FF: Cuéntenos sobre sus antecedentes y cómo terminó en su puesto actual.
Antes de unirme a MSAB, trabajé en el sector TI como ingeniero de sistemas, como parte de un equipo técnico pequeño pero con mucho talento. Entre otras cosas, hemos llevado a cabo varios proyectos relacionados con TI para clientes de LEA. Algunos de esos proyectos requirieron soluciones específicas adicionales, como software/hardware forense digital y forense móvil. Me hicieron responsable de estos asuntos “exóticos” y no me costó mucho quedar fascinado por este nuevo mundo. Entre otras herramientas y soluciones solicitadas por los clientes, había una herramienta con un nombre atractivo: XRY (aunque durante algún tiempo la llamé erróneamente rayos X), de una empresa sueca, Micro Systemation AB. Comunicarse con ellos siempre fue muy sencillo: siempre fueron accesibles y estaban bien informados.
Asistí al evento de socios de MSAB en 2016 para mejorar mi conocimiento sobre los productos y fue la primera vez que visité la sede de MSAB. Probablemente fue la primera vez que comencé a soñar con trabajar en una empresa así.
Posteriormente continué mi trayectoria profesional como freelance y fui invitada a asistir a varios eventos de MSAB como traductora técnica. Probablemente hice un buen trabajo porque poco después MSAB se puso en contacto conmigo y me preguntó si me gustaría trabajar para ellos en el nuevo departamento en expansión de Especialistas de productos (ventas tecnológicas) en 2017.
FF: ¿Cuáles son sus principales responsabilidades en MSAB?
Yo diría que la comunicación bidireccional con nuestros clientes es mi principal responsabilidad. Las soluciones de MSAB ayudan a nuestros clientes en múltiples niveles, desde las funciones de adquisición avanzadas de XRY Pro hasta la orquestación a nivel de gestión de todo el ecosistema de análisis forense móvil con XEC Director. Como especialista de producto, debo poder explicar cómo funciona todo, desde los conceptos generales hasta los detalles a nivel de configuración y más. Eso requiere que esté constantemente al tanto de nuestra propia tecnología e implica muchas pruebas, preparación de material visual y de demostración, y comunicación con el equipo de desarrollo.
La parte de retroalimentación de esta comunicación bidireccional es igualmente (a veces incluso más) importante. Puede ser una pregunta que me dé una pista sobre dónde debería mejorar mi presentación y/o material de demostración, o podría ser una excelente idea para una función que evaluaríamos internamente entre otros especialistas de producto y, eventualmente, la remitiríamos a nuestro equipo de desarrollo de producto.
A veces, intento abordar este tipo de comentarios a través de una ruta que es posible gracias a una característica notable de XRY y XAMN: la API de Python. Durante los últimos dos años, hemos ayudado a los clientes a resolver ciertas tareas específicas mediante secuencias de comandos Python. Por ejemplo, en 2019, inspirado por una reunión con clientes en la que escuché sobre sus desafíos con miles de mensajes de audio que debían escucharse para ser analizados, se me ocurrió la idea de desarrollar un script en Python que transcribiera esos mensajes de audio a texto y devolver la propiedad del texto al “informe” XRY. Después de encontrar un motor de IA fuera de línea adecuado, desarrollé rápidamente un script de Python simple y lo compartimos con el cliente. Más tarde, apareció en el radar un motor de IA aún mejor, y mi colega actualizó la idea original con este motor mejor. A día de hoy, recibimos muchos mensajes de clientes que nos cuentan cómo lograron analizar decenas de miles de mensajes de audio en el marco de un caso más amplio y encontrar pruebas utilizando ese guión. Todo ello sin suponer costes extra por parte del cliente.
Por lo tanto, hay muchos “deberes” que se hacen antes y después de las reuniones con los clientes, y es otra responsabilidad clave.
FF: ¿Cuáles son los mayores desafíos forenses móviles a los que se enfrentarán sus clientes en 2024?
Yo diría que son los mismos sospechosos habituales: el acceso a los datos y el análisis de grandes volúmenes de datos.
