Кариери В Криминологията

Какво е наистина да си цифров криминалист

Интервю с пионера на цифровата криминалистика Джон Ървайн

Отблизо на твърдия диск с лента за местопрестъпление

••• селимаксан / Getty Images

Няма съмнение, че технологията е променила значително начина полицията прави бизнес . Също толкова вярно е схващането, че нашата непрекъснато напредваща технология променя вида на престъпленията, които полицейски детективи разследват като цяло, оттук и нарастването на работни места по дигитална криминалистика .

Киберпространството все повече се превръща в квартал с висока престъпност и необходимостта от полицейско присъствие е очевидна. Именно там идват областта на дигиталните и мултимедийни науки и хора като Джон Ървайн.

Един от пионерите в областта на цифровата криминалистика, Джон провеждаше компютърни разследвания, преди повечето хора да разберат, че има такова нещо. В момента той служи като главен продуктов директор за CyFir, който предлага дистанционна цифрова криминалистика и платформа за реагиране при инциденти.

Джон също е доцент по дигитална криминалистика в университета Джордж Мейсън, където преподава правни и етични въпроси в компютърната криминалистика. Притежава магистърска степен по информационни системи и диплома по инженерство на софтуерни системи.

Той работи в областта на компютърната криминалистика от 1997 г. както в публичния, така и в частния сектор, включително работа с ФБР, DEA и множество частни консултантски фирми. Той също така работи доброволно в доброволната пожарна служба Arcola. Колкото и да е зает, той намери време да отговори на някои въпроси за нас относно бързо разрастващата се област на дигиталната криминалистика и какво е да работиш в индустрията.

Интервю с експерта по цифрова криминалистика Джон Ървайн

Екип на Roufa: Имате дългогодишен опит в дигиталната криминалистика до степен, че сте се утвърдили като признат експерт в тази област. Очевидно са необходими много упорита работа и образование, за да постигнете това, което сте успели, но как започнахте?

Джон Ървайн: Напълно случайно! Както повечето истории за страхотни кариери, аз попаднах в него поради случайност, а не планиране. Винаги съм имал голям интерес към технологиите. Като дете събрах първия компютърен клонинг на блока. Освен това от около петгодишна възраст знаех, че искам да бъда агент на ФБР. В крайна сметка двата интереса се съчетаха.

Докато седях в офиса си, работейки в управлението на софтуерни проекти един ден, ме порази желанието най-накрая да се обърна към ФБР. Това беше преди интернет да стане, е, ИНТЕРНЕТ, така че не можех лесно да получа информация онлайн. Обадих се в местния офис на ФБР, оставих името и адреса си на телефонния секретар за заинтересованите кандидати и отговорих с „да“ на зададения въпрос относно компютърните умения.

Получих това, което наричам „Значи искаш да бъдеш специален агент?“ пакет няколко седмици по-късно. Отворих брошурата и първата страница издуха мечтата ми през целия живот с едно изречение. Моята кариера като агент на ФБР завърши преди да започне с изискването за 20/40 некоригирано зрение или по-добро. Във време преди чудесата на LASIK бях около 20/2000.

В задната част на пакета имаше нещо, което приличаше на 17типоколение, силно изкривено, почти нечетливо копие на обява за работа за компютърен специалист, която очевидно беше включена поради заявените ми умения с компютрите. Помислих си: Е, може би мога да поправя принтери или нещо друго за ФБР. Поне това ще ме вкара в вратата.

Изпратих автобиографията си на човека по човешки ресурси, посочен в длъжностната характеристика, и получих обаждане около седмица по-късно от един от програмните мениджъри в екипа за отговор на компютърния анализ на ФБР. Той каза: Вашето резюме беше изпратено до мен, защото в мотивационното си писмо казахте, че сте „компютърен специалист“. Какво знаете за компютърната криминалистика? Нищо, отговорих аз. Той каза: Страхотно. Влезте на интервю.

TR: Как за първи път се заинтересувахте от дигиталната криминалистика?

