John Irvine, especialista em análise forense digital, compartilha sua posição inicial
- Saiba mais sobre os trabalhos periciais digitais forenses
O ciberespaço está se tornando cada vez mais um “bairro de alta criminalidade”, e a necessidade de uma presença policial é prontamente aparente.
É aí que entra o campo das ciências digitais e multimídia e pessoas como John Irvine.
Um dos pioneiros do campo forense digital, John estava realizando investigações em computadores antes que a maioria das pessoas soubesse que isso era verdade. Atualmente, ele atua como vice-presidente de desenvolvimento de tecnologia da CyTech Services, uma empresa privada especializada em recuperação de dados e análise forense digital.
John também é professor adjunto de análise forense digital na George Mason University, onde leciona questões jurídicas e éticas em computação forense. Ele possui mestrado em Sistemas de Informação e um certificado de pós-graduação em engenharia de sistemas de software.
Ele trabalha em computação forense desde 1997, tanto no setor público quanto no privado, incluindo o trabalho com o FBI, a DEA e várias firmas de consultoria privadas. Ele também é voluntário do Corpo de Bombeiros Voluntários de Arcola. Por mais ocupado que esteja, ele encontrou tempo para responder algumas perguntas para nós sobre o crescente campo da análise forense digital e como é trabalhar na indústria.
Entrevista com o especialista em análise forense digital John Irvine :
Tim Roufa: Você tem anos de experiência em análise forense digital, a ponto de se estabelecer como um especialista reconhecido no campo. Obviamente, é preciso muito trabalho e educação para conseguir o que você conseguiu, mas como você começou?
John Irvine: Completamente por acaso! Como a maioria das histórias de grandes carreiras, eu caí nisso por causa do acaso, não do planejamento. Eu sempre tive um grande interesse em tecnologia. Quando criança, montei o primeiro clone do PC no bloco. Além disso, a partir dos cinco anos, eu sabia que queria ser um agente do FBI. Por fim, os dois interesses se encaixaram.
Enquanto estava sentado no meu escritório trabalhando em gerenciamento de projetos de software um dia, o desejo me levou a finalmente chegar ao FBI. Isso foi antes que a Internet fosse, bem, a INTERNET, então eu não poderia facilmente obter informações online. Liguei para o meu escritório local do FBI, deixei meu nome e endereço na secretária eletrônica para os candidatos interessados e respondi "sim" à pergunta sobre ter conhecimentos de informática.
- Forense Digital não é para você? Aprenda como se tornar um agente do FBI
Recebi o que chamo de pacote “Então você quer ser um agente especial?” Algumas semanas depois. Abri a brochura e a primeira página apagou o meu sonho ao longo da vida numa frase. Minha carreira como agente do FBI terminou antes de começar com a exigência de visão 20/40 não corrigida ou melhor. Em um tempo antes das maravilhas do LASIK, eu tinha cerca de 20/2000.
Na parte de trás do pacote estava o que parecia ser uma cópia da 17ª geração, mal distorcida, quase ilegível, de um posto de trabalho para um “especialista em computação” que aparentemente havia sido incluído por causa da minha capacidade declarada com computadores.
Eu pensei: “Bem, talvez eu consiga consertar impressoras ou algo do tipo para o FBI. Pelo menos isso me colocará na porta.
Mandei meu currículo para a pessoa de RH listada na descrição do trabalho, e recebi uma ligação cerca de uma semana depois de um dos gerentes de programa da Equipe de Resposta de Análise de Computação do FBI. Ele disse: “Seu currículo foi encaminhado para mim porque você disse que era um 'generalista de computadores' em sua carta de apresentação. O que você sabe sobre computação forense? ”“ Nada ”, eu respondi. Ele disse: “Ótimo. Venha para uma entrevista.
O resto, como dizem, é história.
- Falando de História, Explore o Início da História da Ciência Forense
- Descubra mais sobre a história moderna da ciência forense
TR: Como você se interessou pela computação forense digital?
JI: Na entrevista, as pessoas com quem eu me encontrei me disseram que eu poderia ser um nerd com visão ruim e ainda ajudar a pegar os bandidos.
Aparentemente, minhas habilidades de generalista - o que significa que eu poderia efetivamente usar diferentes sistemas operacionais e ter um bom conhecimento de hardware interno e dos principais aplicativos - seriam uma excelente opção para sua equipe.