El acceso a datos es el campeón de todos los tiempos. Si se recuperan menos datos, hay menos material para analizar (puede parecer un alivio, pero no lo es). Este es un clásico juego del gato y el ratón en el que la industria de los teléfonos (inteligentes) hace todo lo posible para proteger los dispositivos y las soluciones forenses móviles hacen todo lo posible para encontrar una manera de entrar. Las fuerzas son desiguales. Además, los dispositivos se están volviendo inherentemente más seguros, porque hay grandes equipos que mejoran continuamente la seguridad de los dispositivos en diferentes niveles, incluidas plataformas (los SoC), proveedores (marcas de teléfonos inteligentes), desarrolladores de kernel, desarrolladores de sistemas operativos, etc.
Navegar eficientemente a través de grandes volúmenes de datos en busca de respuestas a las preguntas de la investigación es posiblemente el segundo tipo de tarea más desafiante que enfrentan nuestros clientes. Depende del país o del tipo de organización y, en ocasiones, podría ser incluso más crítico que la propia adquisición de datos. Es fundamental disponer de herramientas que permitan una navegación flexible, eficiente y fácil de usar a través de grandes volúmenes (tanto en tamaño como en cantidad) de datos. La eficiencia del software es uno de los puntos débiles para muchos de nuestros clientes, ya que muchos deben ejecutar el análisis en computadoras pequeñas. Por último, es fantástico tener herramientas que permitan múltiples funciones integradas para manejar volúmenes de datos. Pero ninguna herramienta es perfecta y puede hacerlo todo, por lo que es aún mejor tener una herramienta que le permita ampliar esas capacidades «bajo demanda», para cualquier desafío imprevisto. Por lo general, se realiza mediante algún tipo de API.
FF: ¿Cómo ayudan las soluciones de MSAB a superar estos desafíos?
Hacemos todo lo posible para abordar todos los desafíos mencionados anteriormente (y muchos otros).
Cuando se trata de acceso a datos, vale la pena señalar que MSAB es una de las pocas empresas que tiene su propio departamento de I+D que investiga continuamente nuevos exploits únicos (y de día cero) y le permite superar los obstáculos de seguridad del dispositivo y acceso a los datos. Teniendo en cuenta el panorama de seguridad de los dispositivos, cada nuevo método de extracción abre puertas que antes estaban cerradas y es muy apreciado por nuestros clientes. Hemos escuchado muchas historias de éxito en las que los clientes pudieron resolver dispositivos imposibles usando MSAB Office y aún más con el nuevo XRY Pro.
La decodificación de datos siempre ha sido uno de los puntos fuertes de XRY. Hablando de la historia de voz a texto mencionada anteriormente, ahora es compatible de forma nativa como uno de los decodificadores adicionales de XRY que se puede activar si es necesario.
Cuando los investigadores abren una extracción, esperan algo así como abrir un archivo PDF: algo de tiempo de carga y estará listo para leerlo.
Navegar a través de grandes volúmenes de datos de manera eficiente siempre ha sido un punto fuerte de nuestro paquete de análisis: XAMN Pro. Se suma a la eficiencia incorporada de los archivos XRY (precodificados, preindexados), lo que da como resultado tiempos de carga casi instantáneos (sin esperar a que se analicen los datos) y búsqueda/filtrado rápidos (los artefactos están preinstalados). -indexado). El simple hecho de tener estas dos características en una herramienta de análisis ayuda enormemente a los clientes a ahorrar tiempo. La herramienta consume pocos recursos informáticos, por lo que los usuarios no necesitan hardware especial para realizar el análisis, lo que con frecuencia se convierte en un factor importante.
La API de Python de XAMN Pro (y XRY), que le permite procesar datos adicionalmente a través de scripts de Python, ha demostrado ser invaluable cuando se requiere la «función de día cero». Anteriormente describí cómo usamos esta función para ayudar a los clientes, pero hay bastantes usuarios que lo hacen por su cuenta. A veces es una aplicación de nicho que necesita ser decodificada; a veces se trata de un análisis masivo personalizado basado en datos extraídos.
FF: La tecnología móvil evoluciona constantemente. ¿Qué papel desempeña MSAB en la colaboración y el intercambio de información dentro de las organizaciones para ayudar con las investigaciones móviles?
