das macht little snitch unnötig oder?
mit jedem update des OS sterben ein paar liebgewonnene thirdparty apps. diesmal (bei mir) jollysfastvnc und little snitch.

Little Snitch ist ein komplett anderer Ansatz. Einen den ich eh nie gut gefunden habe: DAU wird gefragt ob er diesem oder jenem zustimmen will. Typische Windows-Denkweise. Die Foren sind entsprechend voll mit "Anwendung AB geht nicht mehr nachdem ich ihr unbewusst Zugang zu YZ verboten habe."

Das Apple Konzept ist das intelligentere. Jetzt gibt es immerhin eine Beschreibung für User. Denn die Developer Doks liesst ja scheinbar niemand und die Beschreibung in der GUI ist schlecht.

Patches für WoW und Skye sind schon in der Mache. Interessanterweise wurden die Skype-Macher schon im August auf das Problem aufmerksam gemacht, hat sie scheinbar aber nicht so sehr interessiert...

Und was sagt uns diese Nachricht?

Das MTN (und heise) Falschmeldungen verbreitet.
Schämt euch. Bis heute habt weder ihr noch Heise einen Richtigstellung veröffentlicht.

gaspode:
Dass die Apple FW von heise.de so verissen wurde, war mir von Anfang sehr suspekt.

Dass sie per Default nicht von Apple angeschaltet ist, ist ein anderer Punkt

evilalex:
LittleSnitch macht etwas ganz anderes als die Apple Firewall.
LittleSnitch überwacht ausschließlich ausgehende Verbindungen.

evilalex

Wieso sollte LittleSnitch überflüssig werden? Wenn ich das zitierte Support-Dokument richtig verstehe, dann beschränkt die Firewall nur eingehende Verbindungen. LittleSnitch ist aber hauptsächlich dazu da, Programmen das ungefragte Nachause-Telefonieren zu unterbinden!

Hallo,

IMHO ist das was da steht noch schlimmer, als alles was bisher vermutet wurde.

Selbst in der "dichtest" Einstellung, dürfen _alle_ root-Prozesse von aussen angesprochen werden, egal ob dies nötig ist oder nicht. Warum muss mein Rechner via netbios erreichbar sein, wenn ich gar kein samba brauche (aber z.B. NFS)?

Das ist keine saubere Sicherheitphilosophie. Zumindest eingehend sollte alles verboten sein, was nicht explizit erlaubt wird, egal unter welcher uid es läuft. Und schon gar nicht sollte eine solche Einstellung 'Block all incoming connections' heissen, den sie blockt ja nicht _alle_.

Bis dann

R"udiger

Früher gab es super Handbücher von Apple. Die brauchte man kaum, weil das System intuitiv war.

Heute ist das OS nicht mehr intuitiv. Dafür gibt es auch keine Handbücher mehr. Irgendwann, wenn das OS schon ewig auf dem Markt ist, kommt dann - vielleicht, oft nicht - ein Support Doc, das kryptisch beschreibt, wie das Teil funktionieren sollte.

Ich habe das Tiger-SL Support Doc in bester Erinnerung, habe noch selten so was Überflüssiges gelesen. Völlig allgemein, und genau so wie dort beschrieben geht's nicht.

@teorema67: Einen Moment mal, was hat bitteschön Firewall-Einstellungen mit Intuitiver Bedienung zu tun. Komplexitiät möglichst zu reduzieren und für den User zugänglicher zu machen, beherrscht keiner so gut wie Apple.

Das Firewall-Thema wird doch künstlich aufgebauscht weil man im Windows-Lager nunmal in Windows-Kategorien denkt und dort (Heise.de) ist der Ansatz der Leopard-Firewall gar nicht verstanden worden.

Ausserdem liest sich das überall so als ob Leopard nun plötzlich "unsicherer" geworden sei.
DAS IST FALSCH

Richtig hingegen ist, das ich unter Windows mich sehr wohl und ausgiebig mit der Sicherheit des Betriebsssytems auseinandersetzen muss, gerade weil es grundsätzlich eine schlechtere Sicherheitsarchitektur hat. (Prorgramme haben beim installieren alle "root"-Rechte etc.)

Windows-Techniker, Windows-Programmierer, Windows-Denke, dass ist der Fehler der hier gemacht wird.

Ich mache mir als Anwender keine Gedanken um Viren und Trojaner, warum auch eine "Scheindiskussion". Ich rate allen zur Gelassenheit, die ist angebracht.

