Manche Personal Firewalls bieten ein Feature zur Überprüfung des Datenverkehrs auf persönliche Daten wie z.B Pin`s, Passwörter (Ebay) Telefonnummern, Kreditkartennummern. Dazu hinterlegt man diese Daten in einem zentralen Formular der Firewall, die daraufhin ausgehenden Datenverkehr auf diese Muster prüft und ggf. sperrt. Kerio, ZoneAlarm und Norton implementieren dieses Feature. Dies ist sehr fragwürdig, denn z.B bei einer https Verbindung kann die Firewall den Verkehr gar nicht scannen! Es genügt aber auch eine einfache Kodierung wie rot13 oder base64, um die Firewall zu umgehen. Dies Feature ist nicht nur nutzlos, sondern bringt eine zusätzliche Gefahr.: Ein Angreifer hat eine zentrale Anlaufstelle, um Kreditkartennummern und Passwörter abzugreifen. Mit hilfe von Fensternachrichten kann das Programm des Angreifers sich einfach zum Eingabeformular der Firewall durchklicken und dort die Angaben auslesen. Das geht nur bei ZoneAlarm nicht, da dort die Daten als Sternchen ***** erscheinen. Doch auch hier kann ein Angreifer die Pin`s herausfinden. Er lockt das Opfer auf eine Webseite, wo automatisiert URL`s geladen werden, die alle vierstellige Zahlen enthalten. Diejenige URL, die nicht angesurft wird, ist die mit der PIN des Benutzers. Da alle Firewalls Dienste installieren die mit Systemrechten laufen, bieten sie Angriffspunkte für Privilege Elevation Attacks. Dienste sollen gemäß den Vorgaben von Microsoft keine Fenster öffnen aber manche Firewall ignoriert diese Vorgabe. Es sind also Angriffe die sind nicht möglich, obwohl eine Firewall installiert ist, sondern "weil" eine Firewall installiert ist...
fnmueller1
IDE-ATAPI
