數字取證專家John Irvine分享他如何得到他的開始
- 了解有關數字取證專家工作的更多信息
網絡空間日益成為“高犯罪率的鄰居”,對警察的需求顯而易見。
這就是數字和多媒體科學領域以及像約翰·歐文這樣的人進來的地方。
作為數字取證領域的先驅之一,John在大多數人知道存在這樣的事情之前正在進行電腦調查。 目前,他擔任CyTech Services技術開發副總裁,這是一家專門從事數據恢復和數字取證的私營公司。
約翰還是喬治梅森大學數字取證的兼職教授,在那裡教授計算機取證法律和道德問題。 他擁有信息系統理學碩士學位和軟件系統工程研究生證書。
自1997年以來,他一直在公共和私營部門從事計算機取證工作,包括與聯邦調查局,DEA和眾多私人諮詢公司合作。 他也是Arcola志願者消防部門的志願者。 儘管他很忙碌,但他還是有時間回答我們關於快速增長的數字取證領域以及在行業中工作的問題。
數字取證專家訪談John Irvine :
蒂姆魯法:你在數字取證方面有多年經驗,直到你已經確立了自己在該領域公認的專家的地位。 很明顯,要完成你所能做的事情需要很多艱苦的工作和教育,但你是如何開始的?
約翰·歐文:完全是意外! 像大多數偉大事業的故事一樣,我因為偶然事件而陷入困境,而不是計劃。 我一直對技術很感興趣。 作為一個孩子,我把第一個PC克隆放在這個塊上。 而且,從大約五歲起,我就知道我想成為聯邦調查局特工。 最終,這兩個利益吻合。
有一天,當我坐在我的辦公室從事軟件項目管理時,這種衝動讓我終於接觸到FBI。 這是互聯網之前,互聯網,所以我不能輕鬆地在網上獲取信息。 我打電話給當地的聯邦調查局外地辦公室,在答錄機上留下了我的姓名和地址,供有興趣的候選人參考,並對被問及有關計算機技能的問題回答“是”。
- 數字取證不適合你? 了解如何成為聯邦調查局特工
幾週後,我收到了我稱之為“所以你想成為一名特工”的套餐。 我打開小冊子,第一頁用一句話就把我一生的夢想吹走了。 作為FBI特工的職業生涯在20/40未矯正視力要求或更高要求開始之前就結束了。 在LASIK的奇蹟之前的一段時間,我大約在20/2000。
在數據包的背面看起來像是第 17代,嚴重傾斜,幾乎難以辨認的“計算機專家”職位發布的副本,顯然由於我陳述的計算機能力而被列入。
我想,“好吧,也許我可以修理打印機或FBI的東西。 至少這會讓我進門。“
我將簡歷發送給職位描述上列出的人力資源部人員,一周後,我收到了聯邦調查局計算機分析響應團隊項目經理之一的電話。 他說:“你的簡歷被發送給我,因為你在求職信中說你是'計算機通才'。 你對計算機取證有什麼了解?“”沒有,“我回答。 他說,“太好了。 來接受采訪。“
其餘的,正如他們所說,是歷史。
- 說到歷史,探索法證科學的早期歷史
- 發現更多關於現代法證科學史的內容
TR:您是如何首先對數字取證感興趣的?
JI:在採訪中,我遇到的人告訴我,我可能是一個視力不好的怪胎,仍然可以幫助抓住壞人。
顯然,我的綜合能力 - 意味著我可以有效地使用不同的操作系統,並且對硬件內部和主要應用程序有很好的了解 - 將會非常適合他們的團隊。
這真是我需要聽到的。 我以為我除了玩Windows之外一直在玩Linux和Mac操作系統; 我沒有意識到這一切都為未來的職業奠定了基礎。
TR:除了你的取證經驗之外,你花了很多時間為聯邦政府工作。 這種體驗是否有助於為你的職業生涯做好準備?
JI:在為FBI工作之前,我花了很多時間擔任政府承包商。 事實上,在我讀高中的時候,當鐘聲響起時,我會離開,然後趕到一家防務承包商那裡擔任人力資源和特殊安全主任的助理。 後來,我為一家擁有眾多政府客戶的軟件公司工作。
除了已經在很小的年紀就已經獲得安全許可之外 ,這些經驗讓我知道了很多不同的硬件平台,軟件應用程序以及政府和專業領域中最重要的不同類型的人員。 無論它看起來如何,計算機取證都與使用分析計算機的人員有關,因為這涉及到硬件本身。
接下來: John Irvine討論數字取證的黑暗面
在我們接受數字取證教授和專家John Irvine採訪的第二部分,我們了解了該專業的一些陷阱,並解釋了為什麼這項工作不適合每個人。
採訪數字取證專家John Irvine,第2部分:
TR:在你的管理學士學位,軟件工程證書和信息系統碩士學位之間,你覺得你的學位對你的職業道路有多準備?
JI:這些計劃中的每一個都為計算機取證工作帶來了一些東西。 首先,我認為說計算機取證不是計算機科學學科很重要。 這是一項調查功能,因為它是一項技術挑戰。 如果缺少任何一項技能,那麼在現場工作成功的難度就會大大增加。
信息系統中的MS幫助我更好地理解了操作系統,文件系統和計算機機制。 但是,我的管理學士學位對我在心理學,社會學,管理和會計方面的課程同樣有幫助。 在這個領域,我無法在一個領域獲得一個優勢。
這就是說,我想確保我說幾件事情。 計算機取證是學徒制學科。 近年來有更多的課程出現 - 我在喬治梅森大學任教的課程 - 它提供了計算機取證的優秀課程。
但是,一旦你在一位高級審查員的實際案例中工作,你真的可以學到這筆交易。
此外,您無需具備編程背景即可在現場成功工作。 事實上,在工作技術細節方面,我的運氣培訓調查員明顯比我在教授程序員調查方法和“預感”藝術方面的表現要好得多。如果在學校裡沒有技術背景,這不是進入該領域的威懾力量。
TR:你曾在私營和公共部門工作,執行大部分相同的工作。 你如何描述兩者之間的區別?
JI:在公共部門和私營部門工作的最大區別通常是程序和速度。 在聯邦世界中,人們的程序通常(但並非總是)嚴格規定,生產速度通常不那麼重要(有一些明顯的例外)。
在商業世界中,程序很大程度上由個人經驗或雇主的偏好所驅動,生產速度要高得多。 由於數據量龐大,我花了四個月的時間在聯邦雇主的單一硬盤驅動器上工作,但在商業環境中,您通常最多只需要幾天或幾週的周轉時間。
TR:數字取證分析師或審查員的典型工作日是什麼?
JI:數字取證專業人員的工作日是非常典型的。 根據你所工作的組織的情況,你可能正在處理源源不斷的兒童色情案件,或者你可能正在分析在你做這項工作時你在CNN上觀看他們的高調。
但是,您通常可能會處於過熱的辦公室(因為辦公桌上的電腦數量超過了典型的辦公室空調系統),並且您將非常擅長將一個工作組件中的一個工作組件拼湊在一起那些。
你的大部分時間將花在文檔上。 你可能會寫一份分析報告,同行評審另一位考官的報告,或者註意你在考試時所做的一切。 如果您無法在代理人,官員,律師或陪審團可以輕鬆理解的書面報告中清楚地交流,那麼世界上最好的檢查是毫無用處的。 另外,如果你的書面報告很差,那麼那些試圖閱讀它的人自然會質疑你的技術能力。
- 了解更多關於為什麼寫作技巧在任何犯罪學職業中如此重要
取決於你在哪里工作, 在法庭作證是進行數字取證分析的潛在部分。 如果您在執法環境中工作,則幾乎可以擔保,但即使是公司法務人員也可能在不公平解約訴訟期間作證,或支持隨後的執法行動追查入侵行為。 一些我認識的審查員在鍵盤背後很棒,可以撰寫出色的報告,但是當他們被要求在法庭上作證時他們會崩潰。
TR:你寫了一篇題為“ 數字取證的黑暗面 ”的文章。 你能告訴我們一些關於這項工作的一些陷阱嗎?
JI:你實際上是參考了一篇我以前寫過的博客文章,這篇文章是由幾個數字取證網點發現的,並且一次又一次地重新發布。 我不知道我寫這些時會有這樣的“腿”; 我很驚訝那些想要進入這個領域的人仍然不知道它到底需要什麼。
計算機取證對我而言一直是一個夢幻般的職業,但肯定有缺陷。 事實上,我所講授的前兩節課都以工作實際為中心,每當我發現我是第一個告訴我的學生工作真正喜歡的人時,我感到震驚他們選擇了它作為學位領域。
我沒有科學數據,但我估計全世界大約有70-80%的計算機取證案件與兒童色情相關。 越接近州和地方執法,數字越高。
即使您專注於計算機入侵和事件響應,您也會經常發現兒童色情作為入侵的目的或結果(或者僅僅存在於您從機器的常規用戶身上檢查的計算機上)。
接觸兒童色情作品,特別是一年四十八小時,每年五十二個星期,每天八小時,都會受到影響。 這不僅僅是看靜態圖片。 你也在觀看視頻,而且你正在看和聽到一切。
如果你能繼續這樣做,你很可能會發展出一種非常黑暗,墳墓般的幽默感來對付它。 我也是一名消防救援隊的志願者,你在那裡看到很多同樣的幽默, 這是一個應對機制,由在生活更加嚴峻的領域工作的人開發。
另外,根據你所做的工作,你將會看到謀殺,酷刑,強姦,恐怖主義的圖像和文字,以及任何可以想像的犯罪,墮落,色情或偏差。
計算機是優秀的工具,它們也是犯罪和散佈仇恨的極好工具。 作為一名計算機取證審查員,您將日復一日地接觸到所有問題。 在一個小組中,我們有一個笑話在當時討論商業廣告時談到了“衝浪到互聯網底部”的人。我們補充說:“......然後我們的團隊拿起一把鐵鍬開始挖掘。”
由於審查員的工作和內容,許多進入該領域的人不會持續。 平均而言,我會說大約有百分之五十的人在兩年內離開。 當審查員在他或她的腰帶下有足夠的案件被曝光或受到(或免疫)影響時,這似乎是標記。 如果你能超過兩年的標準,你通常在計算機取證方面有很長的職業生涯。
TR:過去十年計算技術發展如此迅速,數字取證領域如何在職業生涯中發生變化?
JI:從90年代開始,計算機取證已經發生了巨大的變化。 那時候,你看著硬盤上的每個文件(因為你可以),移動設備甚至不是一個想法。 軟盤會有數百個進入,但現在,你永遠不會看到它們。
今天,數據量非常巨大,您必須更加精確地查找您的搜索結果,而移動設備是一個平等的考試主題(如果不是更重要的話)。
另外,工具的深度也發生了顯著變化。 在早期,大多數工具都是由編寫過幾門編程課程或自學成功的警察編寫的。 我們有幾十個一次性使用的工具,我們會拼湊在一起進行檢查。
現在,這些工具更加專業和多用途。 一個好的考官仍然會有一個很大的“工具箱”可以工作,但是他或她有更好的基礎平台選項來執行整體考試。 行業總是試圖轉向魔法“找到所有證據按鈕”,並且對於某些類型的案件,一些工具正在磨合。
在政治上,案件類型發生了巨大變化。 最初,計算機取證主要用於刑事案件的執法。 “9·11”之後,大部分工作轉向了反恐怖主義。 現在,計算機入侵是熱門話題,許多職業已經轉向事件響應。 這個領域隨著時代而變化很大。
TR:目前您擔任CyTech Services技術開發副總裁。 如果你可以與我們分享,你有什麼樣的創新能夠在你的職業生涯中有所作為?
