Cifrado de datos (parte 2) - AES Crypt / FileVault

Vamos con la segunda parte de esta serie dedicada a las herramientas de cifrado y encriptación.
En la primera parte nos quedamos viendo que posibilidades de filtrado ofrecían los SO de Apple, vamos a seguir con ello en la presente entrada.


Encriptando en Mac con FileVault

FileVault es la herramienta nativa de OS X perfecta, para encriptar los datos guardados en el disco de un Mac.
Con esta encriptación del disco se evitará el acceso a dicha información por parte de usuarios, o Apps no autorizadas.

FileVault utiliza la encriptación XTS-AES de 128 bits, que será la que impida el acceso a los datos privados si no se está en poder de la contraseña de desencriptación de 256 bits.

Una vez acabado el proceso de activación de FileVault, se deberá de reiniciar el equipo.
Cuando el Mac vuelva a arrancar, la encriptación comienza a realizarse en segundo plano.

Podemos acceder a esta utilidad desde las preferencias del sistema, en el apartado Seguridad y Privacidad.


AES Crypt

Es un software de cifrado, pero a diferencia de lo que se puede hacer con FileVault que es el cifrado del disco completo, con AES Crypt se pueden cifrar archivos concretos de la forma más sencilla.
Esta herramienta es multiplataforma y utiliza un potente algoritmo de cifrado de 256 bits.
Esta App es muy util cuando lo que se pretende es proteger archivos con los que se está trabajando, información sensible que se va a enviar o almacenar, para mantenerla de la forma más segura posible.

Uno de los puntos a favor de AES C es la integración con Gnome y KDE, además de que puede utilizarse tanto desde un entorno gráfico, como desde la consola de comandos.

Se puede descargar facilmente desde la web oficial del proyecto: https://www.aescrypt.com/ , dependiendo la instalación del sistema en el que se vaya instalar.

En OS X, yo lo he instalado para la práctica de forma sencilla mediante Homebrew.







Como menciono con anterioridad, esta herramienta solo es capaz de cifrar archivos. Por lo tanto si la intención es por ejemplo cifrar un directorio entero, habrá que buscarse las mañas y convertirlo en un archivo único, por ejemplo comprimiendolo en un .zip .

La utilización sencilla. Si por ejemplo se quiere cifrar un archivo "fiscal.pdf" y la contraseña a utilizar es "12ConTraseñA": $ aescrypt -e -p 12ConTraseñA fiscal.pdf
El (-e) alude a encriptar y la (-p) password.

Siguiendo el mismo método, para desencriptar: $ aescrypt -d -p 12ConTraseñA fiscal.pdf.aes

Evidentemente, muchos estarán pensando que el introducir la contraseña en la línea de comandos de forma visible, no cumple con ningún principio de seguridad. A todos esos solo puedo decirles que tienen toda la razón.
Para soluccionarlo, solo habrá que operar de la misma manera pero sin introducir (-p), tras lo que el terminal nos pedirá la contraseña dos veces, una inicial y otra para confirmar, las dos de manera invisible: 
$ aescrypt -e 12ConTraseñA fiscal.pdf

Cifrado de datos - Parte 1 (Encriptación de imagenes de disco)

La siguiente entrada, va a ser dedicada a uno de los procedimientos utilizados por un arte ancestral, que aunque en la actualidad está muy de moda debido al ambito tecnológico, al tratamiento seguro de datos, a la confidencialidad en las comunicaciones, ya era utilizado en la antiguedad por grandes civilizaciones, como en el antiguo Egipto o la Grecia clásica.
Este arte es la Criptografía (literalmente del griego "Escritura oculta") y el procedimiento del que se va a hablar "El Cifrado".


La evolución tecnológica, ha hecho que el aumento de las comunicaciones y por tanto la circulación de información sea masiva, lo cual replantea un gran problema y reto a la hora de asegurar estas comunicaciones y que los datos personales y confidenciales que circulan por ellas, estén debidamente protegidos para que no sean accesibles a terceras personas.

Debemos asegurar que las comunicaciones estén protegidas en su tránsito de información, lo que quiere decir que solo los participantes de dicha comunicación (remitente y destinatario) sean los unicos que tengan acceso a ella. Para conseguir y asegurar este proceso se deben de utilizar herramientas y servicios que encripten los datos que se transmiten (y en caso de servicios, que estos datos no se almacenen en por ejemplo servidores de terceros).

 Hemos sido testigos en los últimos tiempos en lo relacionado con esta materia, de por ejemplo las declaraciones de Snowden, en las que recomendaba la encriptación de aplicaciones.
Recomendaba algunas, por ejemplo para telefonía: Signal y RedPhone para cifrar llamadas y TextSecure para mensajería.
Como sevicio de alojamiento de archivos en la nube según Snowden el mejor SpiderOak, frente a otros más conocidos del mercado como Dropbox.

Políticas de protección de información de SpiderOak

Más recientemente vimos como Whatsapp cifraba sus comunicaciones de extremo a extremo.
Esto quiere decir que cifran todo el proceso de comunicación, desde que el emisor envía el mensaje, hasta que el receptor lo recibe en su terminal.
WhatsApp deja de almacenar las claves de cifrado en un servidor central, las cuales pasan a estar solo presentes en los terminales de cada uno de los participantes de la comunicación y sin las cuales no se podrá acceder de ningún modo a la información.

Cifrado extremo a extremo de WhatsApp

Ahora vamos a ver diferentes formas de poder cifrar nuestros datos de forma segura para mantenerlos protegidos de la menor forma posible.

Encriptación de imagenes de disco en OS X o macOS Sierra

A veces cuando estamos trabajando, nos interesa compartir una imagen de disco con cierta información o hacer una imagen para uso personal propio en la que simplemente guardaremos datos confidenciales.
En Mac la extensión de estas imagenes de disco es: DMG.
El mismo sistema operativo da la opción de encriptarlo mediante su propia app "Utilidad de disco".

Abrimos Utilidad de Discos y creamos una imagen nueva vacia.






Saldrá una ventana, en la que se tiene que configurar la nueva imagen de disco que se va a crear.

 Recomiendo se elija la encriptación a 256 bits ya que es la más segura entre las opciones ofrecidas.
Automaticamente, la utilidad pedirá una contraseña para la nueva imagen.

Guardamos y en unos segundos estará creada y guardada la nueva imagen de disco.
Aquí se puede guardar toda la información y archivos que se quiera (hasta la capacidad que hemos indicado en la configuración).
Para desmontar solo hay que hacer doble click he introducir la contraseña.

Análisis de Rootkit en OS X con Rkhunter

 Cuando un Rootkit es instalado dentro de un sistema, en la mayoría de los casos este pasa a ser administrado y manejado por una mano invisible, de la cual ni si quiera será detectada su presencia.

 Un rootkit es un software, o mejor dicho un conjunto de herramientas, que normalmente está asociado a su utilización para fines maliciosos, ya que su objetivo y razón es la de ocultar la presencia de malware en el sistema y/o permitir el acceso a un equipo o sistema, al que no se podría acceder sin autorización de privilegios y utilizando sus propiedadades, se mantiene oculto (invisible) a ojos de los administradores, mientras corrompe el funcionamiento normal del propio sistema y de las aplicaciones que se encuentran en él, con el objetivo fundamental de ejecutar acciones remotas y/o conseguir substraer información del mismo.

El Rootkit tiene la capacidad de penetrar en el sistema e interceptar las funciones del mismo y modificarlas, ocultar procesos, archivos, registros, crear backdoors, además algunos rootkit se encargan por si mismos de instalar en el sistema sus propios drivers.
Puede llegar a un sistema de forma automatizada o por medio de un atacante que una vez accedido a un sistema o programa lo instala ahí.

El atacante accederá al sistema explotando vulnerabilidades y una vez instale en rootkit podrá tener un acceso privilegiado, administrando y modificando las características, incluyendo el software y mientras esto sucede podrá ocultar su existencia asegurando el éxito de la operación.

