LittleSnitch: come si usa il miglior firewall personale per Mac

Se mi seguite da un po’, saprete che faccio molto affidamento sui software open-source o free. Ho scritto già cinque o sei articoli sulle migliori applicazioni gratuite per Snow Leopard e sono convinto che in moltissimi casi bastino queste per raggiungere i propri scopi, in ambito casalingo e soho. E anche se sappiamo che trovare software cosìdetto “pirata” nel grande mercato del p2p è semplicissimo, preferisco cavarmela con le sole applicazioni che ho acquistato, affiancate a quelle gratuite. Più di una volta ho comprato bundle di software a prezzi scontatissimi, sfruttando le offerte che vi segnalo io stesso sul Blog, ottenendo license di decine di piccoli (e grandi) software. Ma per alcuni particolari settori i freeware non bastano ed in tali casi non ho avuto dubbi in merito l’acquisto di validi applicativi commerciali.

Il software che vorrei recensire oggi è un firewall. Detta in maniera molto rude e semplicistica, un programma che filtra le connessioni internet in uscita ed in entrata del nostro Mac. Utilizzando un firewall personale un utente ha la possibilità di monitorare e, volendo, limitare le connessioni da e verso il web di ogni singola applicazione o servizio. Lo scopo principale di questa attività è quello di scongiurare ogni possibile vulnerabilità, per mantere al sicuro il nostro computer e i nostri dati.

Snow Leopard è dotato di un firewall integrato, anche se piuttosto limitato. Con questo abbiamo la sola possibilità di decidere se accettare o meno le connessioni in ingresso per ogni software. Ma non si può agire selettivamente sulle singole attività e, soprattutto, non vengono considerate le connessioni in uscita (ovvero dal nostro Mac verso la rete). Con il software NoobProof (gratuito) un utente esperto può accedere però alle funzioni evolute del firewall di Os X, anche se l’utilizzo è tutt’altro che immediato e richiede una buona dose di esperienza. Per chi volesse avere maggiore sicurezza e controllo sul proprio Mac, ma non ha la pazienza (e le competenze) per affrontare la ripida curva di apprendimento di NoobProof, la soluzione esiste e si chiama Little Snitch, che definisco senza indugi il miglior firewall personale per Mac. Tra l’altro il costo di 29,95€ è ampiamente ripagato dalla qualità e dalla semplicità d’uso del programma.

Dopo aver scaricato la versione di prova dal sito di Objective Development, procediamo all’installazione cliccando su Little Snitch Installer.

Accettiamo la licenza d’uso, inseriamo la nostra password amministrativa quando richiesta e al termine riavviamo il computer, cliccando su Restart. Già nella fase di avvio noteremo una nuova icona nella barra dei menu che rappresenta un grafico di due barre, rosse e verdi, che identificano le connessioni in entrata e in uscita. Di fianco una finestrella ombreggiata (chiamata Network Monitor) ci mostra lo stato delle connessioni. Questa può essere chiusa con una semplice pressione sul bottone (x) in alto a sinistra e si riattiva al passaggio del mouse sull’icona.

Da questo momento, a seconda della configurazione del nostro Mac, potremmo iniziare a ricevere messaggi da Little Snitch. Ecco come appaiono ed il significato in italiano di ogni opzione della maschera:

Prima di analizzare tutto nel dettaglio, chiariamo lo scopo di questa finestra. Dal momento in cui Little Snitch è installato, questo analizza tutte le connessioni da e verso la rete effettuate dai programmi e dai servizi. Per usare un semplice paragone, potremmo considerare che il firewall appena installato è ignorante. Per cui al presentarsi di una connessione chiede a noi come si deve comportare. In questo modo apprende, con il nostro aiuto, le regole da seguire per il futuro. Il primo giorno perciò sarà un po’ faticoso e faremo una bella indigestione di domande. Ma una volta stabilite tutte le regole primarie il software diventerà quasi invisibile e ci segnalerà solo le eccezioni o le connessioni inattese (che poi è il suo scopo).

Ora cerchiamo di capire cosa ci viene richiesto tramite l’interfaccia. La prima riga serve a definire la durata della regola che stiamo per creare. Once (una volta) è comoda quando vogliamo testare se negando una connessione ad un dato software o servizio questo continua a funzionare regolarmente o se mostri malfunzionamenti (cosa che può capitare in alcuni casi), così la prossima volta sappiamo se possiamo vietarla definitivamente, oppure se è necessario permetterla. Until Quit (fino all’uscita) applicherà la regola solo fino alla chiusura del programma, da utilizzare se per qualche motivo vogliamo negare o permettere ad un software la connettività di volta in volta in modo differente. Forever (per sempre) quando vogliamo applicare una regola definitiva. Facendo un esempio per Safari, che non ha senso di esistere senza possibilità di connettersi al web, converrà applicare una regola definitiva abilitando l’accesso (scegliendo quindi Forever).

L’area centrale presenta sempre diverse opzioni. Per capirla è necessario sapere che ogni scambio di pacchetti tramite, rete viene effettuato dal nostro computer, tramite una specifica porta, verso un altro indirizzo (o viceversa). Le quattro opzioni servono per specificare esattamente il tipo di traffico da accettare o negare. Nell’ultima voce leggiamo al completo i dati dell’attuale richiesta, deducendo quindi che Safari sta cercando di connettersi a www.saggiamente.com tramite la porta 80 (che è quella dell’HTTP, quindi della navigazione web). Chiaramente può anche capitare di non conoscere il programma o il servizio che cerca di collegarsi. In questi casi vi consiglio di non lasciarvi prendere dalla foga del controllo e di negare la connessione, molto meglio ottenere maggiori informazioni cliccando sul link Show Details (immagine sotto) e al massimo lasciare la finestra in attesa e fare una veloce ricerca con google per scoprire di più sul richiedente, che in alcuni casi può far parte proprio di Os X. Un caso d’esempio è quello del servizio che si collega ad internet per regolare automaticamente l’orologio a cui erroneamente anche io avevo negato l’accesso perché mi era arrivata come richiesta inattesa (e quindi per me sospetta) mentre non stavo facendo nulla (cosa normalissima perché i servizi lavorano in background e partono spesso ad orari prestabiliti).

Ricapitolando le singole opzioni servono per definire il contesto della regola:

  • Any Connection -> vale per tutte le connessioni
  • Port 80 TCP (http) -> vale solo per le connessioni sulla porta 80, ovvero quella dell’HTTP
  • www.saggiamente.com -> vale solo per l’indirizzo www.saggiamente.com
  • www.saggiamente.com & Port 80 TCP (http) -> è specifica e vale solo per quell’indirizzo su quella porta

In ultimo, dopo la definizione di durata e contesto, decidiamo il tipo di regola, ovvero se proibitiva (Deny) o permissiva (Allow).

Può sembrare contorto, ma dopo il primo giorno in cui dovrete rispondere a molte domande, non solo capirete benissimo la logica, ma soprattutto avrete il completo controllo di tutte le singole connessioni che il Mac effettua. Ovviamente l’attesa delle richieste non è l’unico metodo per configurare Little Snitch e neanche il migliore per dire la verità, piuttosto direi il più semplice. Per un controllo completo di tutte le opzioni o per creare e modificare regole personalizzate bisogna lanciare dalla cartella applicazioni Little Snitch Configuration, oppure selezionarlo dalla barra dei menu:

Il risultato è un pannello molto completo e chiaro, in cui ad ogni riga corrisponde una regola. Ecco qui quella che abbiamo creato poco prima:

Tramite il pulsante New possiamo aggiungere nuove regole per tutte le applicazioni (All Applications) o per una in particolare (identificandola sul disco), potendo poi selezionare indirizzo, porta e protocollo. Sulla destra la maschera di dettaglio (accessibile tramite Edit) della regola su Safari.

Little Snitch è un software da avere. Ha una interfaccia semplicissima e senza inutili fronzoli ed esegue benissimo il suo dovere. Non rallenta il computer ed è praticamente trasparente, integrandosi perfettamente con l’ambiente di lavoro.

Lo consiglio vivamente a tutti coloro, anche inesperti, che ricercano il massimo della sicurezza, ma anche agli smanettoni (a cui appartengo) che vogliono il completo controllo del proprio computer senza rinunciare alla semplicità di utilizzo di Little Snitch.

Promosso a pieni voti da SaggiaMente.

voto 5

Maurizio Natali

Titolare e caporedattore di SaggiaMente, è "in rete" da quando ancora non c'era, con un BBS nell'era dei dinosauri informatici. Nel 2009 ha creato questo sito nel tempo libero, ma ora richiede più tempo di quanto ne abbia da offrire. Profondo sostenitore delle giornate di 36 ore, influencer di sé stesso e guru nella pausa pranzo, da anni si abbronza solo con la luce del monitor. Fotografo e videografo per lavoro e passione.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.