löchrige leopard firewall

Ebenso scheint die osx app firewall programme zu beschädigen:


"... Das System merkt sich diese Auswahl und trägt sie in die Ausnahmeliste der Firewall ein. Dabei versieht Apple bis dato unsignierte Programme mit einer digitalen Signatur. Wenn sich das Programm später ändert, verfällt auch die Erlaubnis.

Firewall-Einstellungen

Problematisch wird das Code-Signing, wenn ein Programm selbst seine eigene Integrität überprüft und dabei dann feststellt, dass sich die Datei auf der Festplatte geändert hat. So ändert die Apple-Signatur der Firewall die Prüfsumme von Skype:

MD5 (Skype) = 9d7fa7f77b8dc2a3c2ae61737a373c11
MD5 (Skype-org) = 4245cb201a94c76ddcb54b1cc1e58cfa

und Skype meldet beim Start von der Kommandozeile nur noch:

Main starting
Check 1 failed. Can't run Skype"

http://www.heise.de/security/news/meldung/98460
 
Oh man, das endet hier langsam in Dampfplauderei.
Alleine schon dieser Link http://www.oschad.de/wiki/index.php/Virenscanner der Aussagen enthält wie:
Virenscannern kann man nicht trauen, denn sie kennen nie alle Schädlinge.

Selbst wenn der Scanner nur 5% der Viren auf einem System erkennen würde, ist die Chance 5% besser als Ohne Scanner. Da ich nicht eine einzige Infizierte Datei ausfindig mache bin ich dann wohl völlig Vertauensunwürdig.
 
Tzunami schrieb:
Selbst wenn der Scanner nur 5% der Viren auf einem System erkennen würde, ist die Chance 5% besser als Ohne Scanner. Da ich nicht eine einzige Infizierte Datei ausfindig mache bin ich dann wohl völlig Vertauensunwürdig.
Zum Vergrößern anklicken....
Was hast Du denn erwartet? :rotfl:

Prinzipiell ist die Aussage zwar richtig, man sollte sie aber stark differenzieren. Das Thema mit der 100-Prozent-Sicherheit ist so alt wie die Geschichte mit dem Huhn und dem Ei. Aus dem Grund: :teeth:

Nichts anderes schreibt der gute Mensch aber auch etwas weiter unten...
 
Das sollte mittlerweile wohl jedem klar sein, dass es keine 100%ige Sicherheit gibt. Man kann höchstens versuchen ein hohes Maß an Sicherheit zu erreichen, aber ohne Software die andere programmiert haben ist so was nur schwer umzusetzen (wenn man nicht selber ein Programmierer As ist).

Wenn man das höchste maß an Sicherheit will, fallen in der Regel Anwendungen von fremden Personen schon mal flach (dazu zähl auch Open Souce, oder der ganzen Code muss vollständig überprüfen).

100%ige Sicherheit gibt es nur im Märchen.
 
zum glück habe ich mir vor wochen Little snitch gekauft, was auch auf Leopard funktioniert
 
Snitch schützt aber nicht vor angriffen aus dem Netz. LS unterbindet unerlaubte Verbindungen von innen (ein Beispiel wäre ein Trojaner)
 
SirSalomon schrieb:
Jeder, der sich außerhalb der eigenen vier Wände einwählt, sollte so oder so nicht mit einem "nackten" Mac losziehen.
Zum Vergrößern anklicken....
Ok.
Ist aber schon ärgerlich, da man als normaler Macuser sehr wohl davon ausgeht, daß die Werkseinstellungen auch für das Surfen unterwegs genug Sicherheit bringen.

Dazu gehört dann auch mehr wie nur der Port-Filter vom OSX ;)
Zum Vergrößern anklicken....
Und was braucht man noch mehr?
 
Nachdem ich mich jetzt ein bisschen damit beschäftigt habe, denke ich, es ist noch zu früh, eine abschließende Aussage über die Sicherheit von Leopard und die "löchrige" Firewall zu wagen.

Apple scheint beim Leopard einen ganz neuen Ansatz gewählt zu haben. Die traditionelle Firewall ipfw ist beim Leo zwar noch an Bord, aber abgeschaltet. Apple scheint eine neue Lösung auf die bestehende Firewall gesetzt zu haben - die arbeitet applikationsbasiert, d. h. Dienste und Programme erhalten die Erlaubnis zur Kommunikation. Dazu ist in Leopard ein neues Code Signing-Verfahren vorhanden.

Die bisherigen Artikel auf heise.de beschäftigen sich in erster Linie mit der Firewall, die nicht wie gewohnt funktioniert. Gestern haben sie jetzt erstmals die neue, applikationsbasierte Lösung erwähnt:

"Zum Hintergrund: Anders als bei Tiger arbeitet die Firewall in Leopard nicht mehr auf Paketebene, sondern mit Applikationen, denen sie bestimmte Netzwerkaktivitäten gestattet oder verweigert. Um Applikationen eindeutig zu identifizieren, arbeitet Apple mit den ebenfalls bei Leopard neu eingeführten Codesignaturen. Dabei haben bestimmte, von Apple signierte Programme automatisch das Recht, an der Firewall vorbei mit dem Netz zu kommunizieren."

http://www.heise.de/newsticker/meldung/98460

Dass zwei Hersteller - Skype und WoW - mit der Signatur Schwierigkeiten haben, ist natürlich unschön. Trotzdem ist das für Mac-User eher eine gute Nachricht, denke ich: Zeigt es doch, dass das neue Mac OS trotz nicht wie gewohnt funktionierender Firewall mit einem Schutzkonzept versehen ist.

Wie das Schutzkonzept aussieht, ist etwa hier zu sehen:

gp.darkproductions.com-diagram-01.jpg


Der dazugehörige Text vermittelt einiges an Hintergrundwissen, das über das bisher bekannte hinaus geht:

http://gp.darkproductions.com/2007/11/leopard-firewall-testing-analysis-and.html

Ob diese applikationsbasierte Lösung besser oder schlechter ist als bisherige Ansätze, wird sich zeigen müssen. Aber ich halte Aussagen darüber jetzt für verfrüht - noch tappen alle Experten, auch die bei heise, eher im Dunkeln und keiner weiß genau, was und wie Apple das gemacht hat.

Ich denke aber, es wird Zeit, dass sich Apple zur Sache äußert und eine Dokumentation vorlegt.
 
Es gibt jetzt ein Dokument zur neuen Firewall auf Apples Seiten:


Es scheint also Absicht zu sein, dass bestimmte (signierte) Systemdienste generell durch die Firewall können.
 
Eher Binarys signiert werden von irgendeiner Software haben die den Source zu veröffentlichen...
 
wo auch immer der sinn drin ist, dienste die unter root laufen generell von der firewall auszunehmen...

da guckte ich gerade mal nach, was alles mit root läuft und musste dann mit erstaunen feststellen, dass ps ein suid-binary, also auch mit root läuft. da frag ich mich, was so was soll...
 
Apple schrieb:
Block all incoming connections

This is the most conservative mode. Mac OS X will block all connections except those important to the operation of your computer
Zum Vergrößern anklicken....
.Das scheint mir ein Widerspruch zu sein. Beim Design der neuen Application Firewall, die ja grundsätzlich begrüßenswert ist, hat Apple meiner Ansicht nach eine ganze Reihe von Fehlentscheidungen getroffen. Das ist mE eine davon.
 
maceis schrieb:
.Das scheint mir ein Widerspruch zu sein. Beim Design der neuen Application Firewall, die ja grundsätzlich begrüßenswert ist, hat Apple meiner Ansicht nach eine ganze Reihe von Fehlentscheidungen getroffen. Das ist mE eine davon.
Zum Vergrößern anklicken....

