Wat is Little Snitch?

Little Snitch logoLittle Snitch (Klikspaantje, verklikkertje) is een applicatie, eigenlijk meer een daemon (proces wat altijd in de achtergrond sluimert) voor OS X die alle in- en uitgaande dataverkeer in de gaten houd. Zodra er software contact probeert te maken met een andere computer, wordt dat tegengehouden en gemeld.

Little Snitch alert popup
Little Snitch verklikt elke onvermoede poging van software om ‘naar huis te bellen’.

Dat kan een volkomen verwachte actie van het mailprogramma zijn, dat je net heb geïnstalleerd, maar ook een plugin van een webbrowser waarvan je niet wist dat die de neiging heeft ‘naar huis te bellen’.

Omdat je niet weet welke informatie van je computer wordt doorgestuurd, is het verstandig voorzichtig te zijn met wat je installeert. Je typt bijvoorbeeld het wachtwoord van internetbankieren in je browser in en dat zou een plugin waarschijnlijk kunnen afkijken. Hou dat in gedachten als je bijvoorbeeld een adblocker uitzoekt. Neem een adblocker die een goede reputatie heeft.

Hoe hou je malware van je Mac?

Maar hoe weet je welke adblocker – of software in het algemeen – te vertrouwen is? Hoe hou je malware van je computer? Wat software precies kan, is niet te zeggen zonder de code nauwkeurig te bestuderen en dat is zelfs voor experts vaak een hele kluif. Dat is dus een probleem wat niet eenvoudig 100% op te lossen is, maar dat wil niet zeggen dat je zelf helemaal niets kunt doen.

Hoe herken je malware?

Allerlei software gebruikt de internetverbinding van je Mac. Om te kijken of er een update is, of omdat het bijvoorbeeld haar taak is om email op te halen van de mailserver. Standaard mag elk programma namelijk zo ongeveer doen wat het maar wil qua data versturen. Best vreemd eigenlijk. Want wat doe je, als je vermoedt dat een programma méér doet dan je weet of wilt? Dan heb je een meetinstrument nodig, wat meer inzicht geeft.

OS X Activiteitenoverzicht: NetwerkOS X heeft een standaard meegeleverd hulpprogramma genaamd Activiteitenoverzicht. Daarmee kun je onder andere zien óf en hoeveel data een programma sinds het opstarten van je Mac verstuurd heeft, maar meer ook niet. Little Snitch geeft veel meer inzicht – en controle.

Little Snitch verklikt netwerkactiviteit

Little Snitch houdt het netwerk in de gaten. Zodra een programma een verbinding probeert te maken naar het internet of zelfs naar een andere computer in je netwerk, verklikt Little Snitch dat. Het komt met een pop-up schermpje. Pas als je daarin toestemming geeft, laat Little Snitch het dataverkeer door. Je kan eenmalig toestemming geven, of voor zolang het programma in kwestie actief is, of voor altijd, zodat je er geen waarschuwingen meer over krijgt.

Legio toepassingen

Misschien lijkt dit op het eerste gezicht niet zo heel interessant, maar de toepassingen zijn legio. Een paar voorbeelden:

  • Zien welk programma contact maakt, met welke servers, via welke poort, wanneer en hoeveel date er wordt gedownload en geüpload. Dat kan ook je browser zijn die bestanden van een heel ander domein haalt dan je denkt.
  • Programma’s waarvan je niet wist dat ze ‘naar huis bellen’ vallen meteen door de mand.
  • Je wil de huidige versie van een programma blijven gebruiken, zonder dat dit automatisch zichzelf update.
  • Zien welke smart phones, tablets, printers en dergelijke er met je computer contact hebben, wanneer en via welk IP-adres, of dat nou via Bluetooth, WiFi of ethernetkabel gaat.

Hoe werkt Little Snitch

Je kunt verbindingen niet alleen afkeuren of goedkeuren, maar ook meteen aangegeven welk deel van het domein gebruikt mag worden om mee te communiceren. In het voorbeeld hierboven is het sub-subdomein trusteerevents.s3.amazonaws.com bijvoorbeeld veranderd in ‘amazonaws.com’ zodat er niet bij een volgende gelegenheid voor pakweg trusteerevents.s4.amazonaws.com of trusteerevents.s5.amazonaws.com een nieuwe popup verschijnt. Dit scheelt ook flink wat regels in het Little Snitch configuratiescherm.

Little Snitch alert popup
Little Snitch verklikt elke onvermoede poging van software om ‘naar huis te bellen’.

Little Snitch configuratiescherm

Alle regels die je instelt, zijn achteraf aan te passen in het Little Snitch configuratiescherm. Er is duidelijk moeite gedaan dit zo overzichtelijk en duidelijk mogelijk te houden. Het kan een flinke lijst worden naarmate je meer software gebruikt. De interface biedt daarom genoeg mogelijkheden om snel en eenvoudig selecties te maken. De spotlight-achtige zoekfunctie voelt voor Mac-gebruikers meteen vertrouwd, maar ook de opties in het linkermenu om met één klik bijvoorbeeld alleen de nieuwe regels van het laatste etmaal te tonen, of voor inkomende verbindingen, zijn goed gekozen.

De Little Snitch configuratie app.
De Little Snitch configuratie app heeft een praktische interface.

Little Snitch Netwerk Monitor

Little Snitch Network MonitorDaarnaast heeft Little Snitch een functie genaamd Network Monitor. Dit venster bevat een lijst met processen die het netwerk gebruiken, die realtime wordt aangepast. Hoewel dit niet zo veel zegt over wat de functie van de processen in de lijst precies is, kan het interessant zijn, te weten of Dropbox bijvoorbeeld daadwerkelijk data aan het uitwisselen is, of dat er niets gebeurt tussen Dropbox en de servers van dropbox.com.

Little Snitch Network Monitor Servers

Door op het driehoekje rechts in de regel te klikken, kun je zien met welke servers er precies contact gelegd wordt. In dit geval heeft Spotify contact gehad met tien servers, waarvan er van vier op dit moment data wordt gedownload. De groene streepjes geven aan dat er data gedownload wordt, de rode streepjes staan voor uploaden.

Hoewel het geen enkele garantie geeft, doen de domeinnamen vermoeden wat er gaande is. Grote kans bijvoorbeeld dat googlead4.g.doubleclick.net bedoeld is om advertenties van Google AdWords door te geven. De …spotify.com subdomeinen zijn in ieder geval van Spotify zelf.

Little Snitch data en snelheid

De tijdbalk onderin is een grafiek van de inkomende en uitgaande data. Het schuifje rechtsonder bepaald hoeveel tijd er op de x-as past. Door over de grafiek te wijzen de muiscursor, wordt het tijdstip en de gebruikte snelheid zichtbaar.

Little Snitch netwerk activiteit grafiek uitvergroot

Je kan zelfs een stuk grafiek selecteren door te sleuren met de muiscursor, waarna meer details in beeld komen, zoals hierboven wanneer malware-scanner Malwarebytes gestart werd. Daarna veranderde er weinig aan de netwerk-activiteit omdat dit programma al geüpdate was.

Het is niet mijn bedoeling alle mogelijkheden op een rijtje te zetten maar je hebt nu een indruk van de belangrijkste functies. Ook leuk om te weten:

Automatiseren door middel van regels

Je kunt de meldingen van Little Snitch onderdrukken via de ‘silent mode’ voor het geval je niet afgeleid wilt worden. Daarbij kun je kiezen of pogingen van software om verbinding te maken met ‘onbekende’ servers intussen door mogen gaan of juist niet. Handiger is het om een aantal regels op te stellen, zodat er sowieso geen Little Snitch popups meer verschijnen.

Interessant artikel? Wil je een aanvulling zien over hoe de regels werken? Stuur me een mailtje, dan neem ik het in overweging.

TLDR;

Zelfs experts zullen zonder nader onderzoek niet van elk proces kunnen zeggen wat het doet, maar Little Snitch onthult in ieder geval meer details over welke applicatie het netwerk gebruikt en met welke server. Misschien wel nog interessanter is de optie te bepalen welke contacten precies wel of niet mogen worden gemaakt.

Geef een reactie