Isso foi realmente tudo que eu precisava ouvir. Eu pensei que eu estava jogando com sistemas operacionais Linux e Mac, além do Windows apenas por diversão; Eu não percebi que tudo estava preparando o palco para uma futura carreira.
TR: Além de sua experiência forense, você passou muito tempo trabalhando para o governo federal. Essa experiência ajudou a prepará-lo para sua carreira atual?
JI: Antes de trabalhar para o FBI, passei bastante tempo como contratado do governo. De fato, durante meu último ano do ensino médio, eu saía quando o sinal tocava e subia a rua até um empreiteiro de defesa onde eu trabalhava como assistente dos diretores de RH e Segurança Especial. Mais tarde, trabalhei para uma empresa de software que tinha vários clientes do governo.
Além de já ter uma autorização de segurança em uma idade muito jovem, essa experiência me ajudou, expondo-me a várias plataformas de hardware, aplicativos de software e - o mais importante - diferentes tipos de pessoas no mundo governamental e profissional. Independentemente da aparência, a computação forense é tão importante quanto as pessoas que usam os computadores que você analisa, mas também sobre o hardware em si.
Próximo: John Irvine discute o lado mais sombrio da análise forense digital
Na segunda parte de nossa entrevista com John Irvine, professor e especialista em forense digital, aprendemos sobre algumas das armadilhas da profissão e ele explica por que esse trabalho não é para todos.
Entrevista com o perito forense digital John Irvine, parte 2:
TR: Entre seu diploma de bacharel em administração, seu certificado de engenharia de software e seu mestrado em sistemas de informação, como você se sente bem em sua preparação para sua carreira?
JI: Cada um desses programas trouxe algo para a mesa para mim trabalhando em computação forense. Primeiro, acho importante dizer que a computação forense NÃO é uma disciplina de ciência da computação. É tanto uma função investigativa quanto um desafio técnico. Se um dos conjuntos de habilidades estiver faltando, será muito mais difícil trabalhar com sucesso no campo.
O MS em Sistemas de Informação ajudou, me dando uma melhor compreensão dos sistemas operacionais, sistemas de arquivos e mecânica de computadores. No entanto, o meu bacharel em Administração foi igualmente útil com o meu curso em psicologia, sociologia, gestão e contabilidade. Eu não posso realmente dar uma vantagem para um grau sobre o outro para utilidade no campo.
Dito isso, quero ter certeza de dizer algumas coisas. Computer Forensics é uma disciplina de aprendizado. Mais programas surgiram nos últimos anos - aquele em que leciono na Universidade George Mason, inclusive - que oferecem cursos excelentes em computação forense.
No entanto, você realmente aprende o ofício quando está em um lugar trabalhando em casos reais ao lado de um examinador sênior.
Além disso, você NÃO precisa ter um histórico de programação para trabalhar com sucesso no campo. Na verdade, eu tive investigadores de treinamento de sorte significativamente melhores nos detalhes técnicos do trabalho do que eu tive em ensinar aos programadores métodos de investigação e arte do “palpite”. Se alguém não tem formação técnica na escola, Isso não é um impedimento para entrar em campo.
- Aprenda que tipo de grau você deve ganhar para uma carreira na ciência forense
- Explore os Tipos de Graus que Você Deve Ganhar por Criminologia e Carreiras de Justiça Criminal
TR: Você trabalhou nos setores privado e público, executando grande parte do mesmo trabalho. Como você descreveria a diferença entre os dois?
JI: As maiores diferenças entre trabalhar nos setores público e privado são geralmente procedimentos e velocidade. No mundo federal, os procedimentos são geralmente (mas nem sempre) altamente prescritos, e a velocidade de produção é geralmente menos crítica (com algumas exceções notáveis).
No mundo comercial, os procedimentos são em grande parte impulsionados pela experiência pessoal ou pelas preferências do seu empregador, e a velocidade de produção é muito maior. Eu passei quatro meses em um único disco rígido uma vez com um empregador federal por causa da quantidade de dados que ele continha, mas no mundo comercial, você geralmente tem como meta um tempo de retorno de dias ou semanas no máximo.