Ja, ich verstehe, was du meinst: Nach dem bisherigen Verständnis wäre es das ein schwerer Fehler. Aber: Hier werden ja nicht dauerhaft Ports offen gehalten, was dann von Angreifern ausgenutzt werden könnte. Sondern nur von Apple signierte Systemdienste dürfen durch die Firewall - und jede Veränderung bzw. Manipulation an deren Code führt zum Erlöschen der "Durchgangs-Erlaubnis". Zumindest habe ich das bis jetzt so verstanden.
 
Das mag schon sein, aber:
  1. "Block all incoming connections" bedeutet nun mal alle eingehenden Verbindungen verwerfen und das tut es nicht
  2. Gibt es keine Möglichkeit mit der neuen Firewall wirklich dicht zu machen
  3. Können nicht nur von von Apple signierte Systemdienst durch die Firewall sondern alles was von draußen kommt, sobald innen von Apple signierte Systemdienste aufmachen.
  4. Die Ports bleiben dann offen - dauerhaft.
  5. Können auch von Apple signierte Systemdienste fehlerhaft sein, was dann von Angreifern möglicherweise ausgenutzt werden könnte
Zum Glück bleibt die ipfw erhalten und setzt unterhalb der Application Firewall auf den tcp/ip Stack auf. Das heißt was ipfw blockt kommt gar nicht bis zur Application Firewall.
Es gibt außerdem noch eine wesentliche Verbesserung in Leo, die kaum diskutiert wird, aber dafür sorgt, dass die Ausnutzung von Pufferüberläufen nahezu unmöglich wird (Library Randomization).
 
oneOeight schrieb:
wo auch immer der sinn drin ist, dienste die unter root laufen generell von der firewall auszunehmen...

da guckte ich gerade mal nach, was alles mit root läuft und musste dann mit erstaunen feststellen, dass ps ein suid-binary, also auch mit root läuft. da frag ich mich, was so was soll...
Zum Vergrößern anklicken....

Wenn du jetzt ps selbst meinst, das lief schon unter Tiger mit UID 0. In anderen OSes wie z.B. SuSE Linux hingegen mit User Rechten.
Jetzt unter Leopard ist das schon kritischer zu sehen.

Irgendwie wirkt das Firewallkonzept gut im Ansatz, doch nicht ganz konsequent durchdacht, aber es fehlen (mir zumindest) auch weitergehende Infos dazu.


benjii schrieb:
(...) Sondern nur von Apple signierte Systemdienste dürfen durch die Firewall - und jede Veränderung bzw. Manipulation an deren Code führt zum Erlöschen der "Durchgangs-Erlaubnis". Zumindest habe ich das bis jetzt so verstanden.
Zum Vergrößern anklicken....

Diese trusted apps database habe ich auch so verstanden.
Allerdings scheint mir dieses Interpreter Verhalten, von dem in deinem verlinkten Artikel die Rede ist, tatsächlich problematisch zu sein:

when allowing an interpreter to create a listing socket, you allow any application/script run by that interpreter to create listening sockets
Zum Vergrößern anklicken....
 
Ich weiß nicht, was Ihr für ein Problem mit 'ps' habt.
Zum Einen mach 'ps' (zumindest nach meinem Kenntnisstand) keine Sockets auf.
Zum Anderen könnt Ihr doch das SUID Bit ganz einfach entfernen, wenn Ihr der Meinung seit das ist dennoch schädlich (was ich noch nicht so ganz nachvollziehen kann).
Die Funktionsweise der ApFW kann nicht (bzw. kaum) den persönlichen Bedürfnissen angepasst werden. Das finde ich persönlich viel unerfreulicher.
 

Ähnliche Themen

M
Zusätzliche Firewall sinnvoll?
2
Antworten
37
Aufrufe
1.659
lisanet
lisanet
T
MacMini mit Snow Leopard klonen
2
Antworten
29
Aufrufe
540
twmem
T
EinJochen
Bootfähigen Leopard USB Stick unter Ventura erstellen
Antworten
16
Aufrufe
768
EinJochen
EinJochen
Terabyte100
Spiele für mac os Leopard (ppc)
Antworten
13
Aufrufe
691
Terabyte100
Terabyte100
Zurück
Oben Unten