No hay duda de que la tecnología ha cambiado significativamente la forma en que la policía hace negocios . Igual de cierta es la noción de que nuestra tecnología en constante avance está cambiando el tipo de delitos que los detectives de la policía investigan por completo, de ahí el aumento de los trabajos de forense digital .
El ciberespacio se está convirtiendo cada vez más en un «vecindario de alta criminalidad» y la necesidad de una presencia policial es evidente. Ahí es donde entra el campo de las ciencias digitales y multimedia y personas como John Irvine.
John, uno de los pioneros del campo forense digital, estaba realizando investigaciones informáticas antes de que la mayoría de la gente supiera que existía tal cosa. Actualmente, se desempeña como Director de Producto de CyFir, que ofrece una plataforma de respuesta a incidentes y análisis forense digital remoto.
John también es profesor adjunto de ciencia forense digital en la Universidad George Mason, donde enseña cuestiones legales y éticas en informática forense. Tiene una Maestría en Ciencias en Sistemas de Información y un certificado de posgrado en ingeniería de sistemas de software.
Ha trabajado en informática forense desde 1997 tanto en el sector público como en el privado, incluido el trabajo con el FBI, la DEA y numerosas firmas consultoras privadas. También es voluntario del Departamento de Bomberos Voluntarios de Arcola. Tan ocupado como está, encontró el tiempo para responder algunas preguntas sobre el campo de rápido crecimiento de la ciencia forense digital y cómo es trabajar en la industria.
Entrevista con el experto en forense digital John Irvine
Tim Roufa: Tiene años de experiencia en análisis forense digital, hasta el punto de que se ha establecido como un experto reconocido en el campo. Obviamente, se necesita mucho trabajo duro y educación para lograr lo que has podido, pero ¿cómo empezaste?
John Irvine: ¡ Totalmente por accidente! Como la mayoría de las historias de grandes carreras, caí en él por casualidad, no por planificación. Siempre he tenido un gran interés por la tecnología. Cuando era niño, armé el primer clon de PC del bloque. Además, desde los cinco años supe que quería ser agente del FBI. Finalmente, los dos intereses encajaron.
Un día, mientras estaba sentado en mi oficina trabajando en la gestión de proyectos de software, sentí la necesidad de finalmente contactar al FBI. Esto fue antes de que Internet fuera, bueno, INTERNET, por lo que no podía obtener información fácilmente en línea. Llamé a la oficina de campo del FBI local, dejé mi nombre y dirección en el contestador automático para los candidatos interesados ??y respondí «sí» a la pregunta sobre conocimientos de informática.
Recibí lo que llamo «¿Entonces quieres ser un agente especial?» paquete unas semanas más tarde. Abrí el folleto y la primera página voló mi sueño de toda la vida en una frase. Mi carrera como agente del FBI terminó antes de que comenzara con el requisito de una visión sin corregir 20/40 o mejor. En un tiempo antes de las maravillas de LASIK, tenía alrededor de 20/2000.
En la parte posterior del paquete era lo que parecía una 17 ª generación, mal sesgada, casi ilegibles copia de una oferta de trabajo para un especialista en informática, que al parecer había sido incluido debido a mi capacidad declarada con los ordenadores. Pensé: Bueno, tal vez pueda arreglar impresoras o algo para el FBI. Al menos eso me llevará a la puerta «.
Envié mi currículum vitae a la persona de recursos humanos que figura en la descripción del trabajo y recibí una llamada aproximadamente una semana después de uno de los gerentes de programa del Equipo de Respuesta de Análisis Informático del FBI. Dijo: Me enviaron tu currículum porque dijiste que eras un ‘generalista informático’ en tu carta de presentación. ¿Qué sabes sobre informática forense? » «Nada», respondí. Él dijo: Genial. Venga para una entrevista «.
TR: ¿Cómo se interesó por primera vez en la ciencia forense digital?
JI: En la entrevista, las personas con las que conocí me dijeron que podía ser un friki con mala vista y aun así ayudar a atrapar a los malos. Aparentemente, mis habilidades generalistas, lo que significa que podría usar de manera efectiva diferentes sistemas operativos y tenía un conocimiento bastante bueno tanto de los componentes internos del hardware como de las principales aplicaciones, encajarían muy bien en su equipo.