Ansonsten empfehle ich zum Thema einen sehr guten Bericht von Mac-TV.

rgoetz Dir mal folgende Frage zum Nachdenken: Warum läuft dann ein Prozess als root wenn Du ihm nicht traust? Warum lässt Du ihn überhaupt laufen? DAS ist doch dann die eigentliche Frage.

NetBIOS/SMB läuft nicht wenn Filesharing nicht aktiv. Wie kommst Du zu der Aussage? Kannst Du erläutern wie man das Szenario nachstellen kann?

Alexander Schaaf

Erstmal ich komme nicht aus dem Windowslager, sondern wenn dann aus der Linux/Unix-Ecke.

Trotzdem kann ich deine Gelassenheit nicht teilen. Viele Server-Dienste (samba, apache, ntp, ...) hat Apple aus der OpenSource-Unix/Linux/BSD-Welt übernommen. Aber auch dort ist man sich bewusst, dass kein Program fehlerfrei ist. Folgelich wird für jedes Program irgendwann ein Exploit auftauchen. Und einige davon werden auch remote ausnutzbar sein.
Ergo sollte man die Zugriff auf alle Dienste, die ein bestimmter Rechner nicht anbieten soll, verboten sein (unabhängig davon wir man dies realisiert).
Apple nimmt aber nun alle root-Prozesse von dieser Regel aus, selbst wenn der Anwender " Block all incoming connections" auswählt. Wird nun z.B. samba-netbios exploitet wird ein Rechner angreifbar, obwohl der Anwender dort sich der Gefahr gar nicht bewusst ist (er will ja samba im Netz gar nicht anbieten).

Die Idee Zugriffsrechte (zu denen ich auch die Möglichkeit von remote-Zugriffe auf einen Dienst zählen würde) an Hashes der jeweiligen Programme zu binden, ist an sich nicht schlecht. Ähnlich Konzepte gibt es auch anderswo. Schlecht sind nur die Ausnahmen, die Apple einbaut und so geschlossene Türen hinstellt, von denen der 0815-Anwender nichts ahnt, die aber ein Angreifer - passenden Explot vorausgesetzt - ausnuzten könnte.
Und den passenden Exploit wird es irgendwann geben.



Bis dann

R"udiger

Man kann ja aber gerne diskutieren ob der Apple-Ansatz Erfolg haben wird. Ich persönlich finde ihn gut. Denn ipfw oder eine Oberfläche zu diesem klassischen Firewall-Ansatz ist doch nur was für Freaks, Firewall-Admins und Betreiber von Servern. Jeder normale User ist damit überfordert, und ich denke im Ergebniss kontraproduktiv.

Dagegen ist der Ansatz von Apple innovativ, wenn auch nicht von Apple erfunden. Was sich auf Dauer als sicherer durchsetzt wird die Zeit zeigen.

Aber so zu tun als wären bei Apple alle dämlich ist auch daneben. Mit dem Sandboxing, Mandatory Access und code signing haben sie sich schon was überlegt.

Ich denke mal wer den Ansatz nicht mag wird die Apple-Firewall komplett abschalten und wie bisher direkt mit ipfw oder einen Frontend dazu die klassische Firwall konfigurieren.

Der Autor des heise Artikels gesteht sich auch inzwischen ein, dass seine Interpretationen wohl nicht so gelungen waren.

rgoetz Nein, eben nicht der Zugriff zum Dienst soll verboten sein sondern der Dienst soll gar nicht erst laufen! Es ist doch dämlich ihn einerseits zu starten und andererseits vor Angst es könnte was schief gehen, ihn dann an der Firewall abzuklemmen. Ähhh? Wie passt das zusammen?

Natürlich haben die Anwendungen auch Fehler, das bestreitet ja niemand. Nur wer sie deswegen komplett abnabeln will hat was nicht verstanden. Nämlich warum Apple sie in eine Sandbox hat und mittels MAC deren Zugriff auf ein Minimum reduziert. Deshalb laufen ja anfällige Sachen wie Spotlight oder QuickTime in dieser Konfiguration.