JI:向CyTech Services轉移對我來說是一個很棒的選擇。 在我的職位上,我不僅可以使用計算機取證經驗,還可以使用我在軟件項目管理方面的背景。 CyTech生產用於執行企業計算機法醫調查的CyFIR Enterprise(CyTech法醫和事件響應)。
我在這裡的貢獻是用醫生的眼睛進一步發展該工具。 例如,CyFIR的架構允許調查人員一次搜索企業網絡上的每個節點的取證數據,而無需用戶停止冗長的成像過程。
如果組織中存在惡意代碼爆發,CyFIR有能力在幾分鐘內找到所有受影響的機器,而不是幾天或幾週。 在大型企業網絡上執行事件響應,電子發現或內部調查時,或者在響應竊取從結賬通道竊取信用卡數據的多店銷售折中時,這是巨大的。 “將所有事物形象化並稍後整理”的舊想法在企業環境中不再起作用。
在我的管理背景下,雖然本身不是“創新”,但我非常幸運地確定了成為傑出法證審查員的候選人。
不幸的是,恢復通貨膨脹不僅是我們這個行業的一個大問題,而且在紙面上看起來很棒的人可能對實際執行考試只有流行詞彙級別的知識。 通過隨著時間的推移我已經發展起來的面試過程中,我非常成功地找到了具備該職位所需技能的合適人選。
在教育方面,我能夠將我的知識,更重要的是,我的經驗傳授給後代的法醫審查員。 在我提到的前兩天課中,我發現每學期有一兩個人會告訴我,他們沒有意識到他們開始這個計劃時他們討論過什麼,並且感謝我讓他們知道這個工作是什麼就像,因為他們做這種工作並不舒服。
那時,我能夠引導他們進入一個計算機安全計劃,這個計劃將來不會有類似的內容問題等待他們。 同樣,我可以很快識別那些真正看起來有“訣竅”的學生,並且我可以幫助他們朝正確的方向開始他們的職業生涯。
接下來: John Irvine就如何找到數字取證工作提供建議
在我們與數字取證專家約翰·歐文的採訪的最後部分,我們了解了為什麼這個領域如此重要,有抱負的考官可以獲得什麼,以及你可以做什麼來開始數字取證專家的職業生涯。
採訪數字取證專家John Irvine,第3部分:
TR:為什麼數字取證領域對政府和企業如此寶貴?
JI:出於完全相同的原因 - 信息,數字取證對政府和企業都很有價值。
無論這些信息是否為聯邦刑事案件的證據,還是知情人員知曉競爭對手竊取公司知識產權的情況,數字取證專業人員都會提供客戶無法獲得的數據。
用非常簡單的話來說,可以將數字取證檢查員的工作比作照片開發人員。 例如,如果我手中有一卷未開發的膠卷,那對我來說幾乎是無用的,因為任何證據都是如此。 但是,如果有人將該電影製作成照片(或從我們的案例中的硬盤中恢復數據),則該內容可以提供檢察官, 人力資源經理或公司安全人員所需的所有內容。
現在我想到了,我需要為未來提出一個新的比喻。 今天在學校的孩子們可能甚至不知道什麼是“電影卷”了!
TR:你最喜歡你的工作,你為什麼繼續這樣做?
JI:數字取證在很多層面上吸引我。 首先,它使我能夠為人們的安全和安全做出有意義的貢獻,而不受視力或年齡的限制。 我可能不是一個在巷子裡追逐某人的代理人,但我可能會向該代理人提供來自該主題手機的數據,以密封該案件並打開另外三個。
接下來,數字取證對我深有吸引力,因為它是我對執法和情報的熱愛(我的TiVo充滿了警察和間諜表演)以及我內心的極客。 如果你看這些節目,你甚至會看到屏幕上這些角色的演變。 十五年前,他們是那些戴著破碎眼鏡和尷尬社交風格的超級呆板人。 現在,計算機取證審查員通常有幽默感和風格感!
TR:作為數字取證考官或分析師取得成功需要什麼?
