Na conferência de segurança DefCon de 2012 em Las Vegas, Ang Cui, um pesquisador de segurança de dispositivos incorporados, visualizou uma ferramenta para analisar firmware, o software fundamental que sustenta qualquer computador e coordenadas entre hardware e software. A ferramenta foi projetada especificamente para elucidar o firmware do dispositivo da Internet das Coisas (IoT) e os “binários” compilados executados em qualquer coisa, desde uma impressora doméstica até um controlador de porta industrial. Apelidado de FRAK, o Firmware Reverse Analysis Console tinha como objetivo reduzir a sobrecarga para que os pesquisadores de segurança pudessem progredir na avaliação da vasta e crescente população de dispositivos embarcados com bugs e vulneráveis, em vez de ficar atolado no tedioso trabalho de preparação de engenharia reversa. Cui prometeu que em breve a ferramenta seria de código aberto e disponível para qualquer pessoa usar.
“Isso é realmente útil se você quiser entender como um misterioso dispositivo incorporado funciona, se existem vulnerabilidades internas e como você pode proteger esses dispositivos incorporados contra exploração”, explicou Cui em 2012. “O FRAK será de código aberto muito em breve, então estamos trabalhando duro para divulgar isso. Eu quero fazer mais uma revisão interna do código antes que vocês vejam minha roupa suja.”
Ele não era nada além de completo. Uma década depois, Cui e sua empresa, Red Balloon Security, estão lançando o Ofrak, ou OpenFRAK, na DefCon em Las Vegas esta semana.
“Em 2012 eu pensei, aqui está uma estrutura que ajudaria os pesquisadores a avançar na segurança incorporada. E eu subi no palco e disse, acho que a comunidade deveria ter. E recebi vários e-mails de vários advogados”, disse Cui à WIRED antes do lançamento. “A segurança incorporada é um espaço que absolutamente precisamos ter mais bons olhos e cérebros. Precisávamos disso há 10 anos e finalmente encontramos uma maneira de fornecer esse recurso. Então aqui está.”
Embora ainda não tenha cumprido seu destino como uma ferramenta publicamente disponível, o FRAK também não definhou todos esses anos. A Red Balloon Security continuou refinando e expandindo a plataforma para uso interno em seu trabalho com fabricantes de dispositivos IoT e clientes que precisam de um alto nível de segurança dos dispositivos incorporados que compram e implantam. Jacob Strieb, engenheiro de software da Red Balloon, diz que a empresa sempre usou FRAK em seu fluxo de trabalho, mas que Ofrak é uma versão reformulada e simplificada para a qual a própria Red Balloon mudou.
A demonstração de FRAK de Cui em 2012 levantou alguns problemas porque o conceito incluía descompactadores de firmware personalizados para produtos de fornecedores específicos. Hoje, Ofrak é simplesmente uma ferramenta geral que não entra em potenciais segredos comerciais ou preocupações de propriedade intelectual. Como outras plataformas de engenharia reversa, incluindo a ferramenta Ghidra de código aberto da NSA, o robusto desmontador IDA ou a ferramenta de análise de firmware Binwalk, o Ofrak é uma estrutura investigativa neutra. E a nova oferta do Red Balloon foi projetada para se integrar a essas outras plataformas para facilitar a colaboração entre várias pessoas.
“O que o torna único é que ele foi projetado para fornecer uma interface comum para outras ferramentas, então o benefício é que você pode usar todas as ferramentas diferentes, dependendo do que você tem à sua disposição ou o que funciona melhor para um determinado projeto”, diz Strieb.