Recht gebe ich Dir, dass der Dialogtext in der GUI überarbeitet gehört. Dort muss stehen, dass Bonjour und Systemdienste immer erreichbar bleiben sofern eingeschaltet. Und per Default ist außer Bonjour NIX eingeschaltet.

rgoetz Das Standard-Linux (aus dessen Ecke Du kommst wie Du schreibst) kennt solche Konzepte ja gar nicht. Evtl. hast Du Dir mal die gehärteten Linux-Derivate von Novell oder Astaro angesehen. Die haben ähnliche Konzepte. Ich denke, da hat Apple das auch her. Nur das Apple das halt für Endanwender adaptiert haben.

Interessante Frage wäre mal, wie es bei OS X Server aussieht. Ist da die gleiche Oberfläche aktiv oder gibt es eine/zusätzlich eine für ipfw?

gasponde

Ich sizte momentan in der Firma. Meine Macs stehen zu Hause.
Insofern kann ich es nicht checken. Aber IIRC gibt es nur ein "Filesharing" ein/aus, keine Trennung für samba, afp und nfs. Wenn ich (z.B.) nur afp brauche, werden troztdem auch samba gestartet. (Ausserdem habe ich erst gestern meinen Leopard bekommen und wollte heute abend die erste Testinstallation machen)

Zu deinem anderen Einwand: Nicht ich starte den prozess als root sondern Apple. Und Apple definiert welche Prozesse gestartet werden. Manche Prozesse brauchen auch nur über loopback zu kommunizieren (Beispiel ssh root@localhost ist eine nette Abkürzung um saubere root-Logins zu bekommen. dazu muss aber sshd laufen, darf/soll aber in der FW dicht sein).

Ein anderes Beispiel : syslogd. Zumindes unter Linux läuft dieser als root und kann auch (entsprechende Konfig vorausgesetzt) remote-Ereignisse loggen. Soll deshalb syslogd in jedem Fall an dem Port lauschen?

Noch ein Beispiel. Die Standard ntp-Version ist Client und Server in einem. Wenn ich die Uhr auf meinem Mac gegen eine Timerserver im Internet syncen will, heisst das noch lange nicht, dass ich meine Rechner auch als ntp-Server anbieten will.

Es geht hier mehr um prinzipielle Sicherheits Überlegungen. Jeder offene Port ist ein potenzielles Sicherheitsrisiko. Und jeder Überflüssig Port erst recht. Apple ist hier entschieden zu großzügig mit dem Öffnen von Ports

Bis dann

R"udiger

rgoetz Stimmt, die Sharing-Dienste sind mittlerweile alle zusammengefasst. Vermutlich weil viele User es nicht gecheckt haben. Gut, hier sollte ruhig ein Unterpunkt rein um Windows-Sharing explizit auszuklammern. Samba sehe ich auch nicht als ungefährlich an.

Für SSH solltest Du dann aber Deinen SSH-Demon konfigurieren, dass er außerhalb z.B. Deines Netzes niemanden zulässt. So hab ich das gemacht. Aber das ist nix mehr für Normaluser, was Du dann brauchst ist eine GUI oder ein Konfigfile für sshd. Jetzt mal ehrlich, wie viele normale Mac-User verwenden sshd? Also klarer Fall für Drittsoftware, sei es als ipfw-GUI oder sshd-GUI. Apple liefert sowas nicht mit, auch wenn es schön wäre. Vielleicht hat OS X Server sowas.

Danke für die Erläuterung zu ntp. Das war mir nie klar, dass das beide Richtungen beinhaltet. Seitdem ich OS X einsetze war es mir ein Rätsel warum ntp von allen Rechnern akzeptiert wird. Ich hab das aber bei mir im Router dicht gemacht.

Feinschliff tut noch Not. Aber das Konzept von Leopard an der Stelle gefällt mir. Und Tiger hatte an der Stelle ja gar nix (ach ja, ein rudimentäres ipfw-Frontend mit dem Du Deinen sshd-Zugang aber auch nicht hättest großartig konfigurieren können).

@rgoetz:
Ich hatte Dich gar nicht persönlich angesprochen was die Windows-Beispiele anging.

Dein Beitrag ist gespickt von "wenns" und von "evtl." etc.

Mehr Gelassenheit würde Dir gut tun. Selbst wenn ein Port offen ist wie ein Scheunentor bezweifele ich das es jemand schafft auf OS X ohne Zustimmung des Anwenders "root-Rechte" zu erlangen und ein Schadprogramm auszuführen.

Man hat es in den letzten 5 Jahren nicht erlebt und das hat einen guten Grund, es gibt eine Plattform die es den Exploits so einfach macht wie keine andere und das ist nunmal Windows.

Das OS X kein reines BSD ist, weisst Du sicherlich...
Mac-TV erklärt eigentlich sehr schön wie und warum gerade dieser Heise-Beitrag schlicht Falsch ist und war:

Was bedeutet das?
Zitat: "...nach dem ipfw de BSD-Subsystem..."

Ich verstehe wirklich den Sinn nicht.

Hallo,

Alexander Schaaf

Das Windows momentan das attraktivere Ziel ist, ist unbestritten. Aber zum einen Mac OS X gewinnt an Bedeutung und wird somit auch an "anderer" Stelle attraktiver. Und das Sicherheitsbewusstsein der OSX-User scheint mir auch nicht besser ausgeprägt zu sein als bei Windowsusern. Das teilweise blinde Vertrauen in die Fähigkeiten von Apple und die Sicherheit durch gerimnge Verbreitung, sieht mir ziemlich ungesund aus. Das liegt eine Gefahr drin.

> Selbst wenn ein Port offen ist
> wie ein Scheunentor bezweifele
> ich das es jemand schafft auf
> OS X ohne Zustimmung des
> Anwenders "root-Rechte" zu
> erlangen und ein Schadprogramm
> auszuführen.

Ich fürchte das geht einfacher als du denkst. Samba hatte z.B. in der Vergangenheit einiger remote-Lücken. In der Regel wurden diese schnell genug gepatcht durch Sicherheitsupdates. Und regelmässig Pflege seines Systems ist sicher eine wichtige Säule eines Sicherheitskonzepts (wobei auch bei diesen Apple in Einzelfällen arg spät dran war).
Ein andere ist aber die Zugriffsmöglichkeiten restriktiv zu handhaben. Und dies tut Apple im Moment nicht wirklich. So gut das Grundkonzept auch ist.

Im Übrigen hätte Apple statt "Block all incoming connections" etwas wie "Block all non-system incoming connections" geschrieben, wäre kein falscher Eindruck entstanden.

Zum Thema Gelassenheit: Ich werde wenn Leopoard bei mir läuft sofort nach Möglichkeiten suchen, diese Berechtigungen feiner einzustellen. Insofern mach ich mir um meine Rechner weniger Sorgen. Eher schon um den MacOS-"Lebensraum" als ganzes und den Ruf von MacOS als sichere Alternative.

Bis dann

R"udiger

Hallo,

Noch ein Punkt der nach meinem bisherigem Kenntnisstand bei der Applikationfirewall schwer zu lösen ist. Was wenn man bestimmte Dienste (z.B. sshd oder samba) nur für ein bestimmtes Subnetz zulassen will. Bei ipfw ging das über die Kommandozeile und entsprechende Regeln. Bei der neuen Firewall scheint man dafür bisher auf ipfw zurückgreifen zu müssen.

Allerdings ist dies auch etwas, dass über den Aufwand hinausgeht, den 0815-User treiben will, kann und soll. Trotzdem sollte es möglich sein, da wo es nötig ist.

Bis dann

R"udiger

Hallo,

tip

1. In dem Zitat (bzw. Original fehlt ein s .
2. Leopard verfügt über zwei Firewalls, die sich ggfs auch ergänzen.
a) Die klassiches Packetfilter-Firewall des BSD-Systems mit Namen ipfw. Diese wurde bis Tiger von Apple als Firewall eingesetzt. Ist aber m.W. bei Leopard immer aus, sofern man sich ncith im Terminal aktiviert.
b) Die neue Applikationfirewall über die hier (und anderswo) ja schon einige gesagt wurde.

Sind beide aktiv, so greift der Packetfilter zuerst und nur das was den Packetfilter passiert, wird von der Applikation-Firewall bearbeitet.


Bis dann

R"udiger

rgoetz
Danke für die Erläuterung!

@mtn: Woher bezieht ihr eigentlich immer diese genialen Infos? Natürlich wird der RAM nicht geprüft, wozu sollte er auch geprüft werden? Speicherüberläufe kann man so ganz sicher nicht feststellen.

rgoetz

Natürlich kannst Du Samba deaktivieren.
Einfach auf Optionen klicken und den Haken entfernen (bei mir war der noch nicht mal gesetzt)?!
Das ist zwar Systemweit für alle Freigaben, aber es geht.

all:
Ich empfehle euch die Mac-TV Sendung zu diesem Thema.
Wirklich klasse dargestellt.

Heise sollte sich am Besten diese Sendung gleich auch anschauen