Ist das neue LittleSnutch 1.1 selbst Spyware?

Dieses Thema im Forum "Software" wurde erstellt von macmercy, 15. Januar 2004.

  1. macmercy

    macmercy New Member

    Vielleicht bin ich paranoid (wer LittleSnitch einsetzt hat sowieso einen leichten Hang dazu) aber - ich glaube, die neue Version 1.1 telefoniert selber nach Hause.

    Ich rede hier von der Version 1.1 - erschienen am 14.01. unter http://www.versiontracker.com/dyn/moreinfo/macosx/17642

    Wenn LittleSnitch 1.1 installiert und aktiv ist und man im Terminal eingibt

    sudo lsof -i

    bekommt man die z.Zt. offenen Netzwerkverbindungen angezeigt. Siehe auch http://www.westwind.com/reference/OS-X/commandline/admin.html#lsof

    lsof
    List all files currently open by me and my processes.

    sudo lsof
    List all files currently open on the entire system.

    sudo lsof -i
    List all open network connections on the entire system.

    So, wie es lt. Terminal aussieht, stellt LittleSnitch hier zweimal eine dauerhafte Verbindung über UDP her. Das kann es doch nicht sein, oder? Die ältere Version 1.1rc5 legt dieses Verhalten nicht an den Tag. Man kann das auch ganz leicht selber testen, indem man z.B. ein ftp-Programm startet, dann mit sudo lsof -i testet, sich dann mit einem ftp-Server verbindet und wieder mit sudo lsof -i testet.

    Kann es also sein, dass das aktuelle LittleSnitch selber zur Spyware wurde?
     
  2. AndreasG

    AndreasG Active Member

    Ich würde mal behaupten, dass Du Recht hast.

    Little Snitch ist das Tool schlechtin in der Hacker/Cracker-Szene, um zu verhindern, dass Software (ev. ungültige) Freischalt-Schlüssel validieren kann - und ist dementsprechend selber zig-fach gehackt.

    Gut möglich also, dass die Programmierer von LittleSnitch das nun genau mit der Methode verhindern wollen, mit der auch andere Software illegale Keys zu sperren versuchen.

    Gruss
    Andreas
     
  3. apoc7

    apoc7 New Member

    Das war es dann wohl mit dem "einen" Programm die anderen zu Knechten. Der Schatz ist wohl nun weg, oder aber man kauft eben diesen Ring und hat dann wieder die Macht.

    Wobei ein Anti-nach-Hause-telefonier-Programm, das selbst wieder etwas in dieser Richtung macht - etwas komisch ist...
     
  4. Max.Renn

    Max.Renn Anti-Besserwisser

    Installier dir doch einfach die Vorversion, die das nicht macht. Die dürfte im Funktionsumfang vielleicht weniger bieten, aber genausogut schnüffeln, wie das neue.

    Ach ja: Danke für den Tipp ... ich verzichte damit auf weitere Updates. :D

    maX
     
  5. macmercy

    macmercy New Member

    Die Programmierer von LittleSnitch (Österreicher! Kann da mal jemand vorbeischauen?) haben sich zur Version 1.1 geäussert und schwören Stein und Bein, dass LS nicht nach Hause telefoniert.

    These udp connections are used to check in regular intervals wether some other kernel module has Little Snitch kicked out of the kernel. Like FirewalkX does.
    It is a local communication over the loopback interface with his own kernel module.


    OK, muss jeder selber wissen, ob er das glaubt. Klingt logisch - ist aber nicht 100% überprüfbar.
     
  6. hakru

    hakru New Member

    wenn z.B. tcpdump an Bord ist, kann man mit

    "sudo tcpdump -i en0 ip protochain \\udp" die Headers (u.a. source-,dest-IP) sehen, da müssen die UDP-Pakete dann Farbe bekennen ;-)

    ganz ähnlich macht das auch tcpflow (z.B. bei www.entropy.ch)

    hakru
     
  7. spektra

    spektra New Member

    Eine Frage: Nach welchen Angaben im Terminal bei Eingabe von sudo lsof -i schliesst du darauf, dass es sich um LS handelt?
     
  8. hakru

    hakru New Member

    ich habe LittleSnitch nicht, aber in der Liste von "lsof ..." sind in jeder Zeile vorne die Programme angegeben ... da muss also Safari, LittleSnitch etc. stehen ...

    hakru
     
  9. macmercy

    macmercy New Member

    Bei mir lauten die 3 letzten Zeilen dann:

    cupsd 312 root 2u IPv4 0x017ea700 0t0 UDP *:ipp
    LittleSni 363 frank$ 6u IPv4 0x017ea080 0t0 UDP *:*
    LittleSni 363 frank$ 7u IPv4 0x017e9fb0 0t0 UDP *:*

    Kann aber jeder selber überprüfen mit LS 1.1...
     
  10. gratefulmac

    gratefulmac New Member

    Ich setz mal mein Protokoll dazu:

    sudo lsof -i
    Password:
    COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
    syslogd 78 root 4u IPv6 0x0189ef20 0t0 UDP *:syslog
    syslogd 78 root 5u IPv4 0x0189ee50 0t0 UDP *:syslog
    configd 86 root 9u IPv6 0x01aaff20 0t0 ICMPV6 *:*
    configd 86 root 10u IPv6 0x01aafe50 0t0 ICMPV6 *:*
    configd 86 root 11u IPv4 0x0189ebe0 0t0 UDP *:bootpc
    netinfod 116 root 6u IPv4 0x0189ed80 0t0 UDP localhost:netinfo-local
    netinfod 116 root 7u IPv4 0x01995d8c 0t0 TCP localhost:netinfo-local (LISTEN)
    netinfod 116 root 8u IPv4 0x01a98214 0t0 TCP localhost:netinfo-local->localhost:ftps (ESTABLISHED)
    mDNSRespo 168 nobody 4u IPv4 0x0189e220 0t0 UDP *:mdns
    Directory 195 root 5u IPv4 0x01a9877c 0t0 TCP localhost:ftps->localhost:netinfo-local (ESTABLISHED)
    Directory 195 root 6u IPv4 0x0189e7d0 0t0 UDP *:*
    Directory 195 root 7u IPv4 0x01c4b008 0t0 TCP *:* (CLOSED)
    Directory 195 root 17u IPv4 0x0189de10 0t0 UDP *:*
    Directory 195 root 18u IPv4 0x01993d1c 0t0 TCP *:* (CLOSED)
    cupsd 284 root 0u IPv4 0x019947ec 0t0 TCP localhost:ipp (LISTEN)
    cupsd 284 root 2u IPv4 0x0189dee0 0t0 UDP *:ipp
    automount 297 root 7u IPv4 0x0189ea40 0t0 UDP localhost:1023
    ntpd 299 root 5u IPv4 0x0189eb10 0t0 UDP *:ntp
    ntpd 299 root 6u IPv4 0x0189e970 0t0 UDP localhost:ntp
    ntpd 299 root 7u IPv4 0x0189e8a0 0t0 UDP 10.0.1.2:ntp
    automount 312 root 7u IPv4 0x0189e630 0t0 UDP localhost:1022
    xinetd 329 root 5u IPv6 0x01b54e80 0t0 ]b]TCP[/b] *:ftp
    AirPort 379 franktrewendt 8u IPv4 0x0189dd40 0t0 UDP *:mdns
    AirPort 379 franktrewendt 11u IPv4 0x0189e2f0 0t0 UDP *:*
    Mail 430 franktrewendt 11u IPv4 0x01992ce4 0t0 TCP 10.0.1.2:51203->a17-250-248-64.apple.com:imap (ESTABLISHED)
    Mail 430 franktrewendt 21u IPv4 0x01bda7b4 0t0 TCP 10.0.1.2:51206->a17-250-248-64.apple.com:imap (ESTABLISHED)
    TextEdit 575 franktrewendt 10u IPv4 0x02569490 0t0 TCP localhost:50683->localhost:ipp (CLOSE_WAIT)
    TextEdit 575 franktrewendt 11u IPv4 0x01bc4d1c 0t0 TCP localhost:50684->localhost:ipp (CLOSE_WAIT)
    Quicksilv 652 franktrewendt 10u IPv4 0x01995824 0t0 TCP *:50726 (LISTEN)


    -----------------------

    Safari wird hier gar nicht aufgelistet, obwohl er aktiv ist.
     
  11. spektra

    spektra New Member

    Mein Protokoll:

    sudo lsof -i
    Password:
    COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
    syslogd 81 root 4u IPv6 0x01b4df20 0t0 UDP *:syslog
    syslogd 81 root 5u IPv4 0x01b4de50 0t0 UDP *:syslog
    configd 89 root 9u IPv6 0x02025f20 0t0 ICMPV6 *:*
    configd 89 root 10u IPv4 0x01b4dbe0 0t0 UDP *:bootpc
    netinfod 119 root 6u IPv4 0x01b4dd80 0t0 UDP localhost:netinfo-local
    netinfod 119 root 7u IPv4 0x01ca7d8c 0t0 TCP localhost:netinfo-local (LISTEN)
    netinfod 119 root 8u IPv4 0x020ddf98 0t0 TCP localhost:netinfo-local->localhost:935 (ESTABLISHED)
    mDNSRespo 189 root 4u IPv4 0x01b4dcb0 0t0 UDP *:mdns
    automount 302 root 7u IPv4 0x01b4db10 0t0 UDP localhost:1023
    automount 305 root 7u IPv4 0x01b4d970 0t0 UDP localhost:1022
    Directory 328 root 5u IPv4 0x020de500 0t0 TCP localhost:935->localhost:netinfo-local (ESTABLISHED)
    Directory 328 root 6u IPv4 0x01b4d700 0t0 UDP *:*
    Directory 328 root 7u IPv4 0x0217c4c8 0t0 TCP *:* (CLOSED)
    Directory 328 root 17u IPv4 0x01b4d2f0 0t0 UDP *:*
    Directory 328 root 18u IPv4 0x0217fad8 0t0 TCP *:* (CLOSED)
    NPF 333 root 4u IPv4 0x02025e50 0t0 RAW *:*
    cupsd 347 root 0u IPv4 0x021add1c 0t0 TCP localhost:ipp (LISTEN)
    cupsd 347 root 2u IPv4 0x01b4d150 0t0 UDP *:ipp

    -niergendwo was von LittleSnitch zu sehen. Installiert ist die Version 1.1rc5.

    @macmercy
    Soll ich dir mal meine Version von LS zum testen schicken?
     
  12. macmercy

    macmercy New Member

    Danke. Ich habe auch noch 1.1rc5 und rc6 - da gab es diese UDP-Verbindung nicht. Unter der finalen Version 1.1 (siehe url oben) ist es aber so wie beschrieben.
     
  13. hakru

    hakru New Member

    auf welchem port ist den UDP-Verbindung
    (mit "sudo lsof -i -P") zu sehen?

    hakru
     
  14. AGB

    AGB New Member

    Hi,
    offensichtlich besteht jetzt eine große Verunsicherung bei LittleSnitch; was haltet ihr von der Alternative NetBarrier bzw. wer hat Erfahrungen damit? Hier kann man auch einzelne Programme am Onlinezugang hindern oder auch bestimmte Zeichenfolgen blockieren.
     
  15. hakru

    hakru New Member

    ist m.E. etwas verfrüht, von "grosser Verunsicherung" zu sprechen, vielleicht kann ja mal jemand, der das Teil einsetzt und die Wahrheit wissen will, schauen, ob die von LittleSnitch verschickten UDP-Pakete auch nur eine lokale IP als "destination" enthalten ... so wie das die Entwickler offenbar beteuern - ich für meinen Teil halte das durchaus für glaubhaft ...

    hakru
     
  16. Kate

    Kate New Member

    Keine Probleme bei mir wenn LS eingeschaltet ist, oder aus ist. Keine externen Verbindungen per UDP.
     
  17. hakru

    hakru New Member

    @Kate

    Danke für die Klarstellung ...

    hakru
     
  18. macmercy

    macmercy New Member

    Dank auch von mir!

    Wie hast Du herausgefunden/getestet, dass LS nur intern rückfragt?
     
  19. Max.Renn

    Max.Renn Anti-Besserwisser

    Ich bleib trotzdem bei der Vorversion :D

    maX
     
  20. hakru

    hakru New Member

    Ich hatte Kate eindeutig so verstanden ... "keine EXTERNEN UDP-Verbindungen"

    das heisst dann für mich im Klartext: aus welchen Gründen auch immer verwendet LittleSnitch zur Kommunikation seiner Programmteile (Kernel-Modul, GUI oder was weiss ich) UDP-Technologie. Damit habe ich überhaupt kein Problem, solange dieser UDP-Verkehr auf die eigene Maschine gerichtet ist und bleibt (localhost, loopback). Das kann man am Aufbau der UDP-Pakete sehen ... und Kate weiss das.

    Ich glaube, das ist wirklich erledigt - vielleicht schaut Kate ja nochmal vorbei und schafft die letzte Klarheit ...

    hakru
     

Diese Seite empfehlen