Mihin palvelu on tarkoitettu
Tämä on käytännössä laajennettu HW pentest verkkoon kytkeytyvälle embedded-laitteelle. Perinteisen pentestin tavoin se etsii laitteen todellista hyökkäyspintaa, mutta toimitus on rakennettu laajemmaksi: löydökset, labra-evidenssi, korjauspolku ja CRA-valmiutta tukeva evidenssimatriisi samaan kokonaisuuteen.
Arviointi on tarkoitettu valmistajille, jotka tarvitsevat käytännön evidenssiin perustuvan näkymän laitteen todelliseen hyökkäyspintaan. Se sopii erityisesti ennen asiakasarviointeja, kumppanikatselmuksia, CRA-valmistelua, sertifiointikeskusteluja tai tuoteturvallisuuden korjauskierrosta.
Työ tehdään insinöörilähtöisesti: ensin rajaus ja turvallinen käsittely, sitten näkyvät pinnat, board-tason havainnot, debug- ja huoltopolut, firmware-ketju ja lopuksi löydökset, joiden perusteella tuotekehitys voi tehdä päätöksiä.
Mitä arvioidaan
- Fyysiset ja loogiset debug-polut: UART, JTAG, SWD, SPI, I2C ja tuotantotestauksen jäämät.
- Boot-, reset-, huolto- ja diagnostiikkakäytös.
- Firmware-kuvan saatavuus, versiointi, pakkaus ja staattinen tarkastelu sovitussa scopessa.
- Secure boot, päivitykset, rollback, recovery ja laiteidentiteetti.
- Komponentti- ja SoC-tason turvaväitteet lopputuotteen näkökulmasta.
- Evidenssijäljitettävyys tekniseen dokumentaatioon ja korjaussuunnitteluun.
Miten työ etenee
- Scope, käyttöehdot, testirajat ja chain-of-custody.
- Black-box-katselmus: portit, palvelut, käynnistys, resetointi, päivitys- ja huoltopolut.
- Board inspection: merkinnät, komponentit, testipisteet, liittimet, debug-jäljet ja mittauskohteet.
- Firmware- ja update-polun tarkastelu sovitun saatavuuden ja riskin mukaan.
- Löydösten priorisointi: vaikutus, toistettavuus, korjattavuus ja hyväksymiskriteerit.
Toimitukset
- Johdon yhteenveto.
- Tekniset löydökset vakavuudella, vaikutuksella ja korjaussuosituksilla.
- Evidenssiin kytketyt havaintoviitteet.
- CRA-jäljitettävyysnäkymä ja evidenssimatriisi tarvittaessa.
- Uusintestauksen hyväksymiskriteerit.
Rajaukset
Acecode ei tarjoa juridista CRA-sertifiointia eikä toimi Notified Body -roolissa. Arviointi tuottaa teknistä evidenssiä ja käytännön korjaussuosituksia valmistajan oman vaatimustenmukaisuustyön ja valitun arviointipolun tueksi.
Arkaluonteiset menetelmädetaljit, tarkat hyödyntämisparametrit ja raakadata käsitellään erillään laajasti jaettavasta raportista.