شركة كروز المتخصصة في تقنيات القيادة الآلية، رموز مصدر المشروع ، والذي يوفر أدوات لتحليل صور البرامج الثابتة المستندة إلى Linux وتحديد نقاط الضعف المحتملة وتسرب البيانات فيها. الكود مكتوب بلغة Go و مرخص بموجب Apache 2.0.
يدعم تحليل الصور باستخدام أنظمة الملفات ext2/3/4 وFAT/VFat وSquashFS وUBIFS. لفتح الصورة، يتم استخدام الأدوات المساعدة القياسية، مثل e2tools وmtools وsquashfs-tools وubi_reader. يقوم FwAnalyzer باستخراج شجرة الدليل من الصورة وتقييم المحتوى بناءً على مجموعة من القواعد. يمكن ربط القواعد ببيانات تعريف نظام الملفات ونوع الملف والمحتوى. الإخراج عبارة عن تقرير بتنسيق JSON، يلخص المعلومات المستخرجة من البرنامج الثابت ويعرض التحذيرات وقائمة الملفات التي لا تتوافق مع القواعد التي تمت معالجتها.
وهو يدعم التحقق من حقوق الوصول إلى الملفات والأدلة (على سبيل المثال، يكتشف الوصول للكتابة للجميع ويعين UID/GID غير صحيح)، ويحدد وجود الملفات القابلة للتنفيذ مع علامة suid واستخدام علامات SELinux، ويحدد مفاتيح التشفير المنسية وربما ملفات خطيرة. يسلط المحتوى الضوء على كلمات المرور الهندسية المهجورة وبيانات تصحيح الأخطاء، ويسلط الضوء على معلومات الإصدار، ويحدد/يتحقق من الأجهزة باستخدام تجزئة SHA-256، ويبحث باستخدام الأقنعة الثابتة والتعبيرات العادية. من الممكن ربط البرامج النصية للمحلل الخارجي بأنواع ملفات معينة. بالنسبة للبرامج الثابتة المستندة إلى Android، يتم تحديد معلمات البناء (على سبيل المثال، استخدام وضع ro.secure=1 وحالة ro.build.type وتنشيط SELinux).
يمكن استخدام FwAnalyzer لتبسيط تحليل المشكلات الأمنية في البرامج الثابتة التابعة لجهات خارجية، ولكن الغرض الرئيسي منه هو مراقبة جودة البرامج الثابتة المملوكة أو المقدمة من قبل البائعين المتعاقدين مع الجهات الخارجية. تسمح لك قواعد FwAnalyzer بإنشاء مواصفات دقيقة لحالة البرنامج الثابت وتحديد الانحرافات غير المقبولة، مثل تعيين حقوق وصول خاطئة أو ترك مفاتيح خاصة ورمز تصحيح الأخطاء (على سبيل المثال، يتيح لك التحقق تجنب مواقف مثل تستخدم أثناء اختبار خادم ssh، كلمة مرور هندسية, لقراءة /etc/config/shadow أو تشكيل التوقيع الرقمي).
المصدر: opennet.ru