Löcher in der Firewall von Mac OS X Leopard
Dass Apple die Firewall in Mac OS X standardmäßig nicht aktiviert, ist nicht neu. Dass man jedoch bei Leopard selbst in der Einstellung "Alle eingehenden Verbindungen blockieren" übers Internet auf Systemdienste zugreifen kann, irritiert dann doch.
In einem Funktionstest entdeckte heise Security eine Reihe von Problemen und Merkwürdigkeiten im Verhalten der Firewall des neuen Apple-Betriebssystems, die Auswirkungen auf die Sicherheit des Systems haben. Wie auch bei den Vorgängerversionen ist die Firewall von Mac OS X Leopard standardmäßig nicht aktiv. Doch selbst wenn der Anwender sie von Hand einschaltet, ist das System keineswegs abgeriegelt.
Eigentlich soll eine Firewall ungebetenen Gästen den Zugang verwehren. Das bedeutet vor allem, dass sie lokale Dienste vor Zugriffen aus potenziell feindlichen Netzen wie dem Internet oder Funknetzen abschottet. Doch die Firewall von Leopard versagte in dieser Beziehung kläglich. So war es in den Tests von heise Security selbst in der Einstellung "Alle eingehenden Verbindungen blockieren" möglich, übers Netz mit dem automatisch gestarteten Zeit-Server zu kommunizieren – selbst wenn der Mac via DSL direkt am Internet hing. In verkabelten LANs ist außerdem der Netbios-Namensdienst aus dem Samba-Paket aktiv und trotz Firewall erreichbar.
In der flexibleren Konfiguration "Zugriff auf bestimmte Dienste und Programme festlegen" gewährte die Firewall sogar Zugang zu beliebigen, vom Anwender gestarteten Diensten – ganz egal ob sie in der Liste der freigegebenen Services auftauchten oder nicht. Auch ein trojanisches Pferd mit einer Hintertür wäre somit unter Umständen aus dem Netz zu erreichen.
Ob die erreichbaren Dienste ein akutes Sicherheitsproblem darstellen, ist schwer einzuschätzen. Bedenklich ist unter Umständen, dass Apple Versionen von Open-Source-Software einsetzt, in denen die Entwickler bereits Fehler gefunden und dokumentiert haben. Bei ntpd setzt Apple auf Version 4.2.2, aktuell ist 4.2.4. Ob dort relevante Fehler behoben wurden und ob Apple eventuell die Fixes der neueren Versionen zurückportiert hat, ist derzeit noch ungeklärt.
Vor Service Pack 2 war auch die Firewall von Windows XP nicht aktiv und Systemdienste ließen sich übers Internet ansprechen. Erst nach Würmern wie Lovsan/Blaster und Sasser, die über Sicherheitslücken in Systemdiensten innerhalb kürzester Zeit Millionen von Windows-Rechnern infizierten, hat Microsoft dies geändert.
Siehe dazu auch:
- Ein zweiter Blick auf die Firewall in Mac OS X Leopard auf heise Security
- A second look at the Mac OS X Leopard firewall auf heise Security/UK
(ju)