Los expertos de laboratorio son la columna vertebral del conocimiento de la tecnología móvil de una organización. Poseen amplios conocimientos y experiencia en campos específicos y están bien versados en la aplicabilidad de múltiples herramientas a diferentes escenarios.
En mi opinión, hoy en día es importante que los expertos de laboratorio amplíen el alcance de su experiencia, por ejemplo para poder capturar las pruebas en un estado óptimo y beneficiarse de la tecnología de adquisición más moderna disponible en su laboratorio. O, cuando un experto de laboratorio junior se une al equipo y una vez finalizada la incorporación, es posible que necesite un entorno no supervisado pero controlado para comenzar a realizar extracciones con cierta orientación, según las mejores prácticas de los colegas senior.
MSAB tiene soluciones de examen basadas en cuentas de usuario que pueden implementar los procedimientos de una organización a través de secuencias personalizadas paso a paso. Podría ser, por ejemplo, una secuencia que ayude a los socorristas a capturar diferentes dispositivos en estado óptimo según las mejores prácticas de la organización y considerando los requisitos actuales de los expertos del laboratorio (por ejemplo, si tienen una herramienta que pueda ofrecer resultados sorprendentes cuando el dispositivo está en uso). modo AFU). O podría implementar secuencias guiadas para los nuevos miembros del laboratorio para ayudarlos a seguir las mejores prácticas de adquisición establecidas en su laboratorio/organización.
Creo que esto permitiría a las organizaciones garantizar que la información y el conocimiento que son cruciales para investigaciones móviles eficientes estén siempre ahí donde se necesitan y puedan actualizarse cuando la organización lo requiera.
Finalmente, todo lo mencionado anteriormente podría ser gestionado de forma centralizada por la solución de gestión (XEC Director), asegurando que las organizaciones tengan visibilidad y mecanismos para monitorear todo su ecosistema forense móvil y poder actuar con prontitud cuando sea necesario.
FF: ¿Qué tipo de educación o experiencia es más útil para alguien que aspira a convertirse en examinador forense móvil?
Creo que los pasos impulsados por la curiosidad hacia cualquier tema del espectro de la informática, como los fundamentos de los sistemas operativos, las bases de datos, las estructuras de datos, los algoritmos y la programación, o incluso la arquitectura informática, mejorarían cualquier formación y experiencia posteriores en campos específicos. Aprende a leer la Fuente, Lucas.
Estudiar un lenguaje de programación/scripting suele ser un buen punto de partida. Inevitablemente, uno se cruzaría con otros temas, por ejemplo, algoritmos y estructuras de datos. Sin mencionar algunos beneficios inmediatos de la aplicabilidad de algunos lenguajes como Python en el trabajo diario de un examinador.
FF: De cara al futuro, ¿qué nuevas habilidades o áreas de conocimiento cree que serán cada vez más importantes para los profesionales del campo de la ciencia forense móvil?
Mi sensación es que cuanto más avanzamos en tecnología con capas y capas de abstracción (y en ocasiones ofuscación) en todas partes, más importante es conocer y comprender los fundamentos subyacentes. Por lo tanto, creo que será cada vez más importante conocer y comprender cómo funcionan estos dispositivos y generan los datos, de dónde provienen y qué significan. En ese sentido, las nuevas habilidades importantes serán las buenas y antiguas.
Otro aspecto que cobrará mayor importancia es la eficiencia a través de la automatización. La capacidad de automatizar tareas rutinarias tanto a través de conocimientos y habilidades personales (programación/scripting) como a través de herramientas y soluciones que fomenten esas habilidades marcará una gran diferencia.
FF: Y por último, fuera de la ciencia forense digital, ¿qué es lo que disfrutas en tu tiempo libre?
Me gusta pasar tiempo con mi familia, observar y desarrollar la Inteligencia Natural del joven (mi hijo). Como hobby, intento seguir mi curiosidad, que a partir de ahora me arrastró de nuevo a la arquitectura informática y al mundo de la programación de bajo nivel. No es que sea particularmente bueno en eso, pero avanzar pequeños pasos hacia lo que me da curiosidad y tener esos momentos Ahá me hace sentir bien.