Warnungen

Die primäre Aufgabe von Little Snitch ist das Überwachen der Internetverbindungen von Programmen. Dabei kann es sein, dass Little Snitch Unregelmäßigkeiten an Programmen bemerkt. Ist das der Fall, wirst du darüber informiert.

„App Translocation“-Warnung

Dies ist nur ein Hinweis, der darüber informiert, dass für den Prozess keine permanenten Regeln möglich sind.

App Translocation ist ein Sicherheitsmechanismus, den Apple mit macOS 10.12 (Sierra) eingeführt hat. Wenn ein Programm nicht „richtig“ installiert ist, wird es vom Betriebssystem zum Start mit einem zufälligen Pfad im Dateisystem verknüpft, normalerweise irgendwo in /private/var/folders/. Diese Pfad-Randomisierung verhindert, dass das Programm Ressourcen nachladen kann, die gemeinsam mit dem Programm ausgeliefert wurden. Dieses Nachladen von Ressourcen wird oft von Schadsoftware genutzt, weil dabei die Code-Signatur des Programms nicht beschädigt wird. „Richtig“ installiert bedeutet, dass das Programm von einem signierten Disk-Image gestartet worden ist, oder dass es zumindest einmal im Finder kopiert oder verschoben wurde.

Warum ist das für Little Snitch relevant? Die Regeln von Little Snitch referenzieren Prozesse anhand ihres Pfades im Dateisystem. Regeln, die beim Start des Programms angelegt wurden, funktionieren beim nächsten Start nicht mehr, weil der zufällige Pfad nicht übereinstimmt.

Glücklicherweise kann das Problem leicht behoben werden. Verschiebe einfach das Programm im Finder an eine andere Stelle (und wieder zurück, wenn du es lieber am ursprünglichen Pfad haben willst).

Warnung vor internationalisierten Domänennamen

Dies ist nur ein Hinweis, der dich darüber informiert, dass der angezeigte Domänenname womöglich ein anderer ist, als er zu sein scheint.

Warning IDN

Internationalisierte Domänennamen können beliebige Unicode-Zeichen enthalten. Der Unicode-Zeichensatz enthält allerdings viele sehr ähnlich aussehende Zeichen. Mithilfe dieser Zeichen kann ein Angreifer einen Domänennamen erzeugen, der optisch von einer populären Domäne in lateinischen Zeichen nicht zu unterscheiden ist (“homographischer Angriff”). Bemerkst du zum Beispiel in dieser Domäne “applе.com”, dass das “е” ein kyrillisches Zeichen ist? Little Snitch gibt einen Hinweis, wenn es einen internationalisierten Domänennamen erkennt und zeigt zur weiteren Analyse dessen Punycode-Repräsentation an.

Warnung vor verdächtigem Programm

Dies ist nur ein Hinweis, der dich informiert, dass der Prozess möglicherweise nicht vertrauenswürdig ist.

Warning Suspicious

Fast alle Programme haben heutzutage eine gültige Code-Signatur von Apple oder einem registrierten Entwickler. Wenn Little Snitch einen Prozess ohne Code-Signatur erkennt oder wenn die Signatur mit einem Zertifikat erstellt wurde, das nicht von Apple stammt, warnt es dich in der Verbindungswarnung. Die folgenden Fälle werden angezeigt:

Das Programm hat gar keine Code-Signatur. Das kann durchaus auch bei legitimen Programmen vorkommen, weil die Code-Signatur (noch) nicht verpflichtend ist. Allerdings kann man nicht wissen, ob das Programm vielleicht manipuliert wurde oder eine gefälschte Version mit Schadsoftware ist.
Das Programm hat eine Code-Signatur, aber die kryptografische Überprüfung liefert ein negatives Ergebnis. Das bedeutet, dass entweder der Code des Programms selbst oder einer nachgeladenen Bibliothek modifiziert wurde, nachdem der Entwickler den Code signiert hat. Das ist beunruhigend und du solltest den Grund der Modifikation erforschen. Selbst wenn keine Schadsoftware involviert ist, könnten Dateien auf deiner Festplatte beschädigt sein.
Das Programm hat eine Code-Signatur, aber die kryptografische Überprüfung liefert ein negatives Ergebnis, weil eine Bibliothek ohne Code-Signatur nachgeladen wurde. Wahrscheinlich hat der Entwickler einen Fehler gemacht und Bibliotheken in einem Verzeichnis ausgeliefert, dessen Inhalt nicht automatisch von Xcode mit einer Code-Signatur versehen wurde. Little Snitch sagt dir, wo im Dateisystem sich die betreffende Bibliothek befindet. Inspiziere sie um festzustellen, ob sie ein legitimer Teil des Programms ist. Unsignierter Code birgt natürlich immer das Risiko, dass (böswillige) Veränderungen nicht erkannt werden.
Das Programm hat eine Code-Signatur, aber die wurde mit einem Entwickler-Zertifikat erstellt, das nicht für öffentliche Versionen gedacht ist. Das ist wahrscheinlich ein Fehler des Entwicklers, der versehentlich eine Debug-Version veröffentlicht hat. Wenn du Entwickler bist, siehst du diese Warnung für deine Debug-Versionen. Little Snitch warnt, weil Entwickler-Zertifikate leichter zu bekommen und auch leichter zu stehlen sind.
Das Programm hat eine Code-Signatur, aber die Zertifikatskette hat einen formalen Fehler. Sie enthält möglicherweise Zertifikate, die nicht zum Ausstellen weiterer Zertifikate zugelassen sind, oder hat andere formale Fehler. Diese Warnung tritt auch bei selbstsignierten Zertifikaten auf. Du solltest sehr vorsichtig sein, weil diese Art der Signatur keinen Vorteil gegenüber unsigniertem bzw. ad hoc signiertem Code bringt. Vielleicht wollte nur jemand eine gültige Code-Signatur vortäuschen.
Das Programm hat eine Code-Signatur, aber das Root-Zertifikat der Zertifikatskette ist nicht von Apple. Apple vergewissert sich vor der Ausstellung eines Zertifikats, dass der Name des Entwicklers und dessen Team-Identifikator stimmen. Zertifikate anderer Aussteller enthalten diese Informationen möglicherweise nicht, außerdem kann die enthaltene Information auch falsch sein. Little Snitch weiß daher nicht, ob es dem Zertifikat vertrauen kann.
Das Programm ist wieder beendet, bevor Little Snitch die Code-Signatur prüfen konnte. Du kannst die Verbindungswarnung einfach schließen, weil das Programm ohnehin nicht mehr läuft. Dieser Fall sollte eigentlich nicht auftreten, aber wir können ihn nicht mit völliger Sicherheit ausschließen.

Warnung vor modifiziertem Programm

Diese Warnung ist nicht nur ein Hinweis, sondern sie verlangt von dir eine Entscheidung.

Bevor Little Snitch eine Erlaube-Regel anwendet, prüft es die Identität des Programms. Wenn bei dieser Prüfung eine Modifikation erkannt bzw. die Identität nicht sicher bestätigt werden kann, zeigt Little Snitch eine Warnung. Es gibt verschiedene Arten, wie die Identität überprüft werden kann und jede davon besteht aus mehreren Bedingungen. Daraus resultiert eine große Matrix an möglichen Fehlermeldungen. Alle diese Meldungen erklären, wie die Prüfung vorgenommen wurde, welche Eigenschaften erwartet wurden, was stattdessen vorgefunden wurde und warum das Programm daher die Erwartungen nicht erfüllt hat.

Warning Modified

Wie auch immer die Meldung lautet, es gibt normalerweise drei Optionen:

Verbiete diese und alle weiteren Netzwerkverbindungen des Programms. Bei dieser Option wird eine Regel mit extra hoher Priorität angelegt, die alle Netzwerkverbindungen verbietet. Während das Programm so vom Netzwerk getrennt ist, hast du Zeit, den Fall zu untersuchen. Wenn du später zu dem Schluss kommst, dass die Modifikation o.k. ist und du daher die Netzwerkverbindungen wieder zulassen willst, öffne Little Snitch Konfiguration, suche nach dem Programm und doppelklicke die Regel mit extra hoher Priorität. Little Snitch erlaubt dir nun, die Identitätsprüfung anzupassen und die Regel mit extra hoher Priorität zu löschen.
Akzeptiere die Änderung, wende bestehende Regeln an und passe die Identitätsprüfung so an, dass sie zum momentan laufenden Programm passt. Wähle diese Option, wenn du weißt, dass die Modifikation legitim war.
Deaktiviere die Identitätsprüfung. Wenn du ein Programm ohne Code-Signatur häufig aktualisierst, kann es umständlich sein, die Identitätsprüfung jedes Mal anpassen zu müssen. Oder das Programm lädt eine nicht-signierte Bibliothek nach, wodurch die Code-Signatur ungültig wird. In so einem Fall kannst du dich dafür entscheiden, die Identitätsprüfung zu deaktivieren und das erhöhte Risiko in Kauf zu nehmen.