las personas sin estar restringido por las limitaciones físicas de la vista o la edad. Puede que no sea el agente persiguiendo a alguien por un callejón, pero podría darle a ese agente los datos del teléfono celular del sujeto que sella el caso y abre tres más.
A continuación, los forenses digitales me atraen profundamente porque es un híbrido de mi amor por la aplicación de la ley e inteligencia (mi tivo está lleno de espectáculos de policías y espías) y mi geek interior. Si ves esos programas, incluso estás viendo una evolución de esos personajes en la pantalla. Hace quince años, eran los über-gerds con gafas rotas y gracias sociales incómodas. Ahora, el examinador forense de la computadora generalmente tiene un sentido del humor seco y un gran sentido del estilo!
TR: ¿Qué se necesita para tener éxito como examinador forense digital o analista??
JI: Principalmente, se necesita una pasión sincera por la justicia (y lo estoy usando en un término que lo abarca) con un amor por las cosas técnicas. Si tienes esos dos artículos, estás en camino.
Los programas educativos formales están disponibles ahora que no existían hace solo unos años, y vale la pena tomarse el tiempo para investigarlos para ver lo que cada uno tiene para ofrecer. Además, muchas de las herramientas forenses tienen clases (utilizando la herramienta vendida por la compañía, mi propia incluido) que puede comenzar a comenzar.
Como les digo a mis alumnos, el campo requiere un sentido muy fuerte de responsabilidad personal. Debe estar dispuesto a poner su nombre y reputación en la línea con cada caso que analice porque podría terminar en la corte según el contenido de su informe. Si te falta convicción, gracia bajo presión o franqueza, este no es absolutamente el campo de la carrera para ti.
Por último, tener éxito se ayuda enormemente al encontrar un buen mentor en el campo y trabajar hombro con hombro con esa persona mientras aprende el comercio. Las escuelas pueden brindarle una gran base, pero la experiencia de casos lo ayuda a poner a las personas tras las rejas.
TR: ¿Cuánto debe esperar ganar su examinador de forense digital promedio y cuánto podría ganar si se vuelven de buena reputación y/o ir a una empresa privada??
JI: Los salarios forenses digitales varían ampliamente, y a partir de recientemente debido al secuestro y la saturación del mercado de las personas que intentan anunciarse como exámenes forenses informáticos que no son, los salarios están comenzando a bajar. (Gran parte de la responsabilidad se encuentra con malos gerentes de contratación que no pueden determinar el verdadero conjunto de habilidades de un candidato.)
Sin embargo, en general, una persona con talento debería poder encontrar posiciones entre $ 60 y $ 80,000 a un nivel junior, $ 80- $ 120,000 a un nivel medio y hasta y más de $ 150,000 a un nivel senior. Dicho esto, he conocido a algunos examinadores increíbles que estaban en puestos que pagaban solo $ 50,000 por año como oficiales de policía locales, y he conocido exámenes pésimos que ganaron más de $ 250,000 por año porque comercializaron bien su nombre.
En términos muy generales, los examinadores forenses obtienen la mayor cantidad de casos de litigios de defensa o en el descubrimiento electrónico si pueden ejecutar una gran cantidad de casos a la vez (y factura múltiples clientes). Esos niveles salariales suelen ser seguidos por contratistas del gobierno federal, empleados del gobierno federal, empleados del gobierno estatal, militares y finalmente examinadores del gobierno local, respectivamente.
Los salarios comerciales abarcan toda la gama dependiendo de la experiencia, el tamaño de la empresa e interés corporativo en forense (ya sea por proactividad o vergüenza pública).
TR: ¿Qué consejo tiene para alguien que está tratando de decidir si quieren trabajar o no como examinador forense digital o para alguien que recién comienza en el campo??
JI: Lee este artículo! En serio, pasaría un poco de tiempo en LinkedIn y me comunicaría con personas en forense digital para hacerles muchas de las mismas preguntas que me has hecho.
Encuentre personas que trabajen para las organizaciones o empresas para las que desea trabajar y déjelas contarle sobre la rutina diaria. Recibo una o dos consultas a la semana a través de mis direcciones de correo electrónico de LinkedIn o de la escuela, y me complace ofrecer mi consejo dependiendo de sus situaciones individuales.
Si tiene un poco de dinero para gastar, sugeriría suscribirse a una de las clases de capacitación que ofrece los grandes fabricantes de herramientas forenses de computadora para tener una idea de lo que está involucrado con el trabajo y las formas en que se hace.
Si la clase mantiene su interés, analizaría los excelentes programas en algunas universidades a niveles de BS o MS (como los Masters of Computer Forensics disponibles en la Universidad George Mason en Fairfax, Virginia, donde enseño).
TR: Si tiene algo más que le gustaría agregar sobre su carrera o el campo en general, no dude en compartirlo.
JI: El forense de la computadora definitivamente no es para todos, y está bien. Antes de pasar mucho tiempo o dinero, encuentre un profesional de forenses digitales en su área, ofrece comprarle una taza de café y elegir sus cerebros durante una hora. La mayoría de nosotros estamos más que dispuestos a compartir nuestro conocimiento, ya que así es como salimos nosotros mismos.
Digital Forensics es un campo de crecimiento (seamos sinceros, las computadoras no desaparecerán en el corto plazo), y hay mucho trabajo para todos. Sin embargo, si no valora la verdad y no puede defender su trabajo ante la adversidad, no durará mucho tiempo en este negocio donde la reputación lo es todo.
Puede que no conozca personalmente a un examinador forense dado, pero puedo garantizarle que estoy a una llamada telefónica de alguien que lo hace, y esos "archivos" no oficiales se pasan entre los examinadores rápidamente. Una instancia de mala franqueza o falta de responsabilidad puede terminar una carrera en sus pistas.
Dicho todo esto, ha sido un campo fantástico para mí, y estoy agradecido con todos los que he trabajado en el pasado por las lecciones que me han enseñado y las experiencias que han impartido. Ha sido un viaje salvaje.
- « 8 grandes películas de Rita Hayworth
- Las habilidades que necesitas para ser un desarrollador de back-end »