ОТ: В интервюто хората, с които се срещнах, ми казаха, че мога да бъда маниак с лошо зрение и въпреки това да помагам да хвана лошите. Очевидно моите универсални способности – което означава, че можех ефективно да използвам различни операционни системи и имах доста добри познания както за хардуерните вътрешни елементи, така и за основните приложения – биха били чудесни за техния екип.

Това наистина беше всичко, което трябваше да чуя. Мислех, че съм играл с операционни системи Linux и Mac в допълнение към Windows просто за забавление; Не осъзнавах, че всичко това подготвя почвата за бъдеща кариера.

TR: Освен вашия опит в криминалистиката, вие сте прекарали много време, работейки за федералното правителство. Този опит помогна ли ви да се подготвите за настоящата ви кариера?

ОТ: Преди да работя за ФБР, бях прекарал доста време като държавен изпълнител. Всъщност, по време на последната ми година в гимназията, аз си тръгвах, когато звънецът биеше и карах по улицата до изпълнител на отбрана, където работех като асистент на директорите на HR и специална сигурност. По-късно работих за софтуерна компания, която имаше редица държавни клиенти.

Освен че вече има а разрешение за сигурност на много млада възраст този опит ми помогна, като ме изложи на редица различни хардуерни платформи, софтуерни приложения и – най-важното – различни типове хора в правителствения и професионалния свят. Независимо от това как изглежда, компютърната криминалистика е колкото за хората, които използват компютрите, които анализирате, толкова и за самия хардуер.

Във втората част на нашето интервю с професор по дигитална криминалистика и експерт Джон Ървайн научаваме за някои от капаните на професията и той обяснява защо тази работа не е за всеки.

Кариерният път и клопки в цифровата криминалистика

TR: Между вашата бакалавърска степен по мениджмънт, вашата софтуерно инженерство сертификат и вашата магистърска степен по информационни системи, колко добре смятате, че вашите дипломи са ви подготвили за вашия професионален път?

ОТ: Всяка от тези програми донесе нещо на масата за мен, работейки в компютърната криминалистика. Първо, мисля, че е важно да се каже, че компютърната криминалистика НЕ ​​е дисциплина в областта на компютърните науки. Това е колкото разследваща функция, толкова и техническо предизвикателство. Ако липсва някой набор от умения, ще има много по-трудно време да работи успешно в тази област.

MS по информационни системи ми помогна, като ми даде по-добро разбиране на операционните системи, файловите системи и компютърната механика. Въпреки това моята бакалавърска степен по мениджмънт беше еднакво полезна за курсовата ми работа по психология, социология, мениджмънт и счетоводство. Не мога да дам предимство в една степен пред друга за полезност в тази област.

Въпреки това искам да съм сигурен, че казвам няколко неща. Компютърната криминалистика е дисциплина за чиракуване. През последните години се появиха повече програми – включително тази, в която преподавам в университета Джордж Мейсън – които предлагат отлична курсова работа по компютърна криминалистика. Въпреки това, вие наистина научавате занаята, след като работите по реални случаи заедно със старши проверяващ.

Освен това НЕ е необходимо да имате програмиране опит за успешна работа в областта. Всъщност имах значително по-голям късмет да обучавам изследователи в техническите детайли на работата, отколкото в преподаването на програмисти на методи на разследване и изкуството на предчувствието. Ако човек няма технически опит в училище, това НЕ е пречка за навлизане в областта.

TR: Работили сте както в частния, така и в публичния сектор, изпълнявайки голяма част от същата работа. Как бихте описали разликата между двете?

ОТ: Най-големите разлики между работата в публичния и частния сектор обикновено са процедурата и скоростта. Във федералния свят процедурите като цяло (но не винаги) са строго предписани, а скоростта на производство обикновено е по-малко критична (с някои забележителни изключения).

В търговския свят процедурите до голяма степен се ръководят от личен опит или предпочитания на вашия работодател, а скоростта на производство е много по-висока. Веднъж прекарах четири месеца на един твърд диск с федерален работодател поради количеството данни, които съдържаше, но в търговския свят обикновено се стремите към време за изпълнение от дни или най-много седмици.