TR: Como é um dia de trabalho típico para um analista ou examinador forense digital?
JI: O dia de trabalho de um profissional forense digital é tudo menos típico. Dependendo da organização para quem você está trabalhando, você pode estar trabalhando em um fluxo constante de casos de pornografia infantil, ou você pode estar analisando assuntos de alto perfil que você está assistindo na CNN enquanto você está fazendo o trabalho.
No entanto, muitas vezes você pode esperar estar em um escritório muito quente (por causa do número de computadores em sua mesa dominando o típico ar-condicionado de escritório), e você vai ficar muito bom em juntar um componente de trabalho de um monte de não funcionamento uns.
Muito do seu dia será gasto em documentação. Você pode estar escrevendo um relatório de análise, revisando o relatório de outro examinador ou anotando tudo que fez ao realizar um exame. O melhor exame do mundo é inútil se você não puder se comunicar claramente em um relatório escrito que possa ser facilmente entendido por um agente, executivo, advogado ou júri. Além disso, se o seu relatório escrito for ruim, ele naturalmente questionará suas habilidades técnicas por aqueles que tentarem lê-lo.
- Saiba mais sobre por que as habilidades de escrita são tão importantes em qualquer carreira de criminologia
Dependendo de onde você trabalha, testemunhar em tribunal é uma parte potencial da realização de análise forense digital. Se você está trabalhando em um ambiente de aplicação da lei, é quase garantido, mas até o pessoal da perícia corporativa pode ter que testemunhar durante uma ação judicial injusta ou apoiar a ação subseqüente da lei de rastrear uma invasão. Alguns examinadores que conheço são ótimos por trás do teclado e podem escrever relatórios fantásticos, mas desmoronam quando chamados para testemunhar em tribunal.
TR: Você escreveu um artigo intitulado The Darker Side of Digital Forensics . Você pode nos contar um pouco sobre algumas das armadilhas do trabalho?
JI: Na verdade, você está fazendo referência a um post de blog que eu escrevi há um ano, que foi captado por algumas tomadas forenses digitais e que foi republicado uma e outra vez. Eu não tinha ideia de que teria tais “pernas” quando eu as escrevesse; Fiquei surpreso que as pessoas que queriam entrar em campo ainda não tinham ideia do que isso realmente implicava.
Computação forense tem sido uma carreira fantástica para mim, mas definitivamente existem armadilhas. De fato, as duas primeiras aulas que eu leciono estão centradas nas realidades do trabalho, e fico chocada toda vez que descubro que sou a primeira pessoa que contou aos meus alunos como é o trabalho depois eles escolheram como campo de graduação.
Eu não tenho números científicos, mas eu estimo que cerca de 70-80% dos casos de computação forense em todo o mundo estão relacionados à pornografia infantil. Quanto mais próximo você estiver das autoridades estaduais e municipais, maior será esse número.
Mesmo se você estiver se concentrando em intrusões de computador e resposta a incidentes, muitas vezes encontrará pornografia infantil como um propósito ou resultado da invasão (ou simplesmente existente nos computadores que você examina do usuário comum da máquina).
A exposição à pornografia infantil, particularmente durante oito horas por dia, quarenta horas por semana, cinquenta e duas semanas por ano, tem o seu preço. Não é apenas olhar para imagens paradas. Você também assiste aos vídeos e está vendo e ouvindo tudo.
Se você puder continuar fazendo isso, você provavelmente desenvolverá um senso de humor muito sombrio para combatê-lo. Eu também sou voluntário com um esquadrão de fogo e resgate, e você vê muito do mesmo humor lá; é um mecanismo de enfrentamento desenvolvido por pessoas que trabalham nas áreas mais sombrias da vida.
Além disso, dependendo do trabalho que você está fazendo, você será exposto a imagens gráficas e texto de assassinato, tortura, estupro, terrorismo e qualquer crime, depravação, pornografia ou desvio que você possa imaginar.
Os computadores são excelentes ferramentas para o bem e também são excelentes ferramentas para cometer crimes e espalhar o ódio. Como um examinador forense de computador, você estará exposto a tudo isso, dia após dia. Em um grupo, nós tínhamos uma piada que dizia respeito a um comercial na época falando sobre pessoas que "navegavam até o fundo da Internet". Acrescentamos: "... e então nossa equipe recebe uma pá e começa a cavar".
Por causa do trabalho e do conteúdo ao qual um examinador é submetido, muitas pessoas que entram no campo não perduram. Em média, eu diria que cerca de cinquenta por cento das pessoas que entram partem dentro de dois anos. Essa parece ser a marca quando um examinador teve casos suficientes sob seu cinto para ficar sobrecarregado (ou imune à) exposição. Se você conseguir passar da marca de dois anos, você geralmente terá uma longa carreira pela frente na computação forense.
TR: Com tais avanços rápidos na tecnologia de computação na última década, como o campo da análise forense digital mudou ao longo de sua carreira?
JI: A computação forense mudou muito desde quando comecei nos anos 90. Naquela época, você olhava todos os arquivos em um disco rígido (porque podia) e os dispositivos móveis não eram nem um pensamento. Os disquetes chegariam às centenas, mas agora você nunca os vê.
Hoje, a quantidade de dados é tão grande que você precisa ser muito mais preciso em suas pesquisas, e dispositivos móveis são um assunto igual - se não mais importante - de exame.
Além disso, a profundidade das ferramentas mudou significativamente. Nos primórdios, a maioria das ferramentas era escrita por policiais que tinham feito algumas aulas de programação ou eram autodidatas. Nós tínhamos dúzias de utilidades de uso único que costumávamos fazer um exame.
Agora, as ferramentas são muito mais profissionais e multifuncionais. Um bom examinador ainda terá uma grande “caixa de ferramentas” para trabalhar, mas ele ou ela tem opções de plataforma base muito melhores para realizar o exame geral. A indústria está sempre tentando migrar para o botão mágico "encontrar todas as evidências", e algumas ferramentas estão chegando perto disso para certos tipos de casos.
Politicamente, os tipos de casos mudaram tremendamente. Originalmente, a computação forense era usada principalmente pela aplicação da lei em casos criminais. Depois do 11 de setembro, grande parte do trabalho mudou para o contraterrorismo. Agora, intrusões de computador são o tema quente, e muitas carreiras se moveram em direção à resposta a incidentes. O campo muda tremendamente com os tempos.
TR: Atualmente, você atua como vice-presidente de desenvolvimento de tecnologia na CyTech Services. Se você puder compartilhá-los conosco, que tipo de inovações você já teve oportunidade de participar de sua carreira?
JI: A mudança para a CyTech Services foi fantástica para mim. Na minha posição, eu não apenas sou capaz de usar a experiência forense do meu computador, mas também posso usar minha experiência em gerenciamento de projetos de software. A CyTech produz o CyFIR Enterprise (CyTech Forensics e Incident Response) para realizar investigações forenses em computadores corporativos.
Minha contribuição aqui é para o desenvolvimento da ferramenta com o olho de um praticante. Por exemplo, a arquitetura do CyFIR permite que os pesquisadores pesquisem todos os nós de uma rede corporativa de uma só vez por dados forenses - sem exigir que os usuários interrompam o trabalho para um longo processo de geração de imagens.
Se houver um surto de código malicioso em uma organização, o CyFIR poderá localizar todas as máquinas afetadas em minutos, em vez de dias ou semanas. Isso é imenso quando se realiza uma resposta a incidentes, eDiscovery ou investigações internas em uma grande rede corporativa ou quando se está respondendo a um comprometimento de ponto de venda de várias lojas que está roubando dados de cartão de crédito de pistas de checkout. O velho pensamento de “imaginar tudo e classificar depois” simplesmente não funciona mais em um contexto corporativo.
Embora não seja uma “inovação” per se, com meu histórico em administração, tenho tido uma sorte excepcional em identificar candidatos que fazem excelentes examinadores forenses.
A retomada da inflação é, infelizmente, um grande problema em nossa indústria, e alguém que parece ótimo no papel pode ter apenas um conhecimento em nível de texto sobre a realização de um exame. Através de um processo de entrevistas que desenvolvi ao longo do tempo, tenho sido extremamente bem sucedido em encontrar os candidatos certos com as habilidades necessárias para a posição.
