Zu den Verbindungen gehört auch Software, die nach Hause telefoniert und gegebenenfalls persönliche Daten weitergibt. Little Snitch, schützt im besten Fall die eigene Privatsphäre durch die Verhinderung des unbemerkten Versands von Nutzerdaten.

Die Wiener Firma Objective Development Software GmbH entwickelt das Tool bereits seit 2003. MacOS bietet den Nutzern zwar eine eigene Firewall, allerdings überwacht sie nur eingehende Verbindungen. Software, die auf dem Gerät installiert wird, die eine ausgehende Verbindung starten, werden von der MacOS Firewall nicht angezeigt. Und genau um diese Funktion soll sich Little Snitch kümmern.

Firewall?

Das Prinzip einer Firewall ist in der Regel relativ simpel und vielen bekannt. Ein System wird vor unerwünschtem Zugriffen aus einem Netzwerk oder dem Internet geschützt. In ihrer ursprünglichen Form ist die Firewall eine Schutztechnologie, die Netzwerkbereiche voneinander trennt. Folglich bedeutet dies in der Regel, dass sie ein Auge auf alle ankommenden und abgesendeten Datenpakete wirft.

Es handelt sich dabei um einen digitalen Türsteher und regelt, dass diese Datenpakete nur an den Stellen ein- und ausgeliefert werden, wo es ihnen auch tatsächlich gestattet ist. Dabei arbeitet die Firewall nach definierten Regeln, um die Ein- und Ausgänge (Ports) passend zu öffnen, zu sperren und zu überwachen.

Die Installation von Little Snitch

Bereits bei der Installation erhält man eine kurze Einführung über die wichtigsten Funktionen und Menüs. Auch wird einem die Wahl zwischen drei verschiedene Modi gegeben, um das Programm zu benutzen, dem Warn-, dem Leise-Modus mit erlaubten Verbindungen und dem Leise-Modus, der die Verbindungen verbietet.

Die 3 verschiedenen Modi

Der Warn-Modus zeigt einem bei jeder neuen ausgehenden Verbindung ein Popupfenster an und lässt direkt manuell entscheiden, ob die Verbindung zugelassen oder blockiert werden soll und merkt sich die Auswahl. Falls man sich unsicher ist, kann der Recherche-Assistent oder eines der gängigen Suchmaschinen helfen. Ansonsten hält der Assistent weitere Information über die jeweilige Verbindung bereit.

Gerade am Anfang erscheint der Warn-Modus aber für einige Nutzer zu oft und wird als nervig empfunden. Abhilfe schafft hier der in Little Snitch implementierte Leise-Modus. In diesem werden zunächst alle Verbindungen erlaubt (Man kann auch erst einmal alle ablehnen) und im Netzwerkmonitor gesammelt. Über neue Verbindungen erhält man kein Popupfenster, sondern nur eine kurze Desktopbenachrichtigung. Haben sich einige Verbindungen im Netzwerkmonitor angesammelt, kann man für jede einzelne entscheiden, ob man sie weiterhin zulassen oder verbieten möchte.

Weltkarte von Little Snitch

Im Netzwerkmonitor sieht man auch auf einer Weltkarte die geografischen Orte, an denen die Server stehen, mit denen der Rechner kommuniziert. So lässt sich zum Beispiel überprüfen, ob die Server eines Instant Messengers oder des E-Mail-Anbieters wirklich nur in Deutschland stehen. Man kann jede Verbindung auf der Karte anklicken, um mehr Informationen zu der jeweiligen Verbindung zu erhalten. Auch hier hilft der Recherche-Assistent mit wichtigen Informationen. Meiner Erfahrung nach kann die Software jedoch nicht jedes dieser Verbindungen erkennen, wenn man die Verbindungen mit Wireshark vergleicht. Dennoch erklärt der Entwickler, dass sie die Datenbank stetig aktualisieren.

Ressourcen

Die Ressourcenverwaltung ist in den letzten Versionen wesentlich optimierter. So braucht Little Snitch in der aktuellen Ausführung nicht mehr so viel CPU und Arbeitsspeicher. Verbindungsinformationen sammelt dieser nun auch ohne den im Hintergrund laufenden Network Monitor. Früher noch relativ kurze Zeiträume, doch heute bzw. in den letzten Versionen, um genau zu sein, seit Version 5, sind sämtliche Informationen, die bis zu einem Jahr zurückreichen, abrufbar.

Terminal und Scripts in Little Snitch?

Sys-Admins bekommen weiterhin die Möglichkeit, Einstellungen über eine Befehlszeile zu steuern. So lassen sich Skripte in der App ausführen.

Preise

Ein Neukauf in der Einzellizenz kostet 45 Euro. Weitere Angebote umfassen eine Familien-Lizenz für 89 Euro sowie Mehrfachlizenzen für 5 oder 10 Macs, für 179 Euro und 310 Euro. Außerdem gibt es auch ein Bundle Angebot mit Micro Snitch, für 47,25 Euro, statt 49,49 Euro. Zur offiziellen Webseite kommt man über diesen Link.

Fazit

Wem beispielsweise das Netzwerküberwachungstool Wireshark zu kompliziert ist, für den ist Little Snitch keine schlechte Wahl, um eine weitere Schutzebene aufzubauen und Verbindungen von und zu dem Rechner zu überwachen.

Der Vorteil bei Little Snitch ist auch, der Verbot von Verbindungen mit wenigen Klicks. Ganz unabhängig davon, ob es sich dabei um eigehende oder ausgehende Verbindungen handelt. Dennoch bleibt einem die Einarbeitung nicht erspart. Zumal es hin und wieder zu Einschränkungen der installierten Programme führen kann, wenn diese nicht nach Hause telefonieren oder Daten aus anderen Quellen beziehen dürfen.

Klar ist auch, dass Apple seinen eigenen Diensten auch unter Ventura immer noch Sonderrechte einräumt. Ich denke, dies werden sie nur ändern, wenn genug Leute auf die Barrikaden gehen, was in letzter Zeit halt mal gar nicht der Fall ist. Ich finde es auf jeden Fall in Anbetracht der Datenschutzdebatte äußerst fragwürdig und suspekt, dass es so wenige Menschen stört.

Grundsätzlich lässt es sich bei einer geschlossenen Software nie zu 100 % ermitteln, warum und mit wem diese sonst kommuniziert. Da greift eben der Vorteil von Open Source Software. Letztendlich läuft es auf das Vertrauen und die Gutgläubigkeit von uns Nutzern hinaus, wenn wir die Software verwenden dessen Quellcode nicht offen ist.

Ansonsten ist grundsätzlich darauf zu achten, aus welchen Quellen man Software bezieht. Sollte man tatsächlich in Erfahrung bringen, dass die Software, die man kommerziell oder via GitHub bezogen hat, einen ausspioniert und die Daten missbraucht, um Schaden zu verursachen, sollte man eher die Polizei kontaktieren oder Software deinstallieren, als mit irgendwelchen Lösungen zu versuchen, die Verbindungen zu unterdrücken. Besonders dann, wenn man keine Ahnung hat.

Hat man Ahnung, kann man alle Daten sammeln und gebündelt an die relevanten Stellen geben, um Stalkern oder weiß Gott was für Verrückten, die zu viel Zeit haben, Einhalt zu gebieten. Aber auch hier sollte jedem bewusst sein, dass direkte bzw. aktive Attacken unter das Strafrecht fallen können.

Davon abgesehen, lassen sich am Mac mittlerweile auch die Verbindungen für den Schutz der eigenen Privatsphäre nativ erweitern. Zum einen lässt sich bei einem iCloud+ Abo der iCloud Private Relay  aktivieren und zum anderen gibt es den Tarnmodus, wenn Sicherheit und Datenschutz ein wichtiges Anliegen für einen selbst sind. Dies hilft, um Hackern und Malware das Auffinden des eigenen Macs zu erschweren. Im Tarnmodus reagiert der Mac weder auf „ping“-Anforderungen noch auf Verbindungsversuche eines geschlossenen TCP- oder UDP-Netzwerks. Vorsicht ist aber geboten, da in diesem Modus auch hin und wieder Anrufe oder Nachrichten nicht ankommen, wenn die Benutzer über das Gerät nicht mindestens einmal miteinander Kontakt hatten.

Der Beitrag Little Snitch – Privatsphäre schützen und Netzwerkverbindungen einfach kontrollieren erschien zuerst auf CEOsBay.

Welche Kommunikationsschnittstellen lassen sich analysieren?

Wireshark kann den Datenverkehr auf Ethernet-, USB- oder WLAN-Schnittstellen mitlesen. Die primären Einsatzgebiete sind das Netzwerk-Monitoring, die Fehlersuche sowie Fehleranalyse und die IT-Sicherheitsüberwachung. Und ja, auch für Hacker ist es ein beliebtes Tool.

Eine kurze Zeitreise zu den Anfängen von Wireshark

In den 90er Jahren arbeitete Gerald Combs, ein Informatik-Absolvent der University of Missouri-Kansas City, für einen kleinen Internet-Dienstanbieter. Die kommerziellen Produkte zur Protokollanalyse waren damals relativ teuer und liefen nicht auf den Hauptplattformen Solaris und Linux, welches das Unternehmen im Einsatz hatte. Also beschloss der junge Gerald, selbst eine Anwendung dafür zu schreiben und fing mit der Entwicklung von Ethereal an. Seine erste Version wurde gegen 1998 veröffentlicht.

Im Mai 2006 nahm Combs eine Stelle bei CACE-Technologies an. Er war der Urheber für den größeren Teil des Ethereal-Quellcodes und der Rest des Codes war ohnehin unter GNU GPL bereits Open Source, so dass er den Inhalt des Ethereal-Subversion-Repository als Grundlage für seine neue Repository verwenden konnte. Nachdem er zeitgleich auch Markeninhaber von Ethereal war, änderte er den Namen kurzerhand in Wireshark. Im Jahr 2010 kaufte Riverbed Technology CACE auf und übernahm die Rolle des Hauptsponsors von Wireshark. Die Entwicklung von Ethereal wurde kurze Zeit später eingestellt und in einem Sicherheitshinweis von Ethereal wurde der Wechsel zu Wireshark empfohlen. Wireshark hat im Laufe der Jahre mehrere Branchenauszeichnungen abgeräumt. Meiner Meinung nach ist es immer noch eines der besseren Paket Sniffer überhaupt. Vor einigen Tagen wurde ich auch auf eine „neue“ Repo auf GitHub aufmerksam gemacht, die seit einem Jahr entwickelt wird und in den letzten Tagen eine GUI (Graphical User Interface bzw. Grafische Benutzeroberfläche) erhalten hat. Ich werde es mir anschauen und gegebenenfalls einen Beitrag dazu schreiben.

Combs pflegt weiterhin die Repo von Wireshark und veröffentlicht immer wieder neue Updates der Software. Auf der Produktwebsite sind fast 2000 weitere Autoren aufgelistet, die ihren Beitrag leisten und geleistet haben.

Was macht Wireshark eigentlich?

Wireshark erkennt als paketorientierter Sniffer viele verschiedene Protokolle und visualisiert die wichtigsten Informationen der Protokollheader übersichtlich und leicht lesbar. Für das Mitlesen der Daten nutzt Wireshark Zusatzprogramme wie WinPcap, usbpcap oder pcap. Zur veranschaulichten Darstellung der aufgezeichneten Daten sind Verbindungsübersichten, statistische Informationen zum Datenfluss und Ablaufdiagramme von Kommunikationsverbindungen erstellbar. Darüber hinaus sind binäre Daten aus dem aufgezeichneten Datenstrom extrahierbar, sie sich im Anschluss konvertieren lassen.

Was ist WinPcap

WinPcap ist eine als Freeware vertriebene Programmbibliothek, bestehend aus einem Treiber, der Hardware-nahen Zugriff auf die Netzwerkkarte ermöglicht und einer Sammlung von Werkzeugen, die den bequemen Zugriff auf die einzelnen für Netzwerke relevanten Schichten des OSI-Modells bieten. Das OSI-Modell hilft im Grunde genommen Herstellern von Netzwerkgeräten und Netzwerksoftware: Geräte und Software zu entwickeln, die mit Produkten anderer Hersteller kommunizieren können, was eine offene Interoperabilität ermöglicht. Im Laufe der letzten Jahre hat sich Wireshark als Standard-Werkzeug für Netzwerkanalysen etabliert. Auf den Download-Seiten von Wireshark sind Quellpakete und Installationsprogramme für Unix-, Windows- und MacOS-Systeme zu finden. Installationsassistenten für Windows erleichtern die Installation.

Was ist USBPcap?

USBPcap ist ein Open-Source-USB-Sniffer für Windows.

Was ist pcap?

Im Bereich der Computernetzwerkverwaltung ist pcap eine Anwendungsprogrammierschnittstelle (API) zur Erfassung des Netzverkehrs.

Anwendungsbereiche von Wireshark

Die technischen Möglichkeiten der Software sind sehr bereitgefächert. Die aufgezeichneten Daten lassen sich in Echtzeit oder auch in Form von einzelnen Paketen mit leicht lesbaren Headerinformationen darstellen. Über verschiedene Protokollfilter werden die Daten aufbereitet. Auch der tatsächliche Inhalt der Datenpakete ist auswertbar. Am häufigsten wird der Sniffer für die Protokoll-Analyse auf den Schnittstellen Ethernet und im WLAN für Netzwerkprotokolle der TCP/IP-Familie eingesetzt.

Darüber hinaus ist das Tool wie bereits erwähnt in der Lage, Datenverkehr auf anderen Schnittstellen wie Bluetooth oder USB aufzuzeichnen und auszuwerten. Voraussetzung für das Mitlesen auf der jeweiligen Schnittstelle ist die Installation eines entsprechenden Capture-Programmpakets wie WinPcap sowie die Zugriffsberechtigung des Benutzers auf die jeweiligen Schnittstellen.

Um sich die Informationen anzeigen zu lassen wird von Wireshark eine Extraktion initiiert, der aus diversen Protokollen Meta-Informationen aus dem Kontext des Datenflusses zieht. Man kann auch eigene Module und Filter für bestimmte Netzwerkprotokolle erstellen.

Wird kein Filter verwendet, zeichnet Wireshark den gesamten Datenverkehr der Schnittstelle auf. Um die Datenmenge zu reduzieren und sich auf das zu analysierende Netzwerkprotokoll zu konzentrieren, können Capture-Filter eingesetzt werden. Mit einem Capture-Filter lassen sich IP-Adressen (auch Bereiche), Protokolle, Protokollnachrichten und viele weitere Parameter einstellen. Ein Filter mit einer vorgegebenen IP-Adresse beschränkt den aufgezeichneten Verkehr auf die Pakete von und zu einzelnen Netzwerkkomponenten.

Über die Stream-Verfolgung ist es möglich, gezielt einzelne TCP-Streams aufzuzeichnen und zu analysieren. Weitere wichtige Features von Wireshark sind die Statistik-Funktionen. Sie erlauben das Erstellen von Statistiken zum Datenverkehr hinsichtlich Parameter wie Paketlängen, Typen von Netzwerkprotokollen, Verbindungsendpunkten, Antwortzeiten, Kommunikationsbeziehungen oder IP-Adressen. Funktionen zu UDP Multicast-Streams, Signal-Traffic (SIP) und Voice-Traffic (RTP) analysieren den VoIP-Verkehr auf einer Netzwerkschnittstelle relativ präzise und tiefgehend. Mit wenigen Klicks sind die verschiedenen RTP-Streams herausgefiltert und grafisch dargestellt. Per Statistikfunktionen sind die für die Qualität der VoIP-Kommunikation wesentliche Merkmale wie Jitter oder Delay extrahierbar und zu visualisieren.

Einsatz von Wireshark in geswitchten Netzwerken

Wireshark kann nur den Datenverkehr einer bestimmten Schnittstelle des Rechners, auf dem die Software installiert ist, mitlesen. In einer geswitchten Umgebung, sind können lediglich die vom Rechner gesendeten oder empfangenen Pakete sowie die an alle adressierten Broadcast-Pakete protokolliert werden. Nur in einem unverschlüsselten WLAN oder am Port eines Hubs ist der gesamte Netzwerkverkehr analysierbar.

Soll in einer geswitchten Umgebung der Verkehr eines bestimmten Rechners mitgeschnitten und analysiert werden, empfiehlt sich die Verwendung der so genannten Mirror-Funktion eines Switches. Damit kann man den Netzwerkverkehr eines definierten Switchports auf einen anderen Port spiegeln. An diesen kann dann ein weiterer Rechner mit installiertem Netzwerk-Sniffer angeschlossen werden, mit dem sich der Datenverkehr des gespiegelten Ports aufzeichnen und auswerten lässt.

Wireshark als Analysetool

Man kann mit Wireshark nicht nur den eigens ermittelten Datenverkehr analysieren. Es ist auch möglich, Capture-Daten verschiedener Formate anderer LAN-Analyse-Tools oder oder Netzkomponenten einzulesen und auszuwerten. Zahlreiche Geräte wie Router oder Switches verschiedener Hersteller bieten die Möglichkeit an, den Datenverkehr in einem für Wireshark lesbaren Format aufzuzeichnen. Dazu zählen beispielsweise die in Deutschland sehr beliebten Fritzbox-Router des Herstellers AVM.

Wireshark, um Schwachstellen der IT-Sicherheit zu ermitteln

Ein wichtiges Einsatzgebiet von Wireshark ist auch das Umfeld der Netzwerk-Sicherheit. Man kann damit im Grunde genommen die IT-Sicherheit überprüfen. Schwachstellen lassen sich aufspüren und verdächtiger Datenverkehr identifizieren. So sind sämtliche Kommunikationspartner einer bestimmten Netzwerk-Node anhand der IP-Adressen identifizierbar. Verdächtige Pakete zu oder von unbekannten IP-Adressen sind schnell bestimmt. Kommt die Software an zentrale Schnittstellen eines Netzwerks wie beispielsweise auf dem Interface zum Internetanschluss oder an der WAN-Schnittstelle eines Routers zum Einsatz, erfasst die Software sämtliche Ein- und Ausgänge des Datenverkehrs. So ziemlich alles ist auswertbar und identifizierbar.

Gesetzliche und datenschutzrechtliche Aspekte zum Einsatz von Wireshark

Beim Einsatz von Wireshark sind einige gesetzliche Aspekte zu beachten. In Deutschland ist es verboten, fremde Netzwerkverbindungen mitzulesen und aufzuzeichnen. Während die Verwendung des Netzwerkanalysators im eigenen Netz in der Regel unproblematisch ist, muss für den Einsatz des Tools in fremden Netzwerkumgebungen eine Erlaubnis eingeholt werden. Auch die datenschutzrechtlichen Bestimmungen sind bei der Aufzeichnung, Speicherung und Weitergabe von Mitschnitten unbedingt einzuhalten. Hierzu macht es meistens Sinn, einen Datenschutzbeauftragten bzw. Juristen einzuschalten.

Fazit

Sniffing macht im Interesse der Sicherheit immer Sinn und ist auch notwendig. Einerseits um Fehler im Netzwerk aufzuspüren und andererseits, um Hacker oder Schadsoftware aufzuspüren. Man muss also keine Unsummen bezahlen, um sich, das Eigene- oder das Firmennetzwerk zu schützen. Manchmal reicht auch das richtige Werkzeug mit dem richtigen Anwender.

Und nicht vergessen! Sniffing zum Zwecke der Datenausspähung ist strafbar!

Der Beitrag Wireshark – Netzwerkanalyse und Sicherheit mit dem ultimativen Open-Source-Tool erschien zuerst auf CEOsBay.