2369869

Kritik an Little Snitch und Co: Patrick Wardle stellt kostenlose Firewall LuLu vor

14.08.2018 | 13:50 Uhr | Stephan Wiesend

Laut dem Sicherheitsspezialisten haben Firewalls grundlegende Schwächen, auch sein neues Tool LuLu nimmt er nicht davon aus.

Patrick Wardle hat sich als Spezialist für Mac-Sicherheit in den letzten Jahren einen guten Ruf aufgebaut. Bekannt ist er für das Aufspüren von Sicherheitslücken in iOS und macOS und auch als Programmierer zahlreicher Sicherheits-Apps. Bei den renommierten Konferenzen Black Hat 2018 und Defcon hielt er jeweils zwei interessante Vorträge, deren Präsentationen jetzt veröffentlicht wurden. Über einen der Vorträge haben wir bereits berichtet , hier ging es darum, wie Malware High Sierra mit synthetischen Mausklicks überlisten könnte. Im Vortrag „Fire & Ice: Making und Breaking macOS Firewalls“ ging es dagegen um das Thema Firewalls.

Unter macOS sind bereits mehrere Firewall-Programme für die Absicherung der Netzwerkverbindungen vorinstalliert, konfigurieren kann man sie über die Systemeinstellung Sicherheit. Diese überwacht allerdings nur eingehende Verbindungen, schützt also vor Zugriffen von außen. Will dagegen eine neue App heimlich „nach Hause“ telefonieren, bleibt dies unentdeckt. Diese Sicherheitslücke schließen bekannte Apps wie Little Snitch. Diese sind eigentlich sehr erfolgreich: Um nicht entdeckt zu werden, sucht manche Malware sogar vor dem Befall eines Macs nach einem Tool wie Little Snitch – und verzichtet in diesem Fall auf eine Installation.

Laut Präsentation findet Wardle aber bei diesen Firewalls von Drittherstellern einige Schwachstellen: Bei Little Snitch kritisiert er laut Präsentation zwei Programmfehler, die Angriffe ermöglichen, beim Konkurrenten Radio Silence eine zu einfache Filterfunktion: Das Tool blockst Prozesse nur durch ihren Namen: Ein Angreifer müsste also einfach seiner Malware nur den Namen eines Systemprozesses wie „launchd“ geben. Die dritte Software HandsOff überlistet er mit einem synthetischen Klick: Eine Malware könnte sich bei dem Programm über einen Programmbefehl selbst Zugriffserlaubnisse für Netzverbindungen verschaffen.

Es gebe aber grundsätzliche Probleme mit dem Konzept einer ausgehenden Firewall: Beim „Telefonieren nach Hause“ gebe es einfach zu viele Möglichkeiten, vertrauenswürdige Protokolle und Prozesse zu kapern und an einer Firewall vorbei zu schmuggeln. Als Möglichkeiten nennt er die Weiterleitung an eine vertrauenswürdige Domain wie iCloud (die ein Hacker missbrauchen kann) oder die Zweckentfremdung von Netzwerkverbindungen, die eine Firewall unbedingt erlauben muss. Dazu gehören etwa DNS, Nutzung eines Browsers wie Safari per Kommandozeile (dann sieht der Nutzer keine offenen Fenster) und Code Injection in einen vertrauenswürdigen Prozess. Eine vollständige Liste der Angriffsmethoden kann hier nachgelesen werden .

Grundsätzlich meint Wardle deshalb, eine Firewall allein wäre nicht ausreichend und für die optimale Sicherheit wären weitere Sicherheitslösungen auf dem Client und auch im Netzwerk selbst erforderlich.

Besser als Little Snitch? LuLu

Auch ein neues Open-Source-Tool hat Wardle zeitgleich vorgestellt , die Software LuLu. Die Funktionsweise ähnelt der von Little Snitch, nach der Installation überwacht das Tool alle Internetzugriffe von Dritthersteller-Apps. Zwei Konfigurationsoptionen sind wählbar: Man kann allen Apple-Programmen den uneingeschränkten Zugriff erlauben, auf Wunsch auch allen aktuell installierten Tools. Will nun ein neues Tool auf einen Server zugreifen, sieht der Nutzer ein Warnfenster und kann den Zugriff erlauben oder verweigern.

Ein Netzzugriff einer neuen App wird geblockt, eine Prüfung per Virustotal ist möglich.
Vergrößern Ein Netzzugriff einer neuen App wird geblockt, eine Prüfung per Virustotal ist möglich.

Dabei überprüft das Tool die Signierung einer App und kann etwa bei einem Prozess die Art der Signierung prüfen und die App über den Webdienst Virustotal von Virenscannern prüfen lassen. Nach unserem Eindruck ist die Software aber noch in einem recht frühen Entwicklungsstadium und wird auch laufend weiterentwickelt. Auf den Seiten des Programmierers ist eine lauffähige Version als Download verfügbar, auf Github eine aktuellere Version als Quellcode.

Macwelt Marktplatz

2369869