Eso fue realmente todo lo que necesitaba escuchar. Pensé que había estado jugando con los sistemas operativos Linux y Mac además de Windows solo por diversión; No me di cuenta de que todo estaba preparando el escenario para una carrera futura.
TR: Además de su experiencia forense, ha pasado mucho tiempo trabajando para el gobierno federal. ¿Esa experiencia te ayudó a prepararte para tu carrera actual?
JI: Antes de trabajar para el FBI, había pasado bastante tiempo como contratista del gobierno. De hecho, durante mi último año de secundaria, me marchaba cuando sonaba la campana y conducía calle arriba hasta un contratista de defensa donde trabajaba como asistente de los directores de RR.HH. y Seguridad Especial. Más tarde, trabajé para una empresa de software que tenía varios clientes gubernamentales.
Además de tener una autorización de seguridad a una edad muy temprana, esa experiencia me ayudó al exponerme a una serie de diferentes plataformas de hardware, aplicaciones de software y, lo más importante, diferentes tipos de personas en el mundo gubernamental y profesional. Independientemente de cómo se vea, la informática forense se trata tanto de las personas que usan las computadoras que analiza como del hardware en sí.
En la segunda parte de nuestra entrevista con el profesor y experto forense digital John Irvine, aprendemos sobre algunos de los escollos de la profesión y él explica por qué este trabajo no es para todos.
La trayectoria profesional y las trampas de la ciencia forense digital
TR: Entre su licenciatura en administración, su certificado de ingeniería de software y su maestría en sistemas de información, ¿qué tan bien cree que sus títulos lo prepararon para su carrera?
JI: Cada uno de esos programas me aportó algo al trabajar en informática forense. Primero, creo que es importante decir que la informática forense NO es una disciplina informática. Es tanto una función de investigación como un desafío técnico. Si falta alguno de los conjuntos de habilidades, será mucho más difícil trabajar con éxito en el campo.
La maestría en sistemas de información me ayudó a comprender mejor los sistemas operativos, los sistemas de archivos y la mecánica de las computadoras. Sin embargo, mi licenciatura en administración fue igualmente útil con mis cursos de psicología, sociología, administración y contabilidad. Realmente no puedo dar una ventaja en un grado sobre el otro por su utilidad en el campo.
Dicho esto, quiero asegurarme de decir algunas cosas. La informática forense es una disciplina de aprendizaje. Han surgido más programas en los últimos años, incluido el que enseño en la Universidad George Mason, que ofrecen cursos excelentes de informática forense. Sin embargo, realmente aprendes el oficio una vez que estás sentado trabajando en casos reales junto con un examinador senior.
Además, NO es necesario tener experiencia en programación para trabajar con éxito en el campo. De hecho, he tenido mucha más suerte al capacitar a investigadores en los detalles técnicos del trabajo que al enseñar a los programadores métodos de investigación y el arte de «la corazonada». Si uno no tiene antecedentes técnicos en la escuela, eso NO es un impedimento para ingresar al campo.
TR: Ha trabajado tanto en el sector público como en el privado, realizando gran parte del mismo trabajo. ¿Cómo describiría la diferencia entre los dos?
JI: Las mayores diferencias entre trabajar en los sectores público y privado son generalmente el procedimiento y la rapidez. En el mundo federal, los procedimientos de uno son generalmente (pero no siempre) estrictamente prescritos, y la velocidad de producción es generalmente menos crítica (con algunas excepciones notables).
En el mundo comercial, los procedimientos se basan en gran medida en la experiencia personal o en las preferencias de su empleador, y la velocidad de producción es mucho mayor. Pasé cuatro meses en un solo disco duro una vez con un empleador federal debido a la cantidad de datos que contenía, pero en el mundo comercial, por lo general, el objetivo es un tiempo de respuesta de días o semanas como máximo.
TR: ¿Cómo es un día laboral típico para un analista o examinador forense digital?
JI: La jornada laboral de un profesional forense digital es cualquier cosa menos típica. Dependiendo de la organización para la que esté trabajando, es posible que esté trabajando en un flujo constante de casos de pornografía infantil o que esté analizando temas de tan alto perfil que los esté viendo en CNN mientras hace el trabajo.