TR: Какъв е типичният работен ден за дигитален криминалистичен анализатор или проверяващ?

ОТ: Работният ден за професионалист по цифрова криминалистика е всичко друго, но не и типичен. В зависимост от организацията, за която работите, може да работите с постоянен поток от случаи на детска порнография или може да анализирате теми с толкова висок профил, че ги гледате по CNN, докато вършите работата.

Въпреки това, често можете да очаквате да сте в прекалено горещ офис (поради броя на компютрите на бюрото ви, които превъзхождат типичния офис климатик) и ще станете много добри в събирането на един работещ компонент от куп неработещи нечий.

Голяма част от деня ви ще отделите за документация. Може да пишете доклад за анализ, да проверявате доклада на друг проверяващ или да отбелязвате всичко, което сте направили при провеждане на изпит. Най-добрият изпит в света е безполезен, ако не можете да комуникирате ясно в писмен доклад, който може лесно да бъде разбран от агент, служител, адвокат или жури. Освен това, ако вашият писмен доклад е лош, това естествено ще постави под въпрос техническите ви способности от онези, които се опитват да го прочетат.

В зависимост от това къде работите, свидетелството в съда е потенциална част от извършването на цифров криминалистичен анализ. Ако работите в среда на правоприлагащите органи, това е почти гарантирано, но дори служителите по криминалистика на компанията може да трябва да свидетелстват по време на несправедливо дело за прекратяване или да подкрепят последващи действия на правоприлагащите органи от проследяване на проникване. Някои проверяващи, които познавам, са страхотни зад клавиатурата и могат да пишат фантастични доклади, но те се разпадат, когато бъдат извикани да свидетелстват в съда.

TR: Вие написахте статия, озаглавена The По-тъмната страна на цифровата криминалистика . Можете ли да ни разкажете малко за някои от подводните камъни на работата?

ОТ: Вие всъщност се позовавате на публикация в блог, която написах преди еон, която беше приета от няколко дигитални криминалистични обекта и беше препубликувана отново и отново. Нямах представа, че ще има такива крака, когато го написах; Просто бях изумен, че хората, които искаха да влязат в полето, все още нямаха представа какво всъщност означава това.

Компютърната криминалистика беше фантастична кариера за мен, но определено има клопки. Всъщност първите две сесии в класа, които преподавам, са съсредоточени около реалностите на работата и аз съм шокиран всеки път, когато разбера, че съм първият човек, който е казал на учениците си каква всъщност е работата след те са го избрали като специалност.

Нямам научни данни, но бих преценил, че около 70 до 80 процента от случаите на компютърна криминалистика по света са свързани с детска порнография. Колкото повече се приближавате до държавните и местните правоприлагащи органи, толкова по-голям става този номер.

Дори ако се концентрирате върху компютърни прониквания и реакция на инциденти, често ще откриете детска порнография като цел или резултат от проникването (или просто съществува на компютрите, които проверявате от обикновения потребител на машината).

Излагането на детска порнография, особено в продължение на осем часа на ден, 40 часа седмично, 52 седмици в годината, взема своето. Това не е просто гледане на неподвижни снимки. Вие също гледате видеоклиповете и виждате и чувате всичко.

Ако можете да продължите да го правите, най-вероятно ще развиете много мрачно, гробищно чувство за хумор, за да се борите с него. Аз също съм доброволец в пожарно-спасителния отряд и там виждате голяма част от същия хумор; това е механизъм за справяне, разработен от хора, които работят в по-мрачните области на живота.

Освен това, в зависимост от работата, която вършите, ще бъдете изложени на графични изображения и текст на убийства, изтезания, изнасилвания, тероризъм и почти всяко престъпление, поквара, порнография или отклонение, което можете да си представите.

