Vielleicht bin ich paranoid (wer LittleSnitch einsetzt hat sowieso einen leichten Hang dazu) aber - ich glaube, die neue Version 1.1 telefoniert selber nach Hause. Ich rede hier von der Version 1.1 - erschienen am 14.01. unter http://www.versiontracker.com/dyn/moreinfo/macosx/17642 Wenn LittleSnitch 1.1 installiert und aktiv ist und man im Terminal eingibt sudo lsof -i bekommt man die z.Zt. offenen Netzwerkverbindungen angezeigt. Siehe auch http://www.westwind.com/reference/OS-X/commandline/admin.html#lsof lsof List all files currently open by me and my processes. sudo lsof List all files currently open on the entire system. sudo lsof -i List all open network connections on the entire system. So, wie es lt. Terminal aussieht, stellt LittleSnitch hier zweimal eine dauerhafte Verbindung über UDP her. Das kann es doch nicht sein, oder? Die ältere Version 1.1rc5 legt dieses Verhalten nicht an den Tag. Man kann das auch ganz leicht selber testen, indem man z.B. ein ftp-Programm startet, dann mit sudo lsof -i testet, sich dann mit einem ftp-Server verbindet und wieder mit sudo lsof -i testet. Kann es also sein, dass das aktuelle LittleSnitch selber zur Spyware wurde?
Ich würde mal behaupten, dass Du Recht hast. Little Snitch ist das Tool schlechtin in der Hacker/Cracker-Szene, um zu verhindern, dass Software (ev. ungültige) Freischalt-Schlüssel validieren kann - und ist dementsprechend selber zig-fach gehackt. Gut möglich also, dass die Programmierer von LittleSnitch das nun genau mit der Methode verhindern wollen, mit der auch andere Software illegale Keys zu sperren versuchen. Gruss Andreas
Das war es dann wohl mit dem "einen" Programm die anderen zu Knechten. Der Schatz ist wohl nun weg, oder aber man kauft eben diesen Ring und hat dann wieder die Macht. Wobei ein Anti-nach-Hause-telefonier-Programm, das selbst wieder etwas in dieser Richtung macht - etwas komisch ist...
Installier dir doch einfach die Vorversion, die das nicht macht. Die dürfte im Funktionsumfang vielleicht weniger bieten, aber genausogut schnüffeln, wie das neue. Ach ja: Danke für den Tipp ... ich verzichte damit auf weitere Updates. maX
Die Programmierer von LittleSnitch (Österreicher! Kann da mal jemand vorbeischauen?) haben sich zur Version 1.1 geäussert und schwören Stein und Bein, dass LS nicht nach Hause telefoniert. These udp connections are used to check in regular intervals wether some other kernel module has Little Snitch kicked out of the kernel. Like FirewalkX does. It is a local communication over the loopback interface with his own kernel module. OK, muss jeder selber wissen, ob er das glaubt. Klingt logisch - ist aber nicht 100% überprüfbar.
wenn z.B. tcpdump an Bord ist, kann man mit "sudo tcpdump -i en0 ip protochain \\udp" die Headers (u.a. source-,dest-IP) sehen, da müssen die UDP-Pakete dann Farbe bekennen ;-) ganz ähnlich macht das auch tcpflow (z.B. bei www.entropy.ch) hakru
Eine Frage: Nach welchen Angaben im Terminal bei Eingabe von sudo lsof -i schliesst du darauf, dass es sich um LS handelt?
ich habe LittleSnitch nicht, aber in der Liste von "lsof ..." sind in jeder Zeile vorne die Programme angegeben ... da muss also Safari, LittleSnitch etc. stehen ... hakru
Bei mir lauten die 3 letzten Zeilen dann: cupsd 312 root 2u IPv4 0x017ea700 0t0 UDP *:ipp LittleSni 363 frank$ 6u IPv4 0x017ea080 0t0 UDP *:* LittleSni 363 frank$ 7u IPv4 0x017e9fb0 0t0 UDP *:* Kann aber jeder selber überprüfen mit LS 1.1...
Ich setz mal mein Protokoll dazu: sudo lsof -i Password: COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME syslogd 78 root 4u IPv6 0x0189ef20 0t0 UDP *:syslog syslogd 78 root 5u IPv4 0x0189ee50 0t0 UDP *:syslog configd 86 root 9u IPv6 0x01aaff20 0t0 ICMPV6 *:* configd 86 root 10u IPv6 0x01aafe50 0t0 ICMPV6 *:* configd 86 root 11u IPv4 0x0189ebe0 0t0 UDP *:bootpc netinfod 116 root 6u IPv4 0x0189ed80 0t0 UDP localhost:netinfo-local netinfod 116 root 7u IPv4 0x01995d8c 0t0 TCP localhost:netinfo-local (LISTEN) netinfod 116 root 8u IPv4 0x01a98214 0t0 TCP localhost:netinfo-local->localhost:ftps (ESTABLISHED) mDNSRespo 168 nobody 4u IPv4 0x0189e220 0t0 UDP *:mdns Directory 195 root 5u IPv4 0x01a9877c 0t0 TCP localhost:ftps->localhost:netinfo-local (ESTABLISHED) Directory 195 root 6u IPv4 0x0189e7d0 0t0 UDP *:* Directory 195 root 7u IPv4 0x01c4b008 0t0 TCP *:* (CLOSED) Directory 195 root 17u IPv4 0x0189de10 0t0 UDP *:* Directory 195 root 18u IPv4 0x01993d1c 0t0 TCP *:* (CLOSED) cupsd 284 root 0u IPv4 0x019947ec 0t0 TCP localhost:ipp (LISTEN) cupsd 284 root 2u IPv4 0x0189dee0 0t0 UDP *:ipp automount 297 root 7u IPv4 0x0189ea40 0t0 UDP localhost:1023 ntpd 299 root 5u IPv4 0x0189eb10 0t0 UDP *:ntp ntpd 299 root 6u IPv4 0x0189e970 0t0 UDP localhost:ntp ntpd 299 root 7u IPv4 0x0189e8a0 0t0 UDP 10.0.1.2:ntp automount 312 root 7u IPv4 0x0189e630 0t0 UDP localhost:1022 xinetd 329 root 5u IPv6 0x01b54e80 0t0 ]b]TCP[/b] *:ftp AirPort 379 franktrewendt 8u IPv4 0x0189dd40 0t0 UDP *:mdns AirPort 379 franktrewendt 11u IPv4 0x0189e2f0 0t0 UDP *:* Mail 430 franktrewendt 11u IPv4 0x01992ce4 0t0 TCP 10.0.1.2:51203->a17-250-248-64.apple.com:imap (ESTABLISHED) Mail 430 franktrewendt 21u IPv4 0x01bda7b4 0t0 TCP 10.0.1.2:51206->a17-250-248-64.apple.com:imap (ESTABLISHED) TextEdit 575 franktrewendt 10u IPv4 0x02569490 0t0 TCP localhost:50683->localhost:ipp (CLOSE_WAIT) TextEdit 575 franktrewendt 11u IPv4 0x01bc4d1c 0t0 TCP localhost:50684->localhost:ipp (CLOSE_WAIT) Quicksilv 652 franktrewendt 10u IPv4 0x01995824 0t0 TCP *:50726 (LISTEN) ----------------------- Safari wird hier gar nicht aufgelistet, obwohl er aktiv ist.
Mein Protokoll: sudo lsof -i Password: COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME syslogd 81 root 4u IPv6 0x01b4df20 0t0 UDP *:syslog syslogd 81 root 5u IPv4 0x01b4de50 0t0 UDP *:syslog configd 89 root 9u IPv6 0x02025f20 0t0 ICMPV6 *:* configd 89 root 10u IPv4 0x01b4dbe0 0t0 UDP *:bootpc netinfod 119 root 6u IPv4 0x01b4dd80 0t0 UDP localhost:netinfo-local netinfod 119 root 7u IPv4 0x01ca7d8c 0t0 TCP localhost:netinfo-local (LISTEN) netinfod 119 root 8u IPv4 0x020ddf98 0t0 TCP localhost:netinfo-local->localhost:935 (ESTABLISHED) mDNSRespo 189 root 4u IPv4 0x01b4dcb0 0t0 UDP *:mdns automount 302 root 7u IPv4 0x01b4db10 0t0 UDP localhost:1023 automount 305 root 7u IPv4 0x01b4d970 0t0 UDP localhost:1022 Directory 328 root 5u IPv4 0x020de500 0t0 TCP localhost:935->localhost:netinfo-local (ESTABLISHED) Directory 328 root 6u IPv4 0x01b4d700 0t0 UDP *:* Directory 328 root 7u IPv4 0x0217c4c8 0t0 TCP *:* (CLOSED) Directory 328 root 17u IPv4 0x01b4d2f0 0t0 UDP *:* Directory 328 root 18u IPv4 0x0217fad8 0t0 TCP *:* (CLOSED) NPF 333 root 4u IPv4 0x02025e50 0t0 RAW *:* cupsd 347 root 0u IPv4 0x021add1c 0t0 TCP localhost:ipp (LISTEN) cupsd 347 root 2u IPv4 0x01b4d150 0t0 UDP *:ipp -niergendwo was von LittleSnitch zu sehen. Installiert ist die Version 1.1rc5. @macmercy Soll ich dir mal meine Version von LS zum testen schicken?
Danke. Ich habe auch noch 1.1rc5 und rc6 - da gab es diese UDP-Verbindung nicht. Unter der finalen Version 1.1 (siehe url oben) ist es aber so wie beschrieben.
Hi, offensichtlich besteht jetzt eine große Verunsicherung bei LittleSnitch; was haltet ihr von der Alternative NetBarrier bzw. wer hat Erfahrungen damit? Hier kann man auch einzelne Programme am Onlinezugang hindern oder auch bestimmte Zeichenfolgen blockieren.
ist m.E. etwas verfrüht, von "grosser Verunsicherung" zu sprechen, vielleicht kann ja mal jemand, der das Teil einsetzt und die Wahrheit wissen will, schauen, ob die von LittleSnitch verschickten UDP-Pakete auch nur eine lokale IP als "destination" enthalten ... so wie das die Entwickler offenbar beteuern - ich für meinen Teil halte das durchaus für glaubhaft ... hakru
Ich hatte Kate eindeutig so verstanden ... "keine EXTERNEN UDP-Verbindungen" das heisst dann für mich im Klartext: aus welchen Gründen auch immer verwendet LittleSnitch zur Kommunikation seiner Programmteile (Kernel-Modul, GUI oder was weiss ich) UDP-Technologie. Damit habe ich überhaupt kein Problem, solange dieser UDP-Verkehr auf die eigene Maschine gerichtet ist und bleibt (localhost, loopback). Das kann man am Aufbau der UDP-Pakete sehen ... und Kate weiss das. Ich glaube, das ist wirklich erledigt - vielleicht schaut Kate ja nochmal vorbei und schafft die letzte Klarheit ... hakru
