• IT-Karriere:
  • Services:

Heftige Kritik an Fireeye

Das Vorgehen von Fireeye gegen ERNW hat in der IT-Security-Community zu vielen Diskussionen geführt. Insbesondere, dass Fireeye mit juristischen Methoden gegen Sicherheitsforscher vorging, empfanden viele als unangemessen. "Es ist verstörend zu sehen, wie Fireeye Forscher behandelt, die Sicherheitslücken melden", äußerte sich etwa der Kryptograph Matthew Green auf Twitter. Andere wurden noch deutlicher: "Der Fehler war hier, überhaupt mit dem Hersteller zu verhandeln", schrieb der seit kurzem für Uber arbeitende Charlie Miller, bekannt durch den kürzlich erfolgten Hack eines Chrysler-Jeeps. "Gebt ihnen einen fairen Zeitraum bis zur Veröffentlichung und dann bleibt dabei." Auf der 44CON wurden Aufkleber mit der Aufschrift #FUCKFIREEYE verteilt.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Berlin
  2. ADG Apotheken-Dienstleistungsgesellschaft mbH, Herne

Fireeye rechtfertigte sein Vorgehen in einem langen Blogeintrag. Enno Rey, Geschäftsführer von ERNW, stellte seine Sicht der Dinge ebenfalls in einem Blogeintrag dar und drückte seine Enttäuschung über das Vorgehen von Fireeye aus.

Zum von Kristian Erik Hermansen geforderten Bug-Bounty-Programm schreibt Fireeye, dass es dabei einige Schwierigkeiten gebe und das Unternehmen sich daher bisher gegen ein solches Programm entschieden habe. Offenbar will Fireeye daran auch vorläufig nichts ändern. Der Konzern verweist dabei auch darauf, dass in ihrem Umfeld - also Unternehmen, die ähnliche IT-Sicherheitsprodukte herstellen - kein einziges Unternehmen ein Bug-Bounty-Programm öffentlich bekanntgegeben habe.

Fireeye verteidigt sich

Zum Streit mit ERNW schreibt Fireeye, dass es mehrfach versucht habe, die Forscher darauf hinzuweisen, dass der Entwurf ihres Berichts sensible Informationen enthalte, und sie die Bitte geäußert hätten, diese zu entfernen. "Wir haben um ein persönliches Treffen in Las Vegas gebeten, um zu sehen, ob wir zu einem gemeinsam vereinbarten Bericht gelangen könnten", schreibt Fireeye. "Unglücklicherweise hatten wir zu diesem Zeitpunkt keine Garantie, dass ERNW die Inhalte dieses Entwurfs nicht veröffentlichen oder mündlich bekanntgeben würde."

Deshalb habe sich das Unternehmen entschlossen, einen Warnbrief zu senden und anschließend, nachdem ERNW diesen nicht unterschreiben wollte, die einstweilige Verfügung vor dem Landgericht Hamburg zu erwirken. Weder aus den Veröffentlichungen von ERNW noch aus dem Blogeintrag von Fireeye geht hervor, auf welcher Rechtsgrundlage das Landgericht Hamburg diese einstweilige Verfügung erteilte.

Fireeye will reden

Fireeye betont in dem Blogeintrag, dass es sich der IT-Sicherheitsforschung eng verbunden fühle. "Lasst uns weiter reden", schreibt Fireeye und betont: "Wir sind aktiv in der Forschergemeinschaft und schätzen Feedback, um unsere Produkte zu verbessern." Unsere Anfrage an Fireeye blieb bislang unbeantwortet.

Wir haben versucht, mit den Forschern von ERNW über die Vorfälle zu sprechen. Sie erklärten uns, dass sie aufgrund der einstweiligen Verfügung nichts über Details des Vorfalls sagen möchten. Alle Informationen im Artikel stammen aus den öffentlich zugänglichen Quellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Buffer Overflows und Symlink-Angriffe ermöglichen Root-Zugriff
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. (u. a. Transport Fever 2 für 23,99€, Milanoir für 4,50€, Anno 1602 History Edition für 9...
  2. 50€-Gutschein für 44€
  3. 53,61€ (Bestpreis mit Media Markt!)
  4. (u. a. Sandisk Extreme 256GB SDXC für 54,99€, Western Digital 10 TB Elements Desktop externe...

irata 17. Sep 2015

Security through obscurity? So wie das Voynich-Manuskript? Hat man in 100 Jahren, oder...

M.P. 17. Sep 2015

Also darf auch der ADAC nicht bei Crash-Tests gefundene Schwächen eines Fahrzeuges...

M.P. 17. Sep 2015

Die Einstweilige Verfügung ist aber nicht gegen das "Geld kassieren" erfolgt, sondern...

Anonymer Nutzer 17. Sep 2015

Nach diesem absolut kopfkranken Urteil mal wieder vom LG Hamburg, dürften ja wohl alle...

Anonymer Nutzer 17. Sep 2015

Zitat: "Ein Team von Sicherheitsforschern wollte auf einer Konferenz über...


Folgen Sie uns
       


Windows Powertoys - Tutorial

Wir geben einen kurzen Überblick der Funktionen von Powertoys für Windows 10.

Windows Powertoys - Tutorial Video aufrufen
Survival-Sandbox-Spiele: Überlebenskämpfe im Sandkasten
Survival-Sandbox-Spiele
Überlebenskämpfe im Sandkasten

Survival-Sandbox-Spiele gibt für jeden Geschmack: Von brutalen Apokalypsen über exotische Dschungelwelten bis hin zur friedlichen Idylle.
Von Rainer Sigl

  1. Twitter & Reddit Viele Berichte über sexuelle Übergriffe in der Spielebranche
  2. Maneater im Test Bissiger Blödsinn
  3. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    Apple Silicon: Eigene Mac-GPU statt AMD- oder Nvidia-Grafik
    Apple Silicon
    Eigene Mac-GPU statt AMD- oder Nvidia-Grafik

    Geforce und Radeon fliegen raus - zumindest in Macs mit Apple Silicon statt Intel x86.

    1. ARM-Plattform Apple Silicon soll Thunderbolt unterstützen
    2. Developer Transition Kit Apples A12Z trotz Emulation flotter als Snapdragon 8cx

      •  /