Компютрите са отлични инструменти за добро, а също така са отлични инструменти за извършване на престъпления и разпространение на омраза. Като компютърен криминалист, вие ще бъдете изложени на всичко това, ден след ден. В една група имахме шега, която се появи в реклама по това време, в която се говори за хора, които сърфират до дъното на интернет. Добавихме, …и тогава нашият екип получава лопата и започва да копае.

Поради работата и съдържанието, на което е подложен проверяващият, много хора, които влизат в областта, не издържат. Средно бих казал, че около 50 процента от хората, които се занимават с него, напускат в рамките на около две години. Това изглежда е знакът, когато проверяващият е имал достатъчно случаи под колана си, за да стане или натежаван от (или имунизиран срещу) излагането. Ако успеете да преминете границата от две години, обикновено имате дълга кариера пред вас в компютърната криминалистика.

Променяща се дисциплина

TR: С толкова бърз напредък в изчислителните технологии през последното десетилетие, как областта на цифровата криминалистика се промени през кариерата ви?

ОТ: Компютърната криминалистика се промени изключително много от времето, когато започнах през 90-те. Тогава вие преглеждахте всеки файл на твърдия диск (защото можеше) и мобилните устройства дори не бяха и мисъл. Дискетите ще се доставят със стотици, но сега никога не ги виждате.

Днес количеството данни е толкова голямо, че трябва да сте много по-точни в търсенията си, а мобилните устройства са еднакъв — ако не и по-важен — обект на изследване.

Освен това дълбочината на инструментите се е променила значително. В първите дни повечето инструменти бяха написани от ченгета, които бяха взели няколко курса по програмиране или които бяха самоуки. Имахме десетки помощни програми за еднократна употреба, които щяхме да сглобим, за да направим преглед.

Сега инструментите са много по-професионални и многофункционални. Добрият проверяващ все пак ще има голяма кутия с инструменти, от която да работи, но той или тя има много по-добри опции за базова платформа за извършване на цялостния преглед. Индустрията винаги се опитва да премине към магическия бутон за намиране на всички доказателства, а някои инструменти се доближават до този за определени видове случаи.

В политическо отношение видовете дела са се променили неимоверно. Първоначално компютърната криминалистика се използва предимно от правоприлагащите органи за наказателни дела. След 11 септември голяма част от работата се насочи към борбата с тероризма. Сега компютърните прониквания са горещата тема и много кариери се насочиха към реакция на инциденти. Областта се променя изключително с времето.

TR: В момента работите като вицепрезидент по технологично развитие в CyTech Services. Ако можете да ги споделите с нас, какви иновации сте успели да приложите в кариерата си?

ОТ: Преминаването към CyTech Services беше фантастично за мен. В моята позиция не само мога да използвам опита си в компютърната криминалистика, но също така мога да използвам опита си в управлението на софтуерни проекти. CyTech произвежда CyFIR Enterprise (CyTech Forensics and Incident Response) за извършване на корпоративни компютърни криминалистични разследвания.

Моят принос тук е по-нататъшното развитие на инструмента с поглед на практикуващ. Например архитектурата на CyFIR позволява на изследователите да търсят наведнъж всеки възел в корпоративна мрежа за криминалистични данни - без да изискват потребителите да спрат работа за дълъг процес на изобразяване.

Ако има избухване на злонамерен код в организация, CyFIR има способността да локализира всички засегнати машини в рамките на минути, вместо дни или седмици. Това е огромно, когато извършвате реакция на инциденти, електронно откриване или вътрешни разследвания в голяма корпоративна мрежа или когато отговаряте на компромис с множество магазини в точката на продажба, който краде данни от кредитни карти от платната за плащане. Старото мислене за изображение на всичко и сортиране по-късно просто вече не върви в корпоративен контекст.

Макар и да не е иновация сама по себе си, с моя опит в управлението, имах изключителен късмет да идентифицирам кандидати, които са изключителни съдебни експерти.

Продължи инфлацията, за съжаление, е голям проблем в нашата индустрия и някой, който изглежда страхотно на хартия, може да има само познания на ниво модна дума за действително провеждане на изпит. Чрез процеса на интервю, който разработих с течение на времето, бях изключително успешен в намирането на правилните кандидати с уменията, необходими за позицията.