No lado educacional, pude passar meu conhecimento e, mais importante, minha experiência para as futuras gerações de examinadores forenses. Durante os dois primeiros dias de aula que mencionei, descubro que uma ou duas pessoas a cada semestre me dizem que não perceberam o que haviam negociado quando começaram o programa e me agradecer por avisá-los sobre o que o trabalho era. como, porque eles não se sentiam confortáveis realizando esse tipo de trabalho.
Nesse ponto, posso orientá-los para um programa de segurança de computadores que não terá os mesmos tipos de problemas de conteúdo que os aguardam no futuro. Da mesma forma, posso identificar rapidamente os alunos que realmente parecem ter “o jeito”, e posso ajudar a apontá-los na direção certa para começar suas carreiras.
Próximo: John Irvine compartilha conselhos sobre como conseguir um emprego em análise forense digital
Na parte final de nossa entrevista com John Irvine, perito em forense digital, aprendemos por que o campo é tão importante, o que os examinadores aspirantes podem ganhar e o que você pode fazer para começar uma carreira como perito forense digital.
Entrevista com o especialista em análise forense digital John Irvine, Parte 3:
TR: Por que o campo da análise forense digital é tão valioso para governos e corporações?
JI: A análise forense digital é valiosa para governos e corporações exatamente pela mesma razão - informação.
Se essa informação é evidência para um caso criminal federal ou conhecimento de um insider que rouba a propriedade intelectual incorporada para um concorrente, os profissionais forenses digitais fornecem dados que os clientes não têm de outra maneira disponível.
Em termos muito simples, pode-se comparar o trabalho de um examinador forense digital ao de um desenvolvedor de fotos. Por exemplo, se tenho um rolo de filme não revelado em minhas mãos, isso é quase inútil para mim como qualquer tipo de evidência. No entanto, se alguém desenvolver esse filme em imagens (ou recuperar dados de um disco rígido em nosso caso), esse conteúdo poderá fornecer tudo que o promotor, o gerente de RH ou o agente de segurança da empresa precisa.
Agora que penso nisso, preciso apresentar uma nova analogia para o futuro. Crianças na escola hoje provavelmente nem sabem mais o que é um “rolo de filme”!
TR: Do que você mais gosta no seu trabalho e por que você continua fazendo isso?
JI: A perícia digital me atrai em vários níveis. Em primeiro lugar, permite-me fazer contribuições significativas para a segurança das pessoas sem ser restringido por limitações físicas de visão ou idade. Eu posso não ser o agente perseguindo alguém em um beco, mas eu posso dar a esse agente os dados do celular do sujeito que fecha o caso e abre mais três.
Em seguida, a análise forense digital me atrai profundamente porque é um híbrido do meu amor pela lei e pela inteligência (meu TiVo é cheio de programas de policiais e espiões) e meu nerd interior. Se você assistir a esses shows, verá até mesmo uma evolução desses personagens na tela. Quinze anos atrás, eles eram os super-nerds com óculos quebrados e graças sociais desajeitadas. Agora, o examinador forense de computador geralmente tem um senso de humor seco e um grande senso de estilo!
TR: O que é preciso para ter sucesso como analista ou analista forense digital?
JI: Primeiramente, é preciso uma paixão sincera pela justiça (e estou usando isso em um termo abrangente) com um amor pelas coisas técnicas. Se você tem esses dois itens, você está bem no seu caminho.
Programas educacionais formais estão disponíveis agora e não existem há apenas alguns anos, e vale a pena dedicar tempo para investigá-los e ver o que cada um pode oferecer. Além disso, muitas das ferramentas forenses têm aulas (usando a ferramenta vendida pela empresa, inclusive a minha) que podem ajudar você a começar.
Como digo aos meus alunos, o campo exige um senso muito forte de responsabilidade pessoal. Você precisa estar disposto a colocar seu nome e reputação na linha com cada caso que você analisar, porque você poderia muito bem acabar no tribunal com base no conteúdo do seu relatório.
Se você não tiver convicção, graça sob pressão ou franqueza, isso NÃO é absolutamente o campo da carreira para você.
Por fim, ser bem-sucedido é ajudado tremendamente ao encontrar um bom mentor no campo e trabalhar ombro a ombro com essa pessoa enquanto você aprende o ofício. As escolas podem lhe dar uma ótima base, mas a experiência do caso ajuda a colocar as pessoas atrás das grades.