JI:首先,對於正義的熱情和正義(我將其用於一個包羅萬象的術語)與熱愛技術。 如果你有這兩件東西,你就很好。
正式的教育計劃現在已經可以在幾年前不存在了,而且花時間去調查它們,看看每個計劃能提供什麼,這是非常值得的。 此外,許多取證工具都有類別(使用公司出售的工具,包括我自己的工具),可以幫助您入門。
正如我告訴我的學生,這個領域需要非常強烈的個人責任感。 您需要願意將您的姓名和聲譽與您分析的每一個案例聯繫起來,因為根據報告的內容,您最終可能會在法庭上告終。
如果你缺乏信念,恩典在壓力下,或坦率,這絕對不是你的職業領域。
最後,通過在這個領域尋找一位優秀的導師並且在你學習交易的同時與他一起肩並肩努力,從而獲得巨大成功是非常有幫助的。 學校可以給你一個很好的基礎,但案例經驗可以幫助你把人們關在牢房裡。
TR:您的平均數字取證考官的期望收入應該多少,如果他們成為有信譽的和/或去私人公司,他們可以賺多少錢?
JI:數字取證工資差異很大,而且最近由於試圖宣傳自己是計算機取證審查員的人的隔離和市場飽和,工資開始下降。 (其中很大的責任在於招聘經理不能確定候選人的真實技能)。
但是,一般來說,有才能的人應該能夠在初級職位上找到60-80,000美元的職位,中級職位的職位為80-80,000美元,高級職位的職位最多為150,000美元。 也就是說,我認識了一些驚人的考官,他們的職位每年只需支付5萬美元作為當地警務人員,而我知道糟糕的考官每年掙的錢超過25萬美元,因為他們的名字很好。
從一般意義上講,如果辯方審查員能夠同時運行大量案件(並向多個客戶開具帳單),他們在辯護訴訟案件或電子發現案件中發揮最大的作用。 聯邦政府承包商,聯邦政府僱員,州政府僱員,軍人以及最後的地方政府審查員通常都會遵循這些薪水水平。
根據經驗,公司規模以及公司對法醫學的興趣(無論是因為主動性還是公眾尷尬),商業薪酬的範圍很廣。
TR:對於試圖決定他們是否想要從事數字取證檢查工作的人,或者剛剛在該領域開始工作的人,您有什麼建議?
JI:閱讀這篇文章! 說真的,我會花一點時間在LinkedIn上,接觸數字取證的人,向他們詢問你問過的許多同樣的問題。
找到為你想工作的組織或公司工作的人,讓他們告訴你日常的磨合。 我通過LinkedIn或學校的電子郵件地址每週詢問一次或兩次詢問,並且我很樂意根據他們的具體情況提供我的建議。
如果您有一點錢可以花錢,我建議您註冊一個由大型計算機取證工具製造商提供的培訓課程,以了解工作涉及的內容以及完成工作的方式。
如果課堂關注你的興趣,我會在一些大學的BS或MS水平上看看優秀的課程(例如弗吉尼亞州費爾法克斯喬治梅森大學的計算機取證碩士課程)。
- 了解更多關於如何成為數字取證考官
TR:如果您有任何其他想補充您職業或領域的內容,請隨時與我們分享。
JI:計算機取證絕對不適合每個人, 這 沒關係。 在花費大量時間或金錢之前,請在您所在的地區找一位數字取證專業人員,提供給他或她一杯咖啡,然後選擇一小時。 我們大多數人都非常願意分享我們的知識,因為這就是我們自己的想法。
數字取證是一個成長領域(讓我們面對現實吧,電腦不會很快消失),每個人都有很多工作。 但是,如果你不重視真理,並且在逆境中無法站立工作,那麼在這個聲譽就是一切的企業中,你不會持續太久。
我個人可能不會認識一位法醫鑑定人,但我可以向你保證,我只需打一個電話,而那些非官方的“大廳檔案”就能很快通過審查員。 一個不公正的坦誠或缺乏責任的事例可能會終結職業生涯。
儘管如此,這對我來說是一個非常棒的領域,我很感謝過去與我們合作過的每個人,他們教給我的經驗教訓以及他們傳授的經驗。 這是一場瘋狂的旅程。