Über den Sinn oder Unsinn einer Software Firewall kann man sich vortrefflich streiten. Vor gut einem Jahr hatte ich mal einen passenden Artikel dazu verlinkt.
Fakt ist auf jeden Fall, dass derartige Tools nicht nur positive Seiten haben. Durch eine Kernel-Erweiterung hat die Software beispielsweise root-Rechte, was die potentielle Angriffsfläche eher vergrößert als minimiert.
Ich möchte heute dennoch Little Snitch 4, die wohl bekannteste Software Firewall für den Mac, genauer vorstellen. Auf die Sinnfrage komme ich dann noch mal im Fazit am Ende dieser Review zurück 😉
Grundlagen
Little Snitch begleitet uns hier im Blog schon seit etlichen Jahren. Die letzte große Version wurde im September 2012 veröffentlicht und ist somit über fünf Jahre alt. Vor gut einem Jahr gab es dann erste Beta-Versionen zur neuen Version 4.0, die schlussendlich im Juli 2017 final veröffentlicht wurde.
Was macht die App überhaupt?
Einfach gesagt überwacht Little Snitch die Netzwerkaktivität des Macs. Das betrifft alle ein- und ausgehenden Verbindungen, die man auf unterschiedliche Weisen zulassen bzw. verbieten kann.
Die daraus resultierenden Regeln finden sich in der Little Snitch Konfiguration wieder. Dort können sie jederzeit angepasst oder deaktiviert werden. Dazu gibt es Profile, die auf Wunsch anhand des verbundenen WLANs (Stichwort: Hotspot) oder der geografischen Position des Macs automatisch gewechselt werden können. Über einen Leise-Modus, einer speziellen Betriebsart, läuft LS unauffällig und ohne Verbindungsalarme im Hintergrund.
Außerdem verfügt die App über einen Netzwerkmonitor, mit dem man den gesamten Datenverkehr der letzten Stunde für jeden laufenden Prozess, Server, Protokoll und Port analysieren und den Traffic über Snapshots auch aufzeichnen kann.
Was ist neu?
Generell ist es ja so, dass sich LS immer dann mit einem Verbindungsalarm meldet, sobald eine App oder ein Service auf das Internet zugreifen will. Die Alarme sind je nach Konfiguration in den LS Einstellungen mal mehr, mal weniger geschwätzig.
Gerade bei der Ersteinrichtung von LS bzw. beim Starten einer neu installierten App (liest hier zufällig jemand von Adobe mit?!) können diese Alarme recht nervig sein.
Aus diesem Grund wurde der Leise Modus gründlich überarbeitet.
Ist dieser spezielle Betriebsmodus aktiv, läuft LS unaufgeregt im Hintergrund und lässt alle Verbindungen zu (ausgenommen die, die per bestehender Regel schon verboten sind). Gleichzeitig werden jetzt aber alle auflaufenden Verbindungen in einer Liste im Netzwerkmonitor dokumentiert.
Die dort mit einem blauen Klippschalter gekennzeichneten Verbindungen kann man jetzt per Klick oder über ein Kontextmenü in Regeln umwandeln. Auf diese Art kann man eine Vielzahl von Verbindungsalarmen umgehen, um zu einem späteren Zeitpunkt in Ruhe eine Entscheidung zu treffen.
Auch der Netzwerkmonitor, der gerade schon in Ansätzen zu sehen war, wurde komplett neugestaltet.
Auf der linken Seite werden nun die Verbindungen und der Traffic der letzten Stunde angezeigt. Hier ist auch eine umfangreiche Suche integriert. In der Mitte findet sich eine Karte wieder, die in Echtzeit alle aktuellen und vergangenen Netzwerkverbindungen visualisiert. Dafür nutzt LS die geografische Position der IP-Adresse. Die angezeigten Orte müssen daher nicht immer zu 100% korrekt sein. Schlussendlich befindet sich auf der rechten Seite der Inspektor, der weiterführende Informationen zu allen laufenden oder dem gerade markierten Prozess anzeigt.
Teil dieses Inspektors ist der neue Recherche-Assistent, der zusätzlich auch in der Little Snitch Konfiguration und den Verbindungsalarmen verfügbar ist.
Dahinter verbirgt sich im Prinzip ein Tool, dass es App-Entwicklern ermöglicht zusätzliche Informationen zur Regelerstellung bereitzustellen und ggf. Warnungen bei einer (eher ungewöhnlichen) Entscheidungsfindung auszugeben.
…we’ve introduced the Internet Access Policy (IAP) in Little Snitch 4. This allows third party app developers to bundle a policy file with their app that contains information about the Internet connections the app establishes and what purpose they serve. Little Snitch uses this information to help you decide whether to allow or deny a connection.
Auch bei den etwas fortgeschrittenen Features hält LS Neuerungen parat.
So wird jede in LS mit Regeln vorsorgte App auf ihre Code-Signatur hin geprüft. Außerdem wird man vor Apps mit ungültiger oder (nach einem Update) veränderter Code-Signatur gewarnt, was schlussendlich der Sicherheit dient.
Darüber hinaus wurde die Filtertechnik verbessert. Die Netzwerkfilter setzen jetzt auf Deep Packet Inspection, was deren Zuverlässigkeit erhöht bzw. ungewollte DNS-Sperren verhindert. Gerade wenn ein und dieselbe IP-Adresse mehreren Hostnamen zugeordnet ist (z.B. google.com vs. googleanalytics.com), ergeben sich nun Vorteile.
Nutzer des neuen MacBook Pro können sich zudem über die Unterstützung der Touch Bar freuen.
Sonstiges
Von diesen größeren Veränderungen in LS4 abgesehen, gibt es auch wieder die etwas kleineren Features, die nicht unerwähnt bleiben sollen:
Nutzer von älteren Versionen der App werden sich über eine modernisierte Benutzeroberfläche freuen. Dazu kann man im Warn-Modus jetzt endlich auch einzelne Verbindungsalarme minimieren und die Entscheidung auf später verschieben. Außerdem kann man Regeln priorisieren, von vordefinierten Regeln für iCloud- und macOS-Diensten oder dem verbesserten Arbeiten mit Little Snitch Profilen profitieren.
Preise und Verfügbarkeit
Little Snitch 4 wird ausschließlich über den Webstore seines österreichischen Entwicklers Objective Development Software GmbH verkauft. Eine Einzelplatzlizenz kostet 45 Euro. Dazu werden Mehrfach- sowie eine Familien-Lizenz zum Kauf angeboten.
Zum Testen steht eine kostenlose Demo bereit. Zur Installation wird OS X 10.11 El Capitan oder höher vorausgesetzt.
-> https://www.obdev.at/products/littlesnitch
tl;dr
Little Snitch ist ohne Frage auch in seiner vierten Version eine sehr gute Software Firewall, die im Vergleich zum Vorgänger an vielen Punkten verbessert wurde.
Das einzige offensichtliche Problem, das Little Snitch nach wie vor hat, sind die oft unklaren Auswirkungen von erstellten Regeln auf die Zukunft. Es kann nämlich durchaus vorkommen, dass irgendeine App oder ein Service (beispielsweise durch ein Update) von hier auf jetzt nicht mehr richtig funktioniert. Meiner Erfahrung nach sind dann meisten zu strikt gesetzte Regeln in LS ursächlich. Man muss also die bestehenden Regeln aufweichen, was hin und wieder zu einer sehr großzügigen Regelauslegung führt. In der Summe sind solche Anpassungen halt schade. Zumal der normale Endnutzer ohne eine entsprechende Suche bei Google & Co. oftmals gar nicht zu 100% entscheiden kann, ob eine Verbindung X für eine App lebensnotwendig ist oder nur den Zweck der Datenanalyse oder Werbung erfüllt. Gerade an diesem Punkt würde ich mir etwas mehr Führung durch Little Snitch wünschen.
Davon ab besteht natürlich das anfangs schon angesprochene (nicht sichtbare) Problem mit den root-Rechten der App. Ein potentieller Angreifer kann so im schlimmsten Fall die volle Kontrolle über Little Snitch und den Mac erhalten. Damit wird also genau das Gegenteil von dem erreicht, was man eigentlich von einer Firewall erwartet: die Absicherung des Systems bzw. die Reduzierung der Angriffsoberfläche.
Hinzu kommt, dass LS nur “gewollten” Netzwerkverkehr kontrollieren kann. Trojaner oder andere bösartige Softwareschnipsel, die ebenfalls mit root-Rechten unterwegs sind, können LS gewissermaßen blind machen bzw. den Netzwerkverkehr vor LS verstecken. Dagegen ist keine Software Firewall dieser Welt geschützt. Wer also ganz genau wissen möchte was sein Rechner im Internet treibt, muss den Netzwerkverkehr an seinem Router abfangen bzw. ihn dort kontrollieren.
Daher muss schlussendlich jeder für sich selbst entscheiden, ob die Kontrolle oder der Schutz vor Google Analytics & Co. wichtiger ist als potentielle Gefahren.
Gewinnspiel
Der österreichische Entwickler Objective Development Software GmbH hat aptgetupdateDE eine Lizenz von Little Snitch 4 für eine Verlosung zur Verfügung gestellt.
Zur Teilnahme kommt Gleam zum Einsatz, bei dem die folgenden optionalen und gleichwertigen Lose enthalten sind:
- Frage beantworten
- aptgetupdateDE bei Twitter folgen
- Tweet zur Review bei Twitter retweeten
- aptgetupdateDE bei Facebook besuchen
- aptgetupdateDE bei Google+ besuchen
Die Auslosung findet Pfingstmontag, den 21.05.2018, statt. Viel Glück!