Little Snitch Hilfe

Warnungen

Die primäre Aufgabe von Little Snitch ist das Überwachen der Internetverbindungen von Programmen. Dabei kann es sein, dass Little Snitch Unregelmäßigkeiten an Programmen bemerkt. Ist das der Fall, wirst du darüber informiert.

„App Translocation“-Warnung

Dies ist nur ein Hinweis, der darüber informiert, dass für den Prozess keine permanenten Regeln möglich sind.

App Translocation ist ein Sicherheitsmechanismus, den Apple mit macOS 10.12 (Sierra) eingeführt hat. Wenn ein Programm nicht „richtig“ installiert ist, wird es vom Betriebssystem zum Start mit einem zufälligen Pfad im Dateisystem verknüpft, normalerweise irgendwo in /private/var/folders/. Diese Pfad-Randomisierung verhindert, dass das Programm Ressourcen nachladen kann, die gemeinsam mit dem Programm ausgeliefert wurden. Dieses Nachladen von Ressourcen wird oft von Schadsoftware genutzt, weil dabei die Code-Signatur des Programms nicht beschädigt wird. „Richtig“ installiert bedeutet, dass das Programm von einem signierten Disk-Image gestartet worden ist, oder dass es zumindest einmal im Finder kopiert oder verschoben wurde.

Warum ist das für Little Snitch relevant? Die Regeln von Little Snitch referenzieren Prozesse anhand ihres Pfades im Dateisystem. Regeln, die beim Start des Programms angelegt wurden, funktionieren beim nächsten Start nicht mehr, weil der zufällige Pfad nicht übereinstimmt.

Glücklicherweise kann das Problem leicht behoben werden. Verschiebe einfach das Programm im Finder an eine andere Stelle (und wieder zurück, wenn du es lieber am ursprünglichen Pfad haben willst).

Warnung vor internationalisierten Domänennamen

Dies ist nur ein Hinweis, der dich darüber informiert, dass der angezeigte Domänenname womöglich ein anderer ist, als er zu sein scheint.

Warning IDN

Internationalisierte Domänennamen können beliebige Unicode-Zeichen enthalten. Der Unicode-Zeichensatz enthält allerdings viele sehr ähnlich aussehende Zeichen. Mithilfe dieser Zeichen kann ein Angreifer einen Domänennamen erzeugen, der optisch von einer populären Domäne in lateinischen Zeichen nicht zu unterscheiden ist (“homographischer Angriff”). Bemerkst du zum Beispiel in dieser Domäne “applе.com”, dass das “е” ein kyrillisches Zeichen ist? Little Snitch gibt einen Hinweis, wenn es einen internationalisierten Domänennamen erkennt und zeigt zur weiteren Analyse dessen Punycode-Repräsentation an.

Warnung vor verdächtigem Programm

Dies ist nur ein Hinweis, der dich informiert, dass der Prozess möglicherweise nicht vertrauenswürdig ist.

Warning Suspicious

Fast alle Programme haben heutzutage eine gültige Code-Signatur von Apple oder einem registrierten Entwickler. Wenn Little Snitch einen Prozess ohne Code-Signatur erkennt oder wenn die Signatur mit einem Zertifikat erstellt wurde, das nicht von Apple stammt, warnt es dich in der Verbindungswarnung. Die folgenden Fälle werden angezeigt:

Warnung vor modifiziertem Programm

Diese Warnung ist nicht nur ein Hinweis, sondern sie verlangt von dir eine Entscheidung.

Bevor Little Snitch eine Erlaube-Regel anwendet, prüft es die Identität des Programms. Wenn bei dieser Prüfung eine Modifikation erkannt bzw. die Identität nicht sicher bestätigt werden kann, zeigt Little Snitch eine Warnung. Es gibt verschiedene Arten, wie die Identität überprüft werden kann und jede davon besteht aus mehreren Bedingungen. Daraus resultiert eine große Matrix an möglichen Fehlermeldungen. Alle diese Meldungen erklären, wie die Prüfung vorgenommen wurde, welche Eigenschaften erwartet wurden, was stattdessen vorgefunden wurde und warum das Programm daher die Erwartungen nicht erfüllt hat.

Warning Modified

Wie auch immer die Meldung lautet, es gibt normalerweise drei Optionen:

  1. Verbiete diese und alle weiteren Netzwerkverbindungen des Programms. Bei dieser Option wird eine Regel mit extra hoher Priorität angelegt, die alle Netzwerkverbindungen verbietet. Während das Programm so vom Netzwerk getrennt ist, hast du Zeit, den Fall zu untersuchen. Wenn du später zu dem Schluss kommst, dass die Modifikation o.k. ist und du daher die Netzwerkverbindungen wieder zulassen willst, öffne Little Snitch Konfiguration, suche nach dem Programm und doppelklicke die Regel mit extra hoher Priorität. Little Snitch erlaubt dir nun, die Identitätsprüfung anzupassen und die Regel mit extra hoher Priorität zu löschen.
  2. Akzeptiere die Änderung, wende bestehende Regeln an und passe die Identitätsprüfung so an, dass sie zum momentan laufenden Programm passt. Wähle diese Option, wenn du weißt, dass die Modifikation legitim war.
  3. Deaktiviere die Identitätsprüfung. Wenn du ein Programm ohne Code-Signatur häufig aktualisierst, kann es umständlich sein, die Identitätsprüfung jedes Mal anpassen zu müssen. Oder das Programm lädt eine nicht-signierte Bibliothek nach, wodurch die Code-Signatur ungültig wird. In so einem Fall kannst du dich dafür entscheiden, die Identitätsprüfung zu deaktivieren und das erhöhte Risiko in Kauf zu nehmen.

War dieser Eintrag hilfreich? Hinterlass uns Feedback.
© 2016-2020 Objective Development Software GmbH