Debido al formato de archivo “pcap” tiene sus desventajas, la IETF ideó un formato sucesor de nombre “pcapng”, una denominación corta para “pcap next generation”. El formato es completamente diferente comparado con el formato legado, construido alrededor de una estructura ampliable y basada en etiquetas. Los principales beneficios promocionados incluyen:

Convertir marcas de tiempo una por una es totalmente factible, pero esto puede ser realizado más rápido utilizando el comando “awk”, permitiendo convertir todas las marcas de tiempo a la vez.

La función básica de awk es buscar archivos por lineas u otras unidades de texto, conteniendo ciertos patrones. Cuando una linea coincide con uno de los patrones, awk realiza las acciones especificadas sobre la linea. awk continúa procesando las líneas de entrada de esta manera hasta alcanzar el final de los archivos de entrada.

El formato del archivo log de Squid incluye marcas de tiempo en un formato no muy amigable de ser leído por los seres humanos; UNIX epoch. Esto contabiliza el tiempo transcurrido desde el 1ero de enero del año 1970 a las 00:00:00 UTC.

Al trabajar con la shell de comandos es factible manipular los archivos log de Squid para propósitos forenses. De esta manera se puede realizar la conversión desde UNIX epoch hacia un formato comprensible por los seres humanos, utilizando el comando “date”.

Un servidor proxy como su nombre implica, es un servidor el cual está configurado para romper el tráfico de red entre un sistema cliente y un sistema servidor. Aunque los proxys pueden ser utilizados casi con cualquier protocolo o servicio de red, actualmente casi siempre se les identifica asociándolos con tráfico web utilizando los protocolos HTTP y HTTPS.

El equipo para respuesta de incidentes está listo para entrar en acción, pero existen algunos retos para su eficacia. El vagos ímpetu para la investigación; como el hecho de se hayan sucitados cortes en algunos servidores, no es una pista muy específica a seguir por sí misma.

Quienes están familiarizados con el forense de computadoras, conocen aquellos artefactos dejados por incluso los sospechosos más cuidadosos. El borrar datos frecuentemente no borra verdaderamente nada, y limpiar evidencia deja también algo. Incluso las protecciones criptográficas pueden ser derrotadas si el sistema realizando la encriptación no es diligentemente limpiado, incluyendo RAM y archivos de paginación.

YOGA es un proyecto para ayudar a entender los diferentes cursos de acción a seguir en función de los datos obtenidos. ¿Se tiene un nombre de usuario?. Simplemente hacer clic en este y revisar todos los nodos adjuntos/conectados para conocer las posibles acciones.

YOGA es flexible y fortalecerá la investigación OSINT ayudando a visualizar conexiones y rutas para continuar una investigación.

Una vez recolectados “suficientes” datos (siendo “suficiente” una medida subjetiva), se deben transformar los datos en información, evaluándolos y analizándolos. Algunos puntos clave a utilizar en la revisión de los datos pueden incluir:

¿Es relevante? Algunas veces se recolecta contenido, el cual luego de su análisis, no resulta útil para la investigación general. Puede ser interesante pero puede no ser algo de importancia.

Una vez se conoce cuales son los parámetros para realizar la evaluación, cuales técnicas son factibles de ser utilizadas, y cuales son las metas o propósitos de un cliente, es momento de moverse hacia la siguiente etapa del ciclo OSINT: obtener datos. Esto es en aquello lo cual la gente generalmente piensa y asocia cuando escucha sobre OSINT: profesionales utilizando motores de búsqueda; como Google, Bing, Yandex, etc., navegando a través de innumerables sitios web, y revisando documentos en línea.

La primera etapa en una evaluación OSINT (Open Source Intelligence) es definir una reunión con el cliente, y consecuentemente descubrir cuales son sur propósitos para realizar la evaluación. Esta etapa frecuentemente es omitida pero no debería ser así. Se sugiere crear un documento conteniendo preguntas estándar, para las cuales se requieren encontrar respuestas, de tal manera la evaluación se mantenga encaminada y centrada en las necesidades del cliente.

Algunos tópicos abarcados en esta etapa son: