Cruise, empresa especializada en tecnologías de conducción automatizada, códigos fuente del proyecto , que proporciona herramientas para analizar imágenes de firmware basadas en Linux e identificar posibles vulnerabilidades y fugas de datos en ellas. El código está escrito en Go y licenciado bajo Apache 2.0.
Admite análisis de imágenes utilizando los sistemas de archivos ext2/3/4, FAT/VFat, SquashFS y UBIFS. Para abrir la imagen se utilizan utilidades estándar, como e2tools, mtools, squashfs-tools y ubi_reader. FwAnalyzer extrae el árbol de directorios de la imagen y evalúa el contenido según un conjunto de reglas. Las reglas se pueden vincular a los metadatos del sistema de archivos, el tipo de archivo y el contenido. El resultado es un informe en formato JSON, que resume la información extraída del firmware y muestra advertencias y una lista de archivos que no cumplen con las reglas procesadas.
Admite verificar los derechos de acceso a archivos y directorios (por ejemplo, detecta el acceso de escritura para todos y establece UID/GID incorrecto), determina la presencia de archivos ejecutables con el indicador suid y el uso de etiquetas SELinux, identifica claves de cifrado olvidadas y potencialmente archivos peligrosos. El contenido resalta contraseñas de ingeniería abandonadas y datos de depuración, resalta información de versión, identifica/verifica hardware usando hashes SