数字取证专家John Irvine分享他如何得到他的开始
- 了解有关数字取证专家工作的更多信息
网络空间日益成为“高犯罪率的邻居”,对警察的需求显而易见。
这就是数字和多媒体科学领域以及像约翰·欧文这样的人进来的地方。
作为数字取证领域的先驱之一,John在大多数人知道存在这样的事情之前正在进行电脑调查。 目前,他担任CyTech Services技术开发副总裁,这是一家专门从事数据恢复和数字取证的私营公司。
约翰还是乔治梅森大学数字取证的兼职教授,在那里教授计算机取证法律和道德问题。 他拥有信息系统理学硕士学位和软件系统工程研究生证书。
自1997年以来,他一直在公共和私营部门从事计算机取证工作,包括与联邦调查局,DEA和众多私人咨询公司合作。 他也是Arcola志愿者消防部门的志愿者。 尽管他很忙碌,但他还是有时间回答我们关于快速增长的数字取证领域以及在行业中工作的问题。
数字取证专家访谈John Irvine :
蒂姆鲁法:你在数字取证方面有多年经验,直到你已经确立了自己在该领域公认的专家的地位。 很明显,要完成你所能做的事情需要很多艰苦的工作和教育,但你是如何开始的?
约翰·欧文:完全是意外! 像大多数伟大事业的故事一样,我因为偶然事件而陷入困境,而不是计划。 我一直对技术很感兴趣。 作为一个孩子,我把第一个PC克隆放在这个块上。 而且,从大约五岁起,我就知道我想成为联邦调查局特工。 最终,这两个利益吻合。
有一天,当我坐在我的办公室从事软件项目管理时,这种冲动让我终于接触到FBI。 这是互联网之前,互联网,所以我不能轻松地在网上获取信息。 我打电话给当地的联邦调查局外地办公室,在答录机上留下了我的姓名和地址,供有兴趣的候选人参考,并对被问及有关计算机技能的问题回答“是”。
- 数字取证不适合你? 了解如何成为联邦调查局特工
几周后,我收到了我称之为“所以你想成为一名特工”的套餐。 我打开小册子,第一页用一句话就把我一生的梦想吹走了。 作为FBI特工的职业生涯在20/40未矫正视力要求或更高要求开始之前就结束了。 在LASIK的奇迹之前的一段时间,我大约在20/2000。
在数据包的背面看起来像是第 17代,严重倾斜,几乎难以辨认的“计算机专家”职位发布的副本,显然由于我陈述的计算机能力而被列入。
我想,“好吧,也许我可以修理打印机或FBI的东西。 至少这会让我进门。“
我将简历发送给职位描述上列出的人力资源部人员,一周后,我收到了联邦调查局计算机分析响应团队项目经理之一的电话。 他说:“你的简历被发送给我,因为你在求职信中说你是'计算机通才'。 你对计算机取证有什么了解?“”没有,“我回答。 他说,“太好了。 来接受采访。“
其余的,正如他们所说,是历史。
- 说到历史,探索法证科学的早期历史
- 发现更多关于现代法证科学史的内容
TR:您是如何首先对数字取证感兴趣的?
JI:在采访中,我遇到的人告诉我,我可能是一个视力不好的怪胎,仍然可以帮助抓住坏人。
显然,我的综合能力 - 意味着我可以有效地使用不同的操作系统,并且对硬件内部和主要应用程序有很好的了解 - 将会非常适合他们的团队。
这真是我需要听到的。 我以为我除了玩Windows之外一直在玩Linux和Mac操作系统; 我没有意识到这一切都为未来的职业奠定了基础。
TR:除了你的取证经验之外,你花了很多时间为联邦政府工作。 这种体验是否有助于为你的职业生涯做好准备?
JI:在为FBI工作之前,我花了很多时间担任政府承包商。 事实上,在我读高中的时候,当钟声响起时,我会离开,然后赶到一家防务承包商那里担任人力资源和特殊安全主任的助理。 后来,我为一家拥有众多政府客户的软件公司工作。
除了已经在很小的年纪就已经获得安全许可之外 ,这些经验让我知道了很多不同的硬件平台,软件应用程序以及政府和专业领域中最重要的不同类型的人员。 无论它看起来如何,计算机取证都与使用分析计算机的人员有关,因为这涉及到硬件本身。
接下来: John Irvine讨论数字取证的黑暗面
在我们接受数字取证教授和专家John Irvine采访的第二部分,我们了解了该专业的一些陷阱,并解释了为什么这项工作不适合每个人。
采访数字取证专家John Irvine,第2部分:
TR:在你的管理学士学位,软件工程证书和信息系统硕士学位之间,你觉得你的学位对你的职业道路有多准备?
JI:这些计划中的每一个都为计算机取证工作带来了一些东西。 首先,我认为说计算机取证不是计算机科学学科很重要。 这是一项调查功能,因为它是一项技术挑战。 如果缺少任何一项技能,那么在现场工作成功的难度就会大大增加。
信息系统中的MS帮助我更好地理解了操作系统,文件系统和计算机机制。 但是,我的管理学士学位对我在心理学,社会学,管理和会计方面的课程同样有帮助。 在这个领域,我无法在一个领域获得一个优势。
这就是说,我想确保我说几件事情。 计算机取证是学徒制学科。 近年来有更多的课程出现 - 我在乔治梅森大学任教的课程 - 它提供了计算机取证的优秀课程。
但是,一旦你在一位高级审查员的实际案例中工作,你真的可以学到这笔交易。
此外,您无需具备编程背景即可在现场成功工作。 事实上,在工作技术细节方面,我的运气培训调查员明显比我在教授程序员调查方法和“预感”艺术方面的表现要好得多。如果在学校里没有技术背景,这不是进入该领域的威慑力量。
TR:你曾在私营和公共部门工作,执行大部分相同的工作。 你如何描述两者之间的区别?
JI:在公共部门和私营部门工作的最大区别通常是程序和速度。 在联邦世界中,人们的程序通常(但并非总是)严格规定,生产速度通常不那么重要(有一些明显的例外)。
在商业世界中,程序很大程度上由个人经验或雇主的偏好所驱动,生产速度要高得多。 由于数据量庞大,我花了四个月的时间在联邦雇主的单一硬盘驱动器上工作,但在商业环境中,您通常最多只需要几天或几周的周转时间。
TR:数字取证分析师或审查员的典型工作日是什么?
JI:数字取证专业人员的工作日是非常典型的。 根据你所工作的组织的情况,你可能正在处理源源不断的儿童色情案件,或者你可能正在分析在你做这项工作时你在CNN上观看他们的高调。
但是,您通常可能会处于过热的办公室(因为办公桌上的电脑数量超过了典型的办公室空调系统),并且您将非常擅长将一个工作组件中的一个工作组件拼凑在一起那些。
你的大部分时间将花在文档上。 你可能会写一份分析报告,同行评审另一位考官的报告,或者注意你在考试时所做的一切。 如果您无法在代理人,官员,律师或陪审团可以轻松理解的书面报告中清楚地交流,那么世界上最好的检查是毫无用处的。 另外,如果你的书面报告很差,那么那些试图阅读它的人自然会质疑你的技术能力。
- 了解更多关于为什么写作技巧在任何犯罪学职业中如此重要
取决于你在哪里工作, 在法庭作证是进行数字取证分析的潜在部分。 如果您在执法环境中工作,则几乎可以担保,但即使是公司法务人员也可能在不公平解约诉讼期间作证,或支持随后的执法行动追查入侵行为。 一些我认识的审查员在键盘背后很棒,可以撰写出色的报告,但是当他们被要求在法庭上作证时他们会崩溃。
TR:你写了一篇题为“ 数字取证的黑暗面 ”的文章。 你能告诉我们一些关于这项工作的一些陷阱吗?
JI:你实际上是参考了一篇我以前写过的博客文章,这篇文章是由几个数字取证网点发现的,并且一次又一次地重新发布。 我不知道我写这些时会有这样的“腿”; 我很惊讶那些想要进入这个领域的人仍然不知道它到底需要什么。
计算机取证对我而言一直是一个梦幻般的职业,但肯定有缺陷。 事实上,我所讲授的前两节课都以工作实际为中心,每当我发现我是第一个告诉我的学生工作真正喜欢的人时,我感到震惊他们选择了它作为学位领域。
我没有科学数据,但我估计全世界大约有70-80%的计算机取证案件与儿童色情相关。 越接近州和地方执法,数字越高。
即使您专注于计算机入侵和事件响应,您也会经常发现儿童色情作为入侵的目的或结果(或者仅仅存在于您从机器的常规用户身上检查的计算机上)。
接触儿童色情作品,特别是一年四十八小时,每年五十二个星期,每天八小时,都会受到影响。 这不仅仅是看静态图片。 你也在观看视频,而且你正在看和听到一切。
如果你能继续这样做,你很可能会发展出一种非常黑暗,坟墓般的幽默感来对付它。 我也是一名消防救援队的志愿者,你在那里看到很多同样的幽默, 这是一个应对机制,由在生活更加严峻的领域工作的人开发。
另外,根据你所做的工作,你将会看到谋杀,酷刑,强奸,恐怖主义的图像和文字,以及任何可以想象的犯罪,堕落,色情或偏差。
计算机是优秀的工具,它们也是犯罪和散布仇恨的极好工具。 作为一名计算机取证审查员,您将日复一日地接触到所有问题。 在一个小组中,我们有一个笑话在当时讨论商业广告时谈到了“冲浪到互联网底部”的人。我们补充说:“......然后我们的团队拿起一把铁锹开始挖掘。”
由于审查员的工作和内容,许多进入该领域的人不会持续。 平均而言,我会说大约有百分之五十的人在两年内离开。 当审查员在他或她的腰带下有足够的案件被曝光或受到(或免疫)影响时,这似乎是标记。 如果你能超过两年的标准,你通常在计算机取证方面有很长的职业生涯。
TR:过去十年计算技术发展如此迅速,数字取证领域如何在职业生涯中发生变化?
JI:从90年代开始,计算机取证已经发生了巨大的变化。 那时候,你看着硬盘上的每个文件(因为你可以),移动设备甚至不是一个想法。 软盘会有数百个进入,但现在,你永远不会看到它们。
今天,数据量非常巨大,您必须更加精确地查找您的搜索结果,而移动设备是一个平等的考试主题(如果不是更重要的话)。
另外,工具的深度也发生了显着变化。 在早期,大多数工具都是由编写过几门编程课程或自学成功的警察编写的。 我们有几十个一次性使用的工具,我们会拼凑在一起进行检查。
现在,这些工具更加专业和多用途。 一个好的考官仍然会有一个很大的“工具箱”可以工作,但是他或她有更好的基础平台选项来执行整体考试。 行业总是试图转向魔法“找到所有证据按钮”,并且对于某些类型的案件,一些工具正在磨合。
在政治上,案件类型发生了巨大变化。 最初,计算机取证主要用于刑事案件的执法。 “9·11”之后,大部分工作转向了反恐怖主义。 现在,计算机入侵是热门话题,许多职业已经转向事件响应。 这个领域随着时代而变化很大。
TR:目前您担任CyTech Services技术开发副总裁。 如果你可以与我们分享,你有什么样的创新能够在你的职业生涯中有所作为?
JI:向CyTech Services转移对我来说是一个很棒的选择。 在我的职位上,我不仅可以使用计算机取证经验,还可以使用我在软件项目管理方面的背景。 CyTech生产用于执行企业计算机法医调查的CyFIR Enterprise(CyTech法医和事件响应)。
我在这里的贡献是用医生的眼睛进一步发展该工具。 例如,CyFIR的架构允许调查人员一次搜索企业网络上的每个节点的取证数据,而无需用户停止冗长的成像过程。
如果组织中存在恶意代码爆发,CyFIR有能力在几分钟内找到所有受影响的机器,而不是几天或几周。 在大型企业网络上执行事件响应,电子发现或内部调查时,或者在响应窃取从结账通道窃取信用卡数据的多店销售折中时,这是巨大的。 “将所有事物形象化并稍后整理”的旧想法在企业环境中不再起作用。
在我的管理背景下,虽然本身不是“创新”,但我非常幸运地确定了成为杰出法证审查员的候选人。
不幸的是,恢复通货膨胀不仅是我们这个行业的一个大问题,而且在纸面上看起来很棒的人可能对实际执行考试只有流行词汇级别的知识。 通过随着时间的推移我已经发展起来的面试过程中,我非常成功地找到了具备该职位所需技能的合适人选。
在教育方面,我能够将我的知识,更重要的是,我的经验传授给后代的法医审查员。 在我提到的前两天课中,我发现每学期有一两个人会告诉我,他们没有意识到他们开始这个计划时他们讨论过什么,并且感谢我让他们知道这个工作是什么就像,因为他们做这种工作并不舒服。
那时,我能够引导他们进入一个计算机安全计划,这个计划将来不会有类似的内容问题等待他们。 同样,我可以很快识别那些真正看起来有“诀窍”的学生,并且我可以帮助他们朝正确的方向开始他们的职业生涯。
接下来: John Irvine就如何找到数字取证工作提供建议
在我们接受数字取证专家John Irvine采访的最后部分,我们了解了为什么这个领域如此重要,有抱负的考官能够获得什么,以及您如何才能开始从事数字取证专家的职业生涯。
采访数字取证专家John Irvine,第3部分:
TR:为什么数字取证领域对政府和企业如此宝贵?
JI:出于完全相同的原因 - 信息,数字取证对政府和企业都很有价值。
无论这些信息是否为联邦刑事案件的证据,还是知情人员知晓竞争对手窃取公司知识产权的情况,数字取证专业人员都会提供客户无法获得的数据。
用非常简单的话来说,可以将数字取证检查员的工作比作照片开发人员。 例如,如果我手中有一卷未开发的胶卷,那对我来说几乎是无用的,因为任何证据都是如此。 但是,如果有人将该电影制作成照片(或从我们的案例中的硬盘中恢复数据),则该内容可以提供检察官, 人力资源经理或公司安全人员所需的所有内容。
现在我想到了,我需要为未来提出一个新的比喻。 今天在学校的孩子们可能甚至不知道什么是“电影卷”了!
TR:你最喜欢你的工作,你为什么继续这样做?
JI:数字取证在很多层面上吸引我。 首先,它使我能够为人们的安全和安全做出有意义的贡献,而不受视力或年龄的限制。 我可能不是一个在巷子里追逐某人的代理人,但我可能会向该代理人提供来自该主题手机的数据,以密封该案件并打开另外三个。
接下来,数字取证对我深有吸引力,因为它是我对执法和情报的热爱(我的TiVo充满了警察和间谍表演)以及我内心的极客。 如果你看这些节目,你甚至会看到屏幕上这些角色的演变。 十五年前,他们是那些戴着破碎眼镜和尴尬社交风格的超级呆板人。 现在,计算机取证审查员通常有幽默感和风格感!
TR:作为数字取证考官或分析师取得成功需要什么?
JI:首先,对于正义的热情和正义(我将其用于一个包罗万象的术语)与热爱技术。 如果你有这两件东西,你就很好。
正式的教育计划现在已经可以在几年前不存在了,而且花时间去调查它们,看看每个计划能提供什么,这是非常值得的。 此外,许多取证工具都有类别(使用公司出售的工具,包括我自己的工具),可以帮助您入门。
正如我告诉我的学生,这个领域需要非常强烈的个人责任感。 您需要愿意将您的姓名和声誉与您分析的每一个案例联系起来,因为根据报告的内容,您最终可能会在法庭上告终。
如果你缺乏信念,恩典在压力下,或坦率,这绝对不是你的职业领域。
最后,通过在这个领域寻找一位优秀的导师并且在你学习交易的同时与他一起肩并肩努力,从而获得巨大成功是非常有帮助的。 学校可以给你一个很好的基础,但案例经验可以帮助你把人们关在牢房里。
TR:您的平均数字取证考官的期望收入应该多少,如果他们成为有信誉的和/或去私人公司,他们可以赚多少钱?
JI:数字取证工资差异很大,而且最近由于试图宣传自己是计算机取证审查员的人的隔离和市场饱和,工资开始下降。 (其中很大的责任在于招聘经理不能确定候选人的真实技能)。
但是,一般来说,有才能的人应该能够在初级职位上找到60-80,000美元的职位,中级职位的职位为80-80,000美元,高级职位的职位最多为150,000美元。 也就是说,我认识了一些惊人的考官,他们的职位每年只需支付5万美元作为当地警务人员,而我知道糟糕的考官每年挣的钱超过25万美元,因为他们的名字很好。
从一般意义上讲,如果辩方审查员能够同时运行大量案件(并向多个客户开具帐单),他们在辩护诉讼案件或电子发现案件中发挥最大的作用。 联邦政府承包商,联邦政府雇员,州政府雇员,军人以及最后的地方政府审查员通常都会遵循这些薪水水平。
根据经验,公司规模以及公司对法医学的兴趣(无论是因为主动性还是公众尴尬),商业薪酬的范围很广。
TR:对于试图决定他们是否想要从事数字取证检查工作的人,或者刚刚在该领域开始工作的人,您有什么建议?
JI:阅读这篇文章! 说真的,我会花一点时间在LinkedIn上,接触数字取证的人,向他们询问你问过的许多同样的问题。
找到为你想工作的组织或公司工作的人,让他们告诉你日常的磨合。 我通过LinkedIn或学校的电子邮件地址每周询问一次或两次询问,并且我很乐意根据他们的具体情况提供我的建议。
如果您有一点钱可以花钱,我建议您注册一个由大型计算机取证工具制造商提供的培训课程,以了解工作涉及的内容以及完成工作的方式。
如果课堂关注你的兴趣,我会在一些大学的BS或MS水平上看看优秀的课程(例如弗吉尼亚州费尔法克斯乔治梅森大学的计算机取证硕士课程)。
- 了解更多关于如何成为数字取证考官
TR:如果您有任何其他想补充您职业或领域的内容,请随时与我们分享。
JI:计算机取证绝对不适合每个人, 这 没关系。 在花费大量时间或金钱之前,请在您所在的地区找一位数字取证专业人员,提供给他或她一杯咖啡,然后选择一小时。 我们大多数人都非常愿意分享我们的知识,因为这就是我们自己的想法。
数字取证是一个成长领域(让我们面对现实吧,电脑不会很快消失),每个人都有很多工作。 但是,如果你不重视真理,并且在逆境中无法站立工作,那么在这个声誉就是一切的企业中,你不会持续太久。
我个人可能不会认识一位法医鉴定人,但我可以向你保证,我只需打一个电话,而那些非官方的“大厅档案”就能很快通过审查员。 一个不公正的坦诚或缺乏责任的事例可能会终结职业生涯。
尽管如此,这对我来说是一个非常棒的领域,我很感谢过去与我们合作过的每个人,他们教给我的经验教训以及他们传授的经验。 这是一场疯狂的旅程。