Cruise, et firma med speciale i automatiserede køreteknologier, projektets kildekoder , som giver værktøjer til at analysere Linux-baserede firmwarebilleder og identificere potentielle sårbarheder og datalæk i dem. Koden er skrevet på Go sprog og licenseret under Apache 2.0.
Understøtter analyse af billeder ved hjælp af ext2/3/4, FAT/VFat, SquashFS og UBIFS filsystemer. For at åbne billedet bruges standardværktøjer, såsom e2tools, mtools, squashfs-tools og ubi_reader. FwAnalyzer udtrækker mappetræet fra billedet og evaluerer indholdet baseret på et sæt regler. Regler kan knyttes til filsystemets metadata, filtype og indhold. Outputtet er en rapport i JSON-format, der opsummerer oplysningerne udtrukket fra firmwaren og viser advarsler og en liste over filer, der ikke overholder de behandlede regler.
Det understøtter kontrol af adgangsrettigheder til filer og mapper (det registrerer f.eks. skriveadgang for alle og indstiller forkert UID/GID), bestemmer tilstedeværelsen af eksekverbare filer med suid-flaget og brugen af SELinux-tags, identificerer glemte krypteringsnøgler og potentielt farlige filer. Indholdet fremhæver forladte tekniske adgangskoder og fejlretningsdata, fremhæver versionsoplysninger, identificerer/verificerer hardware ved hjælp af SHA-256-hashes og søgninger ved hjælp af statiske masker og regulære udtryk. Det er muligt at linke eksterne analysatorscripts til bestemte filtyper. For Android-baseret firmware er build-parametre defineret (for eksempel ved hjælp af ro.secure=1-tilstand, ro.build.type-tilstand og SELinux-aktivering).
FwAnalyzer kan bruges til at forenkle analysen af sikkerhedsproblemer i tredjeparts firmware, men dets hovedformål er at overvåge kvaliteten af firmware, der ejes eller leveres af tredjeparts kontraktleverandører. FwAnalyzer-regler giver dig mulighed for at generere en nøjagtig specifikation af firmwaretilstanden og identificere uacceptable afvigelser, såsom tildeling af forkerte adgangsrettigheder eller efterladelse af private nøgler og fejlretningskode (f.eks. tjek giver dig mulighed for at undgå situationer som f.eks. bruges under test af ssh-serveren, teknisk adgangskode, at læse /etc/config/shadow eller dannelse af en digital signatur).
Kilde: opennet.ru