STUDIEPLAN VIDEREUTDANNING FOR NORDIC COMPUTER FORENSICS INVESTIGATORS Module 3D Macintosh Computer Forensics 10 studiepoeng Godkjent i høgskolestyret 4. desember 2013 Revisjon godkjent av rektor 5. oktober 2015
1. Innledning Etterforsking hvor datateknologi er involvert, er i betydelig vekst. Dette gjelder både nye kriminalitetsformer og den tradisjonelle kriminaliteten som nå begås ved bruk av ny teknologi. Typiske eksempler er bruk av digitale medier og kommunikasjonsutstyr i forbindelse med narkotikahandel, seksualforbrytelser, trusler og forfølgelse, menneskehandel og økonomisk kriminalitet. Politihøgskolens to moduler i Nordic Computer Forensics Investigators (NCFI 1 og 2) gir dataetterforskere grunnleggende kompetanse på mange områder. Det vil imidlertid være et økende behov for at dataetterforskere fordyper seg i et eller flere områder. Det kan være særskilte behov for spesialkompetanse som den enkelte organisasjonen ønsker og det kan være nasjonalt viktig at et gitt antall dataetterforskere besitter spesiell kompetanse. Behovet for spisset etterforskingskompetanse på Apple-baserte enheter har de siste tre årene økt betydelig og rapporter fra dataetterforskere tyder på at slike enheter utgjør en stadig større andel av beslagene. Dette er enheter som har sine særtrekk og en teknologi som krever særskilt kompetanse for å håndtere. Utdanningen i NCFI er organisert i følgende moduler: Module 3A Forensic tool development Module 3B Linux artefacts Module 3C Open Source Forensics Module 3D Macintosh Computer Forensics Other module parts Module 2: Nordic Computer Forensics Investigators - 25 credits Module 1: Nordic Computer Forensics Investigators, introduction - 5 credits Studieplan for Nordic Computer Forensics Investigators, Module 3D 2013, revidert 2015 Side 1
2. Formål Formålet med utdanningen er å bidra til at etterforskingen av elektroniske spor blir utøvet på en kvalitativt god måte slik at hensynet til rettssikkerhet og personvern ivaretas. 3. Målgruppe og opptakskrav 3.1 Målgruppe Den primære målgruppen er ansatte i politiet i Norden som har eller skal ha etterforsking av elektroniske spor som hovedoppgave. Det forutsettes at deltakerne er valgt ut i henhold til lokale kompetanseplaner. Ansatte i nordiske statlige etater/tilsyn som samarbeider med politiet, og i sitt daglige virke arbeider med eller skal arbeide med etterforsking av elektroniske spor, kan også søke. 3.2 Opptakskrav Søkere må Være ansatt i en statlig etat Ha bestått NCFI 2 (Nordic Computer Forensics Investigators, module 2) eller tilsvarende utdanning fra Politihøgskolen. Ha minst ett års yrkespraksis innen fagfeltet etterforskning av elektroniske spor etter grunnutdanning. Etter særskilt vurdering kan det gjøres unntak fra kravet om utdanning fra Politihøgskolen. Søkere må da dokumentere annen relevant utdanning. 4. Læringsutbytte 4.1. Generell kompetanse Studentene kan etter gjennomført utdanning fremstå med økt innsikt og trygghet i yrkesrollen vise selvstendig ansvar for oppgaver i etterforskingen av elektroniske spor Studieplan for Nordic Computer Forensics Investigators, Module 3D 2013, revidert 2015 Side 2
identifisere og vurdere etiske dilemma i arbeidsutførelsen se elektroniske spor i en større forebyggende og etterforskningsmessig sammenheng 4.2. Kunnskaper Studentene har etter gjennomført utdanning kunnskap om Identifisering og korrekt håndtering av ulike Apple-baserte enheter Metoder og teknikker for lokalisering av relevante spor Juridiske og etiske problemstillinger 4.3. Ferdigheter Studentene kan etter gjennomført utdanning Identifisere ulike Apple-enheter Vurdere og anvende relevante metoder, teknikker og verktøy i alle faser i en etterforsking av elektroniske spor på Apple-baserte enheter Beherske kommandolinjegrensesnittet i operativsystemet Identifisere og behandle korrekt data og maskinvare som er låst Gi råd om håndtering av Apple-baserte enheter 5. Organisering og arbeidskrav Studiet er organisert som et nettbasert deltidsstudium hvor studentene kan velge sitt eget oppstartstidspunkt og følge sin egen progresjon. Som hovedregel skal studiet gjennomføres i løpet av tolv måneder. Utdanningen er estimert til ca. 280 timer. I dette ligger deltakelse i undervisning, øvingsoppgaver, individuelt arbeid og litteraturstudier. Det vil bli lagt vekt på studentaktive læringsformer på nett, blant annet med bruk av en virtuell datalab. Det vil bli lagt ut inntil 10 nettbaserte leksjoner. Arbeidsmåtene i studiet skal bidra til å gi studentene godt læringsutbytte, og særlig belyse sammenhengen mellom teori og praksis. Studieplan for Nordic Computer Forensics Investigators, Module 3D 2013, revidert 2015 Side 3
En nettbasert læringsplattform benyttes i administrering og pedagogisk gjennomføring av studiet. Arbeidskrav Følgende arbeidskrav 1 må være oppfylt og godkjent før studentene får avlegge eksamen: Inntil 4 oppgaver knyttet til definerte tema 6. Vurdering Studiet avsluttes 2 med: en muntlig prøve med utgangspunkt i en tilfeldig valgt oppgave blant de godkjente arbeidskravene. Det benyttes en gradert skala med fem trinn fra A til E for bestått og F for ikke bestått. 7. Litteratur 7.1 Obligatorisk litteratur (336 sider pluss innholdet i leksjoner) Epifani, M., Stirparo, P. (2015). Learning ios Forensics: A practical hands-on guide to acquire and analyze ios devices with the latest forensic techniques and tools: ISBN-10: 1783553510: ISBN-13: 978-1783553518 (Paperback or Kindle), Chapter 3,4,5,6,7 and Appendix B. (117 sider). Hale Ligh, M., Case, A., Levy, J., Walters, A. (2014). The Art of Memory Forensics:Detecting malware and threats in Windows, Linux, and Mac memory: ISBN-10: 1118825098: ISBN-13: 978-1118825099 (Paperback or Kindle), Chapter 1,2,3,4,28,29,30 and 31. (196 sider). 1 Arbeidskrav er endret 5. oktober 2015 2 Eksamensform og innhold er endret 5. oktober 2015 Studieplan for Nordic Computer Forensics Investigators, Module 3D 2013, revidert 2015 Side 4
Taylor, D (2012): Learning Unix for OS X Mountain Lion: Going Deep With the Terminal and Shell: O'Reilly Media: ISBN-10: 1449332315 :ISBN-13: 978-1449332310. Chapter 5 (23 sider). http://www.amazon.com/learning-unix-os- MountainLion/dp/1449332315/ref=sr_1_1?s=books&ie=UTF8&qid=136372099 1&sr=1-1&keywords=mac+osx+unix. I tillegg er alt undervisningsstoff i leksjonene pensum. 7.2. Forutsettes kjent Pensum fra NCFI Module 2 Studieplan for Nordic Computer Forensics Investigators, Module 3D 2013, revidert 2015 Side 5