Der Trick ist ein ganz einfacher:  Die Firewall in Leopard definiert Verbindungsregeln nicht auf Portebene (“erlaube Zugriff von aussen auf Port 80″ zum Beispiel), sondern auf Programmebene. Ein installiertes Mailprogramm erhält dann zum Beispiel die Erlaubnis, mit dem Netzwerk zu kommunizieren. Ist das Programm noch nicht bekannt, wird der Benutzer um Erlaubnis gefragt. Bestätigt dieser die Freigabe für die Kommunikation mit dem Netzwerk, dann trägt OS X Leopard eine passende Regel in die Firewall ein. Zudem wird das Programm signiert, um es später eindeutig identifizieren zu können. Prinzipiell keine vollkommen dumme Idee, zugegeben.

Das Dumme an dieser Lösung ist jedoch: Mac OS X Leopard modifiziert bei der Signierung die eigentliche Programmdatei. Manche Programme merken davon nichts und starten wie gewohnt, andere Programme hingegen prüfen ihre Integrität beim Programmstart, wie beispielsweise Skype (und eine Vielzahl von kommerziellen Programmen, die so beispielsweise Crack-Versuche verhindern wollen). Und was passiert nun, wenn ein solches Programm feststellt, dass es modifiziert wurde? Richtig! Es startet nicht mehr. Was natürlich auch eine Methode ist, für Netzwerksicherheit zu sorgen

“Die Firewall von Mac OS X Leopard versagte in allen Tests: Sie ist standardmäßig nicht aktiviert und selbst wenn sie der Anwender einschaltet, verhält sie sich nicht so, wie er es erwartet. Netzwerkverbindungen zu nicht-autorisierten Diensten sind weiterhin möglich und selbst in der restriktivsten Einstellung “Alle eingehenden Verbindungen blockieren” lässt sie Zugriffe aus dem Internet auf Systemdienste zu. Auch wenn die hier aufgezeigten Probleme und Ungereimtheiten keine Sicherheitslöcher in dem Sinne darstellen, dass jemand über sie in einen Mac einbrechen könnte, ist Apple gut beraten, schleunigst nachzubessern”

Per default ist die Firewall offensichtlich so konfiguriert, dass sie sämtliche eingehenden Verbindungen zulässt. OK, das kennt man durchaus auch von früheren Windows-Versionen: Erst einmal ist alles erlaubt und der Anwender kann dann schauen, was er abschalten möchte. OS X Leopard geht da allerdings einen kleinen Schritt weiter: Selbst wenn der Anwender schon so clever war, unter OS X die Firewall zu aktivieren – nach dem Update auf Leopard ist die Konfiguration weg und die Firewall gestattet sämtliche eingehenden Verbindungen. Er darf sie also wieder aktivieren und alle Freigaben erneut anlegen. Aber auch hier bleiben Dienste ansprechbar, die der Nutzer nicht selbst freigibt, sie holen sich die nötigen Freigaben einfach selbst.

Doch selbst wer auch das bereits bemerkt hat und “Alle eingehenden Verbindungen blockieren” unter Leopard aktiviert hat Pech gehabt. Es bleiben nach wie vor diverse Dienste von außen ansprechbar. Was ja irgendwie nicht so ganz zu “ALLE Verbindungen…” passen mag. Einzige Abhilfe scheint derzeit der mitgelieferte BSD-Paketfilter zu sein. Denn ob ein Zugriff von außen auf Systemdienste des Betriebssystems so nützlich ist wage ich zu bezweifeln. Speziell wenn ich bei heise lese, dass diese Systemdienste zum einen mit root-Rechten laufen und zudem noch veraltete OpenSource-Pakete sind. Für diese Pakete sind bereits diverse Bugfixes erschienen, die in den von Apple eingesetzten Versionen scheinbar noch nicht enthalten sind.

Na, ich werde mir in den nächsten Tagen sicher mal den Spaß gönnen können, Mac OS X Leopard ein wenig übers Netz zu scannen. 2 Kollegen haben sich Apple-Hardware bestellt (z.B. ein MacBook), weil Leopard ja soooooo geil ist und überhaupt viel stylisher. Wird lustig…