TR: Quanto o seu examinador forense digital médio espera ganhar, e quanto pode ganhar se se tornar respeitável e / ou ir a uma empresa privada?
JI: Os salários forenses digitais variam muito, e até recentemente devido ao sequestro e à saturação do mercado de pessoas que tentavam se autopromover como examinadoras forenses de computador, os salários estão começando a cair. (Grande parte da responsabilidade é dos maus gerentes de contratação que não conseguem determinar o verdadeiro conjunto de habilidades do candidato.)
No entanto, em geral, uma pessoa com talento deve ser capaz de encontrar posições entre US $ 60 e US $ 80.000 em nível júnior, US $ 80 a US $ 120.000 em nível intermediário e até US $ 150.000 em nível sênior. Dito isso, eu conheço alguns examinadores incríveis que estavam em posições pagando apenas US $ 50.000 por ano como policiais locais, e eu conhecia péssimos examinadores que ganhavam mais de US $ 250.000 por ano porque eles anunciavam bem o nome deles.
Em termos muito gerais, os examinadores forenses aproveitam ao máximo os casos de litígio de defesa ou, em eDiscovery, se conseguem executar um grande número de casos de uma só vez (e faturar vários clientes). Esses níveis salariais são tipicamente seguidos por contratados do governo federal, funcionários do governo federal, funcionários do governo estadual, militares e, finalmente, examinadores do governo local, respectivamente.
- Aprenda sobre Carreiras Policiais Militares
- Descubra carreiras federais de aplicação da lei
Os salários comerciais variam de acordo com a experiência, o tamanho da empresa e o interesse das empresas pela ciência forense (seja por causa da proatividade ou do constrangimento público).
TR: Que conselho você tem para alguém que está tentando decidir se quer ou não trabalhar como examinador forense digital ou para alguém que está apenas começando no campo?
JI: Leia este artigo! Sério, eu gastaria um pouco de tempo no LinkedIn e entraria em contato com as pessoas da perícia digital para fazer muitas das mesmas perguntas que você me fez.
Encontre pessoas que trabalham para as organizações ou empresas que você deseja trabalhar e deixe que elas falem sobre o dia-a-dia. Eu trabalho com uma ou duas perguntas por semana através do meu endereço de e-mail no LinkedIn ou na escola, e estou feliz em oferecer meu conselho, dependendo de suas situações individuais.
Se você tem um pouco de dinheiro para gastar, sugiro inscrever-me em uma das aulas de treinamento oferecidas pelos grandes fabricantes de ferramentas forenses para ter uma ideia do que está envolvido com o trabalho e as maneiras pelas quais ele é feito.
Se a turma mantiver o seu interesse, eu examinaria os excelentes programas em algumas universidades nos níveis BS ou MS (como o Masters of Computer Forensics disponível na George Mason University em Fairfax, Virginia, onde eu leciono).
- Saiba mais sobre como se tornar um examinador forense digital
TR: Se você tiver mais alguma coisa que queira adicionar à sua carreira ou ao campo em geral, sinta-se à vontade para compartilhá-la.
JI: Computação forense definitivamente não é para todos, e tudo bem. Antes de gastar muito tempo ou dinheiro, encontre um profissional forense digital em sua área, ofereça-se para comprar uma xícara de café para ele e escolha sua inteligência por uma hora. A maioria de nós está mais do que disposta a compartilhar nosso conhecimento, pois foi assim que nos criamos.
O Digital Forensics é um campo de crescimento (vamos admitir, os computadores não vão desaparecer tão cedo), e há muito trabalho para todos. No entanto, se você não valoriza a verdade e não é capaz de defender seu trabalho diante da adversidade, você não vai durar muito neste negócio onde a reputação é tudo.
Talvez eu não conheça pessoalmente um examinador forense, mas posso garantir a você que sou um telefonema de alguém que o conhece, e esses arquivos não oficiais são repassados entre os examinadores rapidamente. Um exemplo de falta de franqueza ou falta de responsabilidade pode terminar uma carreira em suas trilhas.
Tudo isso dito, tem sido um campo fantástico para mim, e sou grato a todos com quem trabalhei no passado pelas lições que eles me ensinaram e as experiências que eles transmitiram. Tem sido um passeio selvagem.