Laajennettu HW pentest + CRA evidence

Löydä laitteen todellinen hyökkäyspinta ennen kuin asiakas tai arvioija löytää sen.

Rajattu, käytännönläheinen arviointi yhdistää HW pentestin, board inspectionin, debug-rajapinnat, firmware-polun ja CRA-valmiutta tukevan evidenssimatriisin.

Acecode electronics lab and embedded hardware work

Mihin palvelu on tarkoitettu

Tämä on käytännössä laajennettu HW pentest verkkoon kytkeytyvälle embedded-laitteelle. Perinteisen pentestin tavoin se etsii laitteen todellista hyökkäyspintaa, mutta toimitus on rakennettu laajemmaksi: löydökset, labra-evidenssi, korjauspolku ja CRA-valmiutta tukeva evidenssimatriisi samaan kokonaisuuteen.

Arviointi on tarkoitettu valmistajille, jotka tarvitsevat käytännön evidenssiin perustuvan näkymän laitteen todelliseen hyökkäyspintaan. Se sopii erityisesti ennen asiakasarviointeja, kumppanikatselmuksia, CRA-valmistelua, sertifiointikeskusteluja tai tuoteturvallisuuden korjauskierrosta.

Työ tehdään insinöörilähtöisesti: ensin rajaus ja turvallinen käsittely, sitten näkyvät pinnat, board-tason havainnot, debug- ja huoltopolut, firmware-ketju ja lopuksi löydökset, joiden perusteella tuotekehitys voi tehdä päätöksiä.

Mitä arvioidaan

  • Fyysiset ja loogiset debug-polut: UART, JTAG, SWD, SPI, I2C ja tuotantotestauksen jäämät.
  • Boot-, reset-, huolto- ja diagnostiikkakäytös.
  • Firmware-kuvan saatavuus, versiointi, pakkaus ja staattinen tarkastelu sovitussa scopessa.
  • Secure boot, päivitykset, rollback, recovery ja laiteidentiteetti.
  • Komponentti- ja SoC-tason turvaväitteet lopputuotteen näkökulmasta.
  • Evidenssijäljitettävyys tekniseen dokumentaatioon ja korjaussuunnitteluun.

Miten työ etenee

  • Scope, käyttöehdot, testirajat ja chain-of-custody.
  • Black-box-katselmus: portit, palvelut, käynnistys, resetointi, päivitys- ja huoltopolut.
  • Board inspection: merkinnät, komponentit, testipisteet, liittimet, debug-jäljet ja mittauskohteet.
  • Firmware- ja update-polun tarkastelu sovitun saatavuuden ja riskin mukaan.
  • Löydösten priorisointi: vaikutus, toistettavuus, korjattavuus ja hyväksymiskriteerit.

Toimitukset

  • Johdon yhteenveto.
  • Tekniset löydökset vakavuudella, vaikutuksella ja korjaussuosituksilla.
  • Evidenssiin kytketyt havaintoviitteet.
  • CRA-jäljitettävyysnäkymä ja evidenssimatriisi tarvittaessa.
  • Uusintestauksen hyväksymiskriteerit.

Rajaukset

Acecode ei tarjoa juridista CRA-sertifiointia eikä toimi Notified Body -roolissa. Arviointi tuottaa teknistä evidenssiä ja käytännön korjaussuosituksia valmistajan oman vaatimustenmukaisuustyön ja valitun arviointipolun tueksi.

Arkaluonteiset menetelmädetaljit, tarkat hyödyntämisparametrit ja raakadata käsitellään erillään laajasti jaettavasta raportista.

Arvioinnin käytännön rakenne

01

Hyökkäyspinta

02

Firmware-polku

03

Evidenssi