Sin embargo, a menudo puede esperar estar en una oficina demasiado calurosa (debido a la cantidad de computadoras en su escritorio que abruman el aire acondicionado típico de la oficina), y se volverá muy bueno ensamblando un componente funcional de un montón de dispositivos que no funcionan. unos.
Gran parte de su día lo dedicará a la documentación. Es posible que esté escribiendo un informe de análisis, revisando por pares el informe de otro examinador o anotando todo lo que hizo al realizar un examen. El mejor examen del mundo es inútil si no puede comunicarse claramente en un informe escrito que pueda ser fácilmente entendido por un agente, oficial, abogado o jurado. Además, si su informe escrito es deficiente, naturalmente pondrá en duda sus habilidades técnicas por parte de quienes intenten leerlo.
Dependiendo de dónde trabaje, testificar en la corte es una parte potencial de realizar un análisis forense digital. Si está trabajando en un entorno de aplicación de la ley, está casi garantizado, pero incluso el personal forense corporativo podría tener que testificar durante una demanda de despido injusto o para respaldar la acción posterior de la aplicación de la ley para que no rastree una intrusión. Algunos examinadores que he conocido son excelentes detrás del teclado y pueden escribir informes fantásticos, pero se desmoronan cuando se les llama para testificar en la corte.
TR: Escribiste un artículo titulado The Darker Side of Digital Forensics . ¿Puede contarnos un poco sobre algunas de las dificultades del trabajo?
JI: En realidad, estás haciendo referencia a una publicación de blog que escribí hace un eón que fue recogida por algunos medios forenses digitales y que se ha vuelto a publicar una y otra vez. No tenía idea de que tendría tales «piernas» cuando lo escribí; Me sorprendió que las personas que querían entrar en el campo todavía no tuvieran idea de lo que realmente implicaba.
La informática forense ha sido una carrera fantástica para mí, pero definitivamente hay trampas. De hecho, las dos primeras sesiones de clase que imparto se centran en las realidades del trabajo, y me sorprende cada vez que descubro que soy la primera persona que les ha dicho a mis alumnos cómo es realmente el trabajo después. lo han elegido como su campo de grado.
No tengo cifras científicas, pero estimaría que entre el 70 y el 80 por ciento de los casos de informática forense en todo el mundo están relacionados con la pornografía infantil. Cuanto más se acerque a la aplicación de la ley estatal y local, mayor será ese número.
Incluso si se está concentrando en las intrusiones informáticas y la respuesta a incidentes, a menudo encontrará pornografía infantil como un propósito o resultado de la intrusión (o simplemente existente en las computadoras que examina del usuario habitual de la máquina).
La exposición a la pornografía infantil, en particular durante ocho horas al día, 40 horas a la semana, 52 semanas al año, pasa factura. No se trata solo de mirar imágenes fijas. También estás viendo los videos, y estás viendo y escuchando todo.
Si puede seguir haciéndolo, lo más probable es que desarrolle un sentido del humor de cementerio muy oscuro para combatirlo. También soy voluntario con un escuadrón de bomberos y rescate, y ves mucho del mismo humor allí; es un mecanismo de supervivencia desarrollado por personas que trabajan en las áreas más sombrías de la vida.
Además, dependiendo del trabajo que esté haciendo, estará expuesto a imágenes gráficas y texto de asesinato, tortura, violación, terrorismo y casi cualquier crimen, depravación, pornografía o desviación que pueda imaginar.
Las computadoras son excelentes herramientas para el bien y también son excelentes herramientas para cometer delitos y difundir el odio. Como examinador forense informático, estará expuesto a todo, día tras día. En un grupo, tuvimos una broma que hacía referencia a un comercial en ese momento y hablaba de personas que «navegaban hasta el fondo de Internet». Agregamos, «… y luego nuestro equipo toma una pala y comienza a cavar».
Por el trabajo y el contenido al que se somete un examinador, muchas personas que ingresan al campo no duran. En promedio, diría que alrededor del 50 por ciento de las personas que ingresan se van en unos dos años. Esa parece ser la marca cuando un examinador ha tenido suficientes casos en su haber para sentirse abrumado (o inmune) a la exposición. Si puede superar la marca de los dos años, generalmente tiene una larga carrera por delante en informática forense.
Una disciplina cambiante
TR: Con avances tan rápidos en la tecnología informática durante la última década, ¿cómo ha cambiado el campo de la ciencia forense digital a lo largo de su carrera?
JI: La informática forense ha cambiado enormemente desde que comencé en los 90. En ese entonces, miraba cada archivo en un disco duro (porque podía), y los dispositivos móviles ni siquiera eran un pensamiento. Los disquetes llegarían por cientos, pero ahora nunca los ves.
Hoy en día, la cantidad de datos es tan vasta que debe ser mucho más preciso en sus búsquedas, y los dispositivos móviles son un tema de examen igual, si no más importante.
Además, la profundidad de las herramientas ha cambiado significativamente. En los primeros días, la mayoría de las herramientas fueron escritas por policías que habían tomado algunas clases de programación o que eran autodidactas. Teníamos docenas de utilidades de un solo uso que improvisábamos para hacer un examen.
Ahora, las herramientas son mucho más profesionales y polivalentes. Un buen examinador todavía tendrá una gran «caja de herramientas» desde la que trabajar, pero tiene opciones de plataforma base mucho mejores para realizar el examen general. La industria siempre está tratando de moverse hacia el botón mágico de encontrar todas las pruebas, y algunas herramientas se están acercando a eso para ciertos tipos de casos.
Políticamente, los tipos de casos han cambiado enormemente. Originalmente, la aplicación de la ley usaba principalmente la informática forense para casos penales. Después del 11 de septiembre, gran parte del trabajo se orientó hacia la lucha contra el terrorismo . Ahora, las intrusiones informáticas son el tema candente y muchas carreras se han orientado hacia la respuesta a incidentes. El campo cambia enormemente con los tiempos.
TR: Actualmente se desempeña como Vicepresidente de Desarrollo de Tecnología en CyTech Services. Si puede compartirlos con nosotros, ¿qué tipo de innovaciones ha podido aportar a lo largo de su carrera?
JI: Hacer el cambio a CyTech Services ha sido fantástico para mí. En mi puesto, no solo puedo utilizar mi experiencia en informática forense, sino que también puedo utilizar mi experiencia en gestión de proyectos de software. CyTech produce CyFIR Enterprise (CyTech Forensics and Incident Response) para realizar investigaciones forenses informáticas empresariales.
Mi contribución aquí es un mayor desarrollo de la herramienta con el ojo de un profesional. Por ejemplo, la arquitectura de CyFIR permite a los investigadores buscar todos los nodos de una red empresarial a la vez en busca de datos forenses, sin necesidad de que los usuarios dejen de trabajar durante un largo proceso de obtención de imágenes.
Si hay un brote de código malicioso en una organización, CyFIR tiene la capacidad de localizar todas las máquinas afectadas en minutos en lugar de días o semanas. Esto es enorme cuando se realiza una respuesta a incidentes, un descubrimiento electrónico o investigaciones internas en una gran red empresarial o cuando se responde a un compromiso de punto de venta de varias tiendas que está robando datos de tarjetas de crédito de las líneas de pago. El viejo pensamiento de «visualizar todo y ordenarlo más tarde» ya no funciona en un contexto empresarial.
Si bien no es una innovación en sí misma, con mi experiencia en administración, he tenido una suerte excepcional al identificar candidatos que son excelentes examinadores forenses.
La inflación del currículum es, desafortunadamente, un gran problema en nuestra industria, y alguien que se ve muy bien en el papel puede tener solo un conocimiento a nivel de palabra de moda para realizar un examen. A través de un proceso de entrevistas que he desarrollado con el tiempo, he tenido mucho éxito en encontrar a los candidatos adecuados con las habilidades necesarias para el puesto.
En el aspecto educativo, he podido transmitir mis conocimientos y, lo que es más importante, mi experiencia a las generaciones futuras de examinadores forenses. Durante esos dos primeros días de clase que mencioné, encuentro que una o dos personas cada semestre me dicen que no se dieron cuenta de lo que habían negociado cuando comenzaron el programa y me agradecen por hacerles saber cuál era el trabajo. como, porque no se sentían cómodos realizando ese tipo de trabajo.
En ese momento, puedo guiarlos hacia un programa de seguridad informática que no tendrá el mismo tipo de problemas de contenido esperándolos en el futuro. Del mismo modo, puedo identificar rápidamente a los estudiantes que realmente parecen tener «la habilidad» y puedo ayudarlos a orientarlos en la dirección correcta para comenzar sus carreras.
En la parte final de nuestra entrevista con el experto en forense digital John Irvine, aprendemos por qué el campo es tan importante, qué pueden ganar los aspirantes a examinadores y qué puede hacer usted para comenzar una carrera como experto forense digital.
Por qué el análisis forense digital es tan importante y cómo puede empezar
TR: ¿Por qué el campo de la ciencia forense digital es tan valioso para los gobiernos y las corporaciones?
JI: La ciencia forense digital es valiosa tanto para los gobiernos como para las corporaciones exactamente por la misma razón: información. Ya sea que esa información sea evidencia de un caso penal federal o el conocimiento de un infiltrado que roba propiedad intelectual corporativa para un competidor, los profesionales de la ciencia forense digital brindan datos que los clientes de otra manera no tendrían disponibles.
En términos muy simples, se podría comparar el trabajo de un examinador forense digital con el de un desarrollador de fotografías. Por ejemplo, si tengo un rollo de película sin revelar en mis manos, eso es casi inútil para mí como cualquier tipo de prueba. Sin embargo, si alguien desarrolla esa película en imágenes (o recupera datos de un disco duro en nuestro caso), ese contenido puede proporcionar todo lo que necesita el fiscal, el gerente de recursos humanos o el oficial de seguridad corporativa.
Ahora que lo pienso, necesito pensar en una nueva analogía para el futuro. ¡Los niños en la escuela de hoy probablemente ya ni siquiera sepan lo que es un rollo de película!
TR: ¿Qué es lo que más disfruta de su trabajo y por qué continúa haciéndolo?
JI: La ciencia forense digital me atrae en varios niveles. En primer lugar, me permite hacer contribuciones significativas a la seguridad de las personas sin estar restringido por las limitaciones físicas de la vista o la edad. Puede que no sea el agente que persigue a alguien por un callejón, pero podría darle a ese agente los datos del teléfono celular del sujeto que sella el caso y abre tres más.
A continuación, la ciencia forense digital me atrae profundamente porque es un híbrido de mi amor por la aplicación de la ley y la inteligencia (mi TiVo está lleno de programas de policías y espías) y mi geek interior. Si ves esos programas, incluso estás viendo una evolución de esos personajes en la pantalla. Hace quince años, eran los super-nerds con los anteojos rotos y las razas sociales incómodas. ¡Ahora, el examinador forense informático generalmente tiene un sentido del humor seco y un gran sentido del estilo!
TR: ¿Qué se necesita para tener éxito como examinador o analista forense digital?
JI: Principalmente, se necesita una pasión sincera por la justicia (y lo estoy usando en un término que lo abarca todo) con un amor por las cosas técnicas. Si tiene esos dos elementos, está bien encaminado.
Los programas educativos formales están disponibles ahora que no existían hace unos años, y vale la pena tomarse el tiempo para investigarlos y ver qué tienen para ofrecer. Además, muchas de las herramientas forenses que existen tienen clases (usando la herramienta vendida por la compañía, incluida la mía) que pueden ayudarlo a comenzar.
Como les digo a mis alumnos, el campo requiere un sentido muy fuerte de responsabilidad personal. Debe estar dispuesto a arriesgar su nombre y reputación con cada caso que analice, ya que podría terminar en la corte basándose en el contenido de su informe. Si le falta convicción, gracia bajo presión o franqueza, este NO es en absoluto el campo profesional para usted.
Por último, para tener éxito se ayuda enormemente encontrar un buen mentor en el campo y trabajar codo con codo con esa persona mientras aprendes el oficio. Las escuelas pueden brindarle una gran base, pero la experiencia de un caso lo ayuda a poner a las personas tras las rejas.
TR: ¿Cuánto debería esperar ganar un examinador forense digital medio y cuánto podría ganar si se hiciera respetable y / o acudiera a una empresa privada?
JI: Los salarios de los forenses digitales varían ampliamente y, recientemente, debido al secuestro y la saturación del mercado de personas que intentan anunciarse como examinadores forenses informáticos que no lo son, los salarios están empezando a bajar. (Gran parte de la responsabilidad recae en los malos gerentes de contratación que no pueden determinar el verdadero conjunto de habilidades de un candidato).
Sin embargo, en general, una persona con talento debería poder encontrar puestos entre $ 60- $ 80,000 en un nivel junior, $ 80- $ 120,000 en un nivel medio y hasta y más de $ 150,000 en un nivel senior. Dicho esto, he conocido a algunos examinadores increíbles que estaban en puestos que pagaban solo $ 50,000 por año como oficiales de policía local, y he conocido a pésimos examinadores que ganaban más de $ 250,000 por año porque comercializaban bien su nombre.
En términos muy generales, los examinadores forenses obtienen el máximo provecho en los casos de litigio de defensa o en el descubrimiento electrónico si pueden ejecutar una gran cantidad de casos a la vez (y facturar a varios clientes). Esos niveles salariales suelen ser seguidos por contratistas del gobierno federal, empleados del gobierno federal, empleados del gobierno estatal, militares y, finalmente, examinadores del gobierno local, respectivamente.
Los salarios comerciales abarcan toda la gama según la experiencia, el tamaño de la empresa y el interés corporativo en la ciencia forense (ya sea por proactividad o por vergüenza pública).
TR: ¿Qué consejo le daría a alguien que está tratando de decidir si quiere trabajar como examinador forense digital o no, o para alguien que recién se está iniciando en el campo?
JI: ¡ Lea este artículo! En serio, pasaría un poco de tiempo en LinkedIn y me acercaría a la gente del forense digital para hacerles muchas de las mismas preguntas que tú me has hecho.
Encuentra personas que trabajen para las organizaciones o empresas para las que quieres trabajar y deja que te cuenten sobre la rutina diaria. Respondo una o dos consultas a la semana a través de mi LinkedIn o las direcciones de correo electrónico de la escuela, y estoy feliz de ofrecer mi consejo dependiendo de sus situaciones individuales.
Si tiene un poco de dinero para gastar, le sugiero que se inscriba en una de las clases de capacitación que ofrecen los grandes fabricantes de herramientas forenses informáticas para tener una idea de lo que implica el trabajo y las formas en que se realiza.
Si la clase tiene su interés, buscaría los excelentes programas en algunas universidades, ya sea en los niveles de licenciatura o maestría (como la maestría en informática forense disponible en la Universidad George Mason en Fairfax, Virginia, donde enseño).
TR: Si tiene algo más que le gustaría agregar sobre su carrera o el campo en general, no dude en compartirlo.
JI: La informática forense definitivamente no es para todos, y eso está bien. Antes de gastar mucho tiempo o dinero, busque un profesional forense digital en su área, ofrézcale comprarle una taza de café y escoja su cerebro durante una hora. La mayoría de nosotros estamos más que dispuestos a compartir nuestro conocimiento, ya que así es como surgimos nosotros mismos.
La ciencia forense digital es un campo en crecimiento (seamos sinceros, las computadoras no desaparecerán pronto) y hay mucho trabajo para todos. Sin embargo, si no valora la verdad y no puede defender su trabajo frente a la adversidad, no durará mucho en este negocio donde la reputación lo es todo.
Puede que no conozca personalmente a un examinador forense determinado, pero puedo garantizarle que estoy a una llamada de alguien que lo conoce, y esos «archivos de pasillo» no oficiales se pasan rápidamente entre los examinadores. Un caso de poca sinceridad o falta de responsabilidad puede poner fin a una carrera .
Dicho todo esto, ha sido un campo fantástico para mí y estoy agradecido con todas las personas con las que he trabajado en el pasado por las lecciones que me han enseñado y las experiencias que han impartido. Ha sido un viaje salvaje.
Tabla de contenidos