От образователна страна успях да предам знанията си и - по-важното - опита си на бъдещите поколения съдебни експерти. През първите два дни от класа, които споменах, откривам, че един или двама души всеки семестър ще ми казват, че не са осъзнали за какво са се пазарили, когато са започнали програмата, и ми благодаря, че им казах каква е работата например, защото не се чувстваха комфортно да изпълняват такъв вид работа.

В този момент мога да ги насоча към програма за компютърна сигурност, която няма да има същите проблеми със съдържанието, които ги чакат в бъдеще. По същия начин мога доста бързо да идентифицирам студентите, които изглежда наистина имат умението, и мога да помогна да ги насоча в правилната посока, за да започнат кариерата си.

В последната част от нашето интервю с експерта по цифрова криминалистика Джон Ървайн научаваме защо областта е толкова важна, какво могат да спечелят амбициозните експерти и какво можете да направите, за да започнете кариера като дигитален криминалист.

Защо цифровата криминалистика е толкова важна и как можете да започнете

TR: Защо областта на цифровата криминалистика е толкова ценна за правителствата и корпорациите?

ОТ: Дигиталната криминалистика е ценна както за правителствата, така и за корпорациите по абсолютно същата причина – информацията. Независимо дали тази информация е доказателство за федерално наказателно дело или знание за вътрешен човек, открадващ корпоративна интелектуална собственост за конкурент, специалистите по дигитална криминалистика предоставят данни, които клиентите иначе не разполагат с налични.

Казано много просто, може да се оприличи работата на дигитален криминалист с тази на разработчик на снимки. Например, ако имам непроявена ролка филм в ръцете си, това е почти безполезно за мен като доказателство. Въпреки това, ако някой разработи този филм в снимки (или възстанови данни от твърд диск в нашия случай), това съдържание може да предостави всичко на прокурора, Мениджър човешки ресурси , или нуждите на служител по корпоративна сигурност.

Сега, като се замисля, трябва да измисля нова аналогия за бъдещето. Децата в училище днес вероятно дори не знаят какво е филм!

TR: Какво ви харесва най-много в работата си и защо продължавате да я вършите?

ОТ: Дигиталната криминалистика ме привлича на няколко нива. На първо място, това ми позволява да дам смислен принос за безопасността и сигурността на хората, без да бъда ограничаван от физическите ограничения на зрението или възрастта. Може да не съм агентът, преследващ някого по алеята, но може да дам на този агент данните от мобилния телефон на субекта, който запечатва кутията и отваря още три.

След това дигиталната криминалистика силно ме привлича, защото е хибрид на любовта ми към правоприлагането и разузнаването (моят TiVo е пълен с ченгенски и шпионски предавания) и моя вътрешен маниак. Ако гледате тези предавания, дори виждате еволюция на тези герои на екрана. Преди петнадесет години те бяха über-нердовете със счупени очила и неудобни социални грации. Сега компютърният криминалист обикновено има сухо чувство за хумор и страхотно чувство за стил!

TR: Какво е необходимо, за да бъдете успешен като дигитален криминалист или анализатор?

ОТ: На първо място е необходима искрена страст към справедливостта (и аз използвам това във всеобхватен термин) с любов към техническите неща. Ако имате тези два елемента, вие сте на път.

Вече са налични официални образователни програми, които не съществуваха само преди няколко години и си струва да отделите време да ги проучите, за да видите какво може да предложи всяка от тях. Освен това много от инструментите за криминалистика там имат класове (с помощта на инструмента, продаван от компанията, включително моят), които могат да ви помогнат да започнете.

Както казвам на моите студенти, тази област изисква много силно чувство за лична отговорност. Трябва да сте готови да поставите името и репутацията си на карта с всеки случай, който анализирате, защото може да се окажете в съда въз основа на съдържанието на вашия доклад. Ако ви липсва убеденост, изящество под натиск или откровеност, това абсолютно НЕ е сферата на кариерата за вас.

И накрая, да бъдеш успешен се помага изключително чрез намирането на добро наставник на полето и работете рамо до рамо с този човек, докато учите занаята. Училищата могат да ви дадат страхотна основа, но опитът в казус ви помага да поставите хората зад решетките.

TR: Колко трябва да очаква да спечели вашият среден експерт по цифрова криминалистика и колко може да спечели, ако стане реномиран и/или отиде в частна фирма?

ОТ: Заплатите на дигиталните криминалисти варират в широки граници и напоследък поради секвестиране и насищане на пазара на хора, които се опитват да се рекламират като компютърни съдебни експерти, които не са, заплатите започват да падат. (Голяма част от отговорността там е на лошото наемащи мениджъри който не може да определи истинския набор от умения на кандидата.)

Въпреки това, като цяло, човек с талант трябва да може да намери позиции между $60-$80,000 на ниво младши, $80-$120,000 на средно ниво и до и над $150,000 на ниво старши. Въпреки това познавам някои невероятни проверяващи, които са били на позиции, плащащи само 50 000 долара годишно като местни полицаи, и познавам лоши проверяващи, които печелят повече от 250 000 долара годишно, защото рекламират добре името си.

Най-общо казано, съдебните експерти извличат най-много по дела за защита или в електронно откриване ако могат да изпълняват голям брой дела наведнъж (и да таксуват множество клиенти). Тези нива на заплати обикновено се следват от изпълнителите на федералното правителство, служители на федералното правителство , държавни служители, военни , и накрая, респ.

Търговските заплати варират в зависимост от опита, размера на компанията и корпоративния интерес към криминалистиката (или поради проактивност, или поради обществено неудобство).

TR: Какъв съвет имате за някой, който се опитва да реши дали иска да работи или не дигитален криминалист , или за някой, който току-що започва в тази област?

ОТ: Прочетете тази статия! Сериозно, бих отделил малко време LinkedIn и се свържете с хора в дигиталната криминалистика, за да им задам много от същите въпроси, които сте ми задали.

Намерете хора, които работят за организациите или компаниите, за които искате да работите, и ги оставете да ви разкажат за ежедневната работа. Отправям едно или две запитвания седмично чрез имейл адресите си в LinkedIn или училище и се радвам да предложа съвета си в зависимост от индивидуалните им ситуации.

Ако имате малко пари за харчене, бих предложил да се запишете за един от курсовете за обучение, предлагани от големите производители на компютърни криминалистични инструменти, за да усетите какво е свързано с работата и начините, по които се извършва.

Ако класът ви интересува, бих разгледал отличните програми в някои университети на ниво BS или MS (като магистри по компютърна криминалистика, достъпни от университета Джордж Мейсън във Феърфакс, Вирджиния, където преподавам).

TR: Ако имате нещо друго, което бихте искали да добавите относно кариерата си или областта като цяло, моля, не се колебайте да го споделите.

ОТ: Компютърната криминалистика определено не е за всеки и това е добре. Преди да похарчите много време или пари, намерете професионалист по цифрова криминалистика във вашия район, предложете му да му купите чаша кафе и изберете мозъка им за един час. Повечето от нас са повече от готови да споделят знанията си, тъй като сами сме стигнали до това.

Дигиталната криминалистика е поле за растеж (нека си го кажем, компютрите няма да изчезнат скоро) и има много работа за всички. Ако обаче не цените истината и не сте в състояние да отстоявате работата си пред трудностите, няма да издържите дълго в този бизнес, където репутацията е всичко.

Може да не познавам лично даден съдебен следовател, но мога да ви гарантирам, че съм на едно телефонно обаждане разстояние от някой, който го знае, и тези неофициални досиета от залата се предават бързо между следователите. Един случай на лоша откровеност или липса на отговорност може сложи край на кариера в следите си.

Всичко това казано, това беше фантастично поле за мен и съм благодарен на всички, с които съм работил в миналото, за уроците, които са ми преподавали, и опита, който са ми предали. Беше диво каране.