Detectar que un Rootkit es bastante complicado, ya que puede ser capaz desestabilizarlo y desestructurarlo y en el caso de detectarlo la eliminación es muy complicada, sobre todo en situaciones en que el Rootkit se encuentre instalado en el núcleo del sistema, donde la manera más eficaz y óptima de desacernos de él, sería la reinstalación del sistema operativo intentando borrar todo su rastro.

En esta entrada voy a mostrar una herramienta capaz de detectar rootkits y backdoors, mediante la comparación de hashes MD5 de algunos de los ficheros importantes del sistema, códigos sospechosos en el kernel, permisos incorrectos o defectuosos y realización de pruebas de análisis de detección.

Esta herramienta es: "Rkhunter".

Rkhunter está disponible para los sistemas operativos:
GNU/Linux, BSD, AIX, Mac OS X, SME, Solaris, y otros Sistemas operativos basados en Unix.
Para la entrada utilizaré Mac OS X.

Instalarlo en Mac es bastante sencillo, solo se debe de acceder al terminal y utilizar algún software gestor de paquetes para Mac OS, como puede ser Homebrew o Macports.

Instalar estas herramientas es bastante sencillo y aunque ya lo comentaré en alguna entrada futura, para los que las desconocen, os animo a informaros sobre ellas.
Para hacer la entrada, vamos a instalar por ejemplo Homebrew rápidamente ...





Este gestor de paquetes, en pocas palabras, lo que hace es ayudarnos a instalar paquetes de aplicaciones en Mac, de forma comoda por medio de un simple comando y descargando dichas aplicaciones de los repositorios con los que trabaja.

Una vez instalado Homebrew, vamos a pasar a instalar Rkhunter utilizando el sencillo siguiente comando.








Una vez hecho esto, como se puede observar en la imagen, Rkhunter a sido descargado e instalado en la ruta indicada.

Para ejecutar la herramienta solo queda lanzar el comando: rkhunter.
El terminal nos muestra las diferentes opciones que nos ofrece la herramienta.

















 Antes de empezar, actualizamos la base de datos de Rkhunter con el siguiente comando.

Una vez actualizado procederemos a comenzar a analizar el equipo o sistema.
El comando: rkhunter --check



En su análisis realiza pruebas de detección rootkits, algunos de ellos muy frecuentes o conocidos: beX2, Gaskit, T0rn, Trojanit Kit, OS X Rootkit, Shutdown, TBD, etc.

Rkhunter entre otras, realiza pruebas en los puertos abiertos del sistema, analiza y comprueba los permisos y privilegios de los usuarios.

Como guinda al pastel, posee un fichero de log mucho más detallado que la información mostrada en el terminal, el cual está localizado en '/tmp/rkhunter.log'.

Los peligros de Internet - Revealer Keylogger

Con esta entrada quiero empezar una serie, en la que trataré los diferentes peligros que podemos encontrar en internet y como pueden afectar al usuario que cada día navega por la red.

Hoy en concreto quiero ver o mostrar, la facilidad con la que se pueden conseguir herramientas que pueden volverse en nuestra contra, al ser de muy facil acceso para cualquiera que tenga un ordenador y conexión a internet.

Cualquier herramienta que pueda descargarse por internet, también podrá ser utilizada por casi cualquiera que lo deseé en mayor o menor medida, ya que al igual que se ha sido capaz de poner en el buscador una serie de terminos para llegar a esa herramienta, se podrá "aprender a usarla" escribiendo en el buscador tutoriales de la herramienta "x", lo cual ofrecerá un sinfín de videos, artículos y documentos sobre la misma.
Esto puede ser y es muy positivo cuando el fin de una persona concreta es aprender y ampliar sus horizontes, pero por desgracia siempre habrá individuos que lo utilizarán en beneficio propio y de sus objetivos.

En este artículo, en vez de una herramienta más complicada con la que un individuo externo pueda hacernos daño, voy a ser más simple, ya que por mucho que pensemos que alguién de fuera de nuestro entorno puede interesarse por nosotros.... muchas veces el enemigo puede estar más cerca de lo que pensamos (en nuestra propia casa, o nuestro compañero de departamente en el trabajo).

Todos hemos oído hablar de Keyloggers, pero en una definición técnica para quien no lo tenga claro:
"es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet." Estás herramientas son un tipo de malware, que normalmente es utilizado por un individuo para robar las credenciales de otro/s, números de cuenta, contraseñas, información confidencial, etc.

Pues bien, vamos a ver que tan complicado es encontrar uno por internet y descargarlo.

La cosa parece quedar clara cuando en la primera página de busqueda se ofrecen diferentes páginas de descarga, con diferentes Keylogger y algun tutorial de como utilizarlos.

Para mostrar lo que quiero en esta entrada, no he sido muy selecto, me he limitado a descargar uno de los primeros Keylogger que se ofrecen en descarga (como haría un usuario sin conocimiento previo, pero con una actitud maliciosa). Descargo Revealer Keylogger.

 Después de apenas 1 minuto, ya tengo el paquete de descarga en mi Windows y con un simple click comienzo el proceso de instalación en mi equipo.

En solo 5 minutos, he abierto el buscador, he iniciado la busqueda de un Keylogger, lo he descargado e instalado. Ahora tengo en mi equipo una herramienta capaz de:

- Grabar todo lo que se escribe en el teclado, incluyendo contraseñas, independientemente de la aplicación utilizada (Skype, Facebook, MSN, AOL, ICQ, AIM, GTalk, etc.).

- Hacer capturas de pantalla automáticas, ver todas las acciones realizadas en el ordenador.

- Ver el texto guardado desde otro ordenador, una tableta o un teléfono inteligente, con entrega por correo electrónico, FTP o LAN.

- Además es capaz de permanecer invisible a herramientas del sistema operativo en el que ha sido instalado.

(*)ACLARACIÓN: La opción de invisibilidad solo está disponible en la versión de pago (Aunque como ya sabemos siempre hay formas de conseguir la versión pro sin pagar).

Como vemos en la captura de pantalla, el iniciar el funcionamiento del Keylogger, es tan facil como pulsar inicio y este empezará a capturar. Cerramos la App y dejamos que haga su trabajo.

Para probar el funcionamiento de esta herramienta, simplemente voy a proceder a entrar en mi cuenta de Gmail y escribir un mail cualquiera.

Hecho esto y enviado el email, voy a Revealer Keylogger y detengo la captura.
Vamos a ver lo que ha capturado.

Y sorpresa!!!





























El Keylogger ha capturado cada una de las pulsaciones que hemos realizado.

De esta forma vemos lo facil que sería que alguien que tiene acceso a nuestro equipo personal, o del trabajo, si no lo tenemos debidamente protegido, sería capaz de capturar cualquier cosa que escribiesemos en él (Contraseñas, información privada, cuentas de usuarios, cuentas bancarias, etc.)

Sistema de Protección de la Integridad (SIP) para OS X (El Capitan) y MacOS Sierra

En una de las anteriores entradas "K0SASP - Pentesting con Mac OS X" se pudo ver como debido a nuevas implementaciones en sus medidas de seguridad, los sistemas operativos de Apple (a partir de la versión de OS X "El Capitan" incluían SIP (System Integrity Protection)) restringen la cuenta root y limitan las acciones que el usuario root puede realizar en las partes protegidas de OS X o MacOS.

En este caso tuvimos que ver como saltar esta medida de protección para poder instalar la suite de herramientas de hacking "K0SASP".

Pero...¿Que es exactamente SIP?

 

Este Sistema de Protección de la Integridad, es diseñado por Apple con la intención de evitar la instalación de malware capaz de modificar archivos y carpetas protegidas. Y es que Apple reconoce no fiarse del usuario o administrador de un equipo, ya que primando por la seguridad de su sistema, admite que muchos de los problemas que surgen a nivel de malware, vienen dados por la forma de actuación de dichos usuarios y la instalación de software no verificado.
Por todo esto, apartir de OS X "El Capitán", Apple con su SIP restringe por primera vez el poder del todo poderoso usuario "root", limitando las acciones que podrá realizar en partes protegidas del sistema. Todo esto según la compañía para alcanzar un alto y óptimo nivel de seguridad.
SIP solo permitirá el acto de modificar partes protegidas a software firmado y certificado por Apple.

Directorios protegidos:

• /System
• /bin
• /sbin
• /usr (a excepción de /usr/local)

Enlaces simbólicos protegidos:

• /etc
• /tmp
• /var
• /private

Como saltarnos System Integrity Protection es fácil, ya que aunque Apple como afirma quiere llevar sus sistemas a un punto de alto nivel de seguridad, es consciente que algunos usuarios de alto nivel, como pueden ser desarrolladores, hackers, etc., necesitarán en algún momento modificar estos directorios a priori protegidos, por lo que deja una ventana abierta.
Esta ventana viene en forma de herramienta y se llama "Csrutil". Con esta herramienta se puede habilitar y deshabilitar SIP (también denominado Rootless) y permitir la modificación de los ficheros protegidos.

Antes de pasar a deshabilitar el sistema de protección, seamos conscientes de su labor.
Si accedemos a una de las carpetas protegidas...

...por ejemplo "System" e intentamos crear un archivo o directorio dentro de ella, al estar protegida nos dirá:

Evidentemente no permite esta operación.

Para poder hacer esto sin restricción hay que hacer uso de "csrutil" y como ya vimos, para que sea efectivo hay que hacerlo a través del terminal pero en el modo "Recovery" del sistema, o lo que es lo mismo el modo de recuperación de sistema tanto para OS X como MacOS Sierra.
A través del modo Recovery pueden realizarse funciones como:

• Restaurar tu Mac a partir de una copia de seguridad de Time Machine.
• Comprobar y reparar unidades conectadas mediante Utilidad de Discos.
• Instalar o reinstalar OS X.

Pero también se puede tener acceso a utilidades como el terminal del sistema.
De este modo, para acceder al modo "Recovery" solo hay que reiniciar el sistema.

Después de que el Mac se reinicie y se escuche el sonido de arranque, mantener pulsadas las teclas Comando y R.







Veremos que el sistema operativo empezará a cargar como de costumbre, pero arrancará en un entorno diferente.

 
Una vez arrancado el equipo en modo Recovery, abrimos el terminal (podemos encontrarlo en Utilidades en la barra de menú superior).

Dentro del terminal solo hay que lanzar el comando: csrutil disable

 Reiniciamos el equipo nuevamente y ya tendremos desabilitado "System Integrity Protection".
(Esto no nos provocará el mínimo problema ni repercusión, ya que si en algún momento queremos volver a activarlo, solo tenemos que realizar el comando de activación: csrutil enable).
 
Con Rootless deshabilitado vamos a realizar la misma acción de antes, a ver con que nos encontramos.
Entramos en el terminal y accedemos a "System".

Como se puede ver, el contenido es solo "Library". Después, mediante el comando "mkdir" decimos que queremos crear el directorio PruebaKoox, nos pide la password de administrador y lo crea sin problemas, en el mismo sitio que anteriormente no nos había permitido.

Como ya se ha indicado, para volver a activar SIP solo habría que realizar la misma operación, con la diferencia que en el terminal meteriamos el comando: "csrutil enable".

Auditando con OWASP ZAP en OS X

Dentro del análisis de aplicaciones web, la entrada de hoy está dedicada a OWASP ZAP (Zed Attack Proxy), una de las herramientas más potentes del proyecto OWASP.

Aunque el apunte de "...con OS X" en el título de la entrada realmente es irrelevante, ya que la herramienta a utilizar "OWASP ZAP" es igual en todas las plataformas, va dirigido a todos aquellos puristas y defensores de otras plataformas y en la línea de anteriores entradas, recordando de que con OS X o macOS Sierra (próximamente), se puede hacer exactamente hacking con todas las posibilidades.

OWASP ZAP, está disponible para multiples plataformas en (compatible incluso con Raspberry Pi):
Descarga: https://github.com/zaproxy/zaproxy/wiki/Downloads

Para Mac, se descarga un formato .dmg que gracias a la tecnología Mac ni si quiera hay que pasar un proceso de instalación, ya que tras abrirlo no tendremos más que arrastrar el icono de ZAP a la carpeta Aplicaciones.

 Es una herramienta con unas características y/o funciones muy parecidas a Burpsuite. Algunas de ellas:

• Análisis de peticiones cliente/servidor.
• Localización de recursos.
• Análisis varios (Automáticos, pasivos, de sistemas de autenticación).
• Posibilidad de lanzar varios ataques a la vez.
• Uso de SSL dinámicos.
• Uso de plugins adicionales.
• Soporte de uso de DNI electrónico, certificados digitales, etc.
• Configuración de reglas.

Para empezar con escaneo automático de OWASP ZAP, solo tenemos que introducir la URL objetivo que queramos analizar.
En el caso de este escaneo de ejemplo, voy a utilizar unas direcciones que ya hemos visto en anteriores entradas, que la organización de Acunetix nos facilita como webs vulnerables, para realizar las pruebas, pero que en este caso nos sirven para lo que vamos a realizar.

- http://testphp.vulnweb.com
- http://testasp.vulnweb.com
- http://testaspnet.vulnweb.com
- http://testhtml5.vulnweb.com

Yo en mi caso, voy a utilizar - http://testaspnet.vulnweb.com.

Una vez tengamos la URL, damos a iniciar y el proceso empezará a correr y como suele pasar en todo escaneo, la duración será directamente proporcinal a la densidad y complegidad de la web a analizar.



En esta entrada me limitaré a explicar la herramienta y cada uno de sus apartados, para que el usuario tenga una mayor comprensión de ella y en siguientes entradas, pasaremos a realizar acciones de mayor complegidad.

Comovemos en la parte inferior, podemos ver como el proceso de análisis se divide en varios apartados:

Spider (la araña) nos muestra como la herramienta va analizando los diferentes archivos y directorios en busqueda de vulnerabilidades.











En "Escaneo Activo", se pueden ver en proceso directo, todas las peticiones que se van enviando "POST" ...














Si seleccionamos cualquiera de ellas, en la parte superior derecha de la ventana podremos estudiar o analizar, la petición que ha realizado la herramienta y la respuesta recibida por el sistema...




























Algo muy interesante que nos ofrece OWASP ZAP es presenciar en directo el tipo y progreso de ataques que está realizando, dandonos la posibilidad de presenciar pruebas concretas. Esto mediante el "Show scan progress details".

Como vemos en la siguiente captura de pantalla, entre otros:
- Escaneos de directorio transversal.
- Inclusión de archivos.
- XSS.
- Inyecciones.
- Buffer overflow.

Una vez terminado el escaneo vamos a pasar a la parte más importante, ver las vulnerabilidades que se han encontrado en la URL a analizar.
Para ello vamos al botón "Alertas" caracterizado con el icono de una banderita roja o anaranjada.
Aquí vamos a encontrar como en cualquier otro escaner de vulnerabilidades, las encontradas, clasificadas según su gravedad.



En este caso vemos que ZAP ha encontrado dos vulnerabilidades de alto riesgo (caracterizadas en color rojo).  De "Cross-site Scripting" y una de "inyección SQL".
23 de riesgo medio (color naranja) y otras tantas de bajo riesgo (color amarillo).
Si seleccionamos cualquiera de ellas, a la derecha del cuadro podemos ver la descripción completa de la vulnerabilidad, una posible solucción ofrecida por la herramienta y enlaces de referencia por si queremos documentarnos al respecto.

Finalmente, para procesos de auditoría ZAP nos da la posibilidad de guardar un reporte de vulnerabilidades en diferentes formatos.

K0SASP - Pentesting con Mac OS X

Pese a que aún están en minoría frente a otros sistemas, la fuerte introducción de los productos Apple en la última década en nuestro mercado, hace que cada vez más expertos en seguridad se decanten por OS X para realizar su trabajo.

Este hecho, hace que cada vez más herramientas enfocadas a la seguridad y al hacking esten disponibles, preparando al Mac como una herramienta perfecta y tan potente como cualquier otra, para realizar hacking, pentesting, etc.

Aunque bien es cierto, como ya he dicho, podemos instalar casi cualquier herramienta de seguridad en nuestro Mac, también lo es que a veces puede resultar tedioso, el instalarlas de una en una según las vayamos necesitando, muchas de ellas teniendo que compilar, instalar paquetes, etc.
En solucción a esto surge K0SASP, un paquete de instalación para sistemas Mac OS X, que consta de una gran gama de herramientas específicas para realizar auditorías de seguridad.
K0SASP ayuda a instalar los programas adecuados a nuestras necesidades, o instalarlos todos en un solo clic, ahorrandonos de esta manera tiempo y complicaciones. Todo gracias a que viene con su propio instalador .pkg.

 K0SASP además nos ofrece mucha facilidad de uso al ser muy intuitivo y darnos la oportunidad de utilizarlo desde un entorno gráfico, o desde el terminal.

 

La versión actual K0SASPv1.3, consta de las siguientes herramientas:

Instalación:

Podemos descargar K0SASP (K0SASPv1.3.pkg) gratuitamente desde:
https://mega.nz/#!ykZXxY6D!2hZv8YDAwwBzRm5bmAfoE4yrNSsbtzbQxB6AHh_Ooa4

Una vez descargado y previamente a la instalación, tendremos que proceder a la parte más técnica, pero no por ella sencilla.
Aunque K0SASP a priori es muy fácil de instalar, ya que lo que descargamos es un simple .pkg, la última actualización de OS X (10.11 El Capitán) nos ha pasado a complicar un poco las cosas. Esto es debido a que esta versión a sido reforzada en seguridad por lo que Apple a llamado "System Integrity Protection". Esto impide que aplicaciones no firmadas, pueda ser instaladas en el sistema a priori, o que archivos del sistema puedan ser modificados, ni si quiera por el usuario Root.
Esto choca totalmente con programas como K0SASP, que en el proceso de instalación algunos de sus scripts intentan ser guardados en estas rutas que para Apple son prohibidas:

/System
/sbin
/usr (A excepción de /usr/local)

La solucción: Hasta que salga la nueva versión de K0SASP, tendremos que reconfigurar nuestro equipo.
Aunque Apple implanta esta política restrictiva, es consciente de que en algunas ocasiones algún archivo del sistema tiene que ser modificado. Para estas ocasiones "excepcionales", ha creado la herramienta "csrutil", que será nuestra aliada a la hora de desactivar esta seguridad.
Antes de proceder debemos llevar al equipo al modo "Recovery".

Elija el menú Apple> Reiniciar.
Después de que el Mac se reinicie y se escuche el sonido de arranque, mantener pulsadas las teclas Comando y R.








Una vez arrancado el equipo en modo Recovery, abrimos el terminal (podemos encontrarlo en Utilidades) y lanzamos el comando: csrutil disable

 Reiniciamos el equipo nuevamente y ya tendremos desabilitado "System Integrity Protection".
(Esto no nos provocará el mínimo problema ni repercusión, ya que si en algún momento queremos volver a activarlo, solo tenemos que realizar el comando de activación: csrutil enable).

Una vez hecho esto, ya podemos instalar K0SASP.  

Para evitar errores, nos curamos en salud y antes de proceder a la instalación, abrimos el terminal e introducimos el siguiente código: xcodebuild -license
Con esto aceptamos los terminos y condiciones de Xcode
 



Ya podemos pasar al proceso de instalación de K0SASP que es facil e intuitivo.
 (IMPORTANTE!!) Al iniciar la instalación, en la selección de aplicaciones, desmarcar las casillas de "Slowhttptest" y "THC-SSL-DOS" para que no se instalen, ya que hasta la próxima actualización de K0SASP son inestables y la instalación puede fallar.

Por defecto se instalarán todos los programas incluidos, pero se puede seleccionar cual queremos instalar y cual no. Después todo el proceso correrá automáticamente.
Tras la instalación se mostrará una carpeta en Aplicaciones con el nombre de Kontrol0-Security Auditor Software Pack. Ahí se encuentra todo el contenido instalado categorizado.