Löchrige Firewall in Mac OS X Leopard
Ja, heute ist mein Apple-Tag 😉 Denn eben lese ich bei heise einen recht interessanten Artikel über die „Firewall“ in Mac OS X Leopard. Ich schreibe „Firewall“, weil dieses Stück Software den Namen offenbar nicht wirklich verdient hat. Zitat von heise:
„Die Firewall von Mac OS X Leopard versagte in allen Tests: Sie ist standardmäßig nicht aktiviert und selbst wenn sie der Anwender einschaltet, verhält sie sich nicht so, wie er es erwartet. Netzwerkverbindungen zu nicht-autorisierten Diensten sind weiterhin möglich und selbst in der restriktivsten Einstellung „Alle eingehenden Verbindungen blockieren“ lässt sie Zugriffe aus dem Internet auf Systemdienste zu. Auch wenn die hier aufgezeigten Probleme und Ungereimtheiten keine Sicherheitslöcher in dem Sinne darstellen, dass jemand über sie in einen Mac einbrechen könnte, ist Apple gut beraten, schleunigst nachzubessern“
Per default ist die Firewall offensichtlich so konfiguriert, dass sie sämtliche eingehenden Verbindungen zulässt. OK, das kennt man durchaus auch von früheren Windows-Versionen: Erst einmal ist alles erlaubt und der Anwender kann dann schauen, was er abschalten möchte. OS X Leopard geht da allerdings einen kleinen Schritt weiter: Selbst wenn der Anwender schon so clever war, unter OS X die Firewall zu aktivieren – nach dem Update auf Leopard ist die Konfiguration weg und die Firewall gestattet sämtliche eingehenden Verbindungen. Er darf sie also wieder aktivieren und alle Freigaben erneut anlegen. Aber auch hier bleiben Dienste ansprechbar, die der Nutzer nicht selbst freigibt, sie holen sich die nötigen Freigaben einfach selbst.
Doch selbst wer auch das bereits bemerkt hat und „Alle eingehenden Verbindungen blockieren“ unter Leopard aktiviert hat Pech gehabt. Es bleiben nach wie vor diverse Dienste von außen ansprechbar. Was ja irgendwie nicht so ganz zu „ALLE Verbindungen…“ passen mag. Einzige Abhilfe scheint derzeit der mitgelieferte BSD-Paketfilter zu sein. Denn ob ein Zugriff von außen auf Systemdienste des Betriebssystems so nützlich ist wage ich zu bezweifeln. Speziell wenn ich bei heise lese, dass diese Systemdienste zum einen mit root-Rechten laufen und zudem noch veraltete OpenSource-Pakete sind. Für diese Pakete sind bereits diverse Bugfixes erschienen, die in den von Apple eingesetzten Versionen scheinbar noch nicht enthalten sind.
Na, ich werde mir in den nächsten Tagen sicher mal den Spaß gönnen können, Mac OS X Leopard ein wenig übers Netz zu scannen. 2 Kollegen haben sich Apple-Hardware bestellt (z.B. ein MacBook), weil Leopard ja soooooo geil ist und überhaupt viel stylisher. Wird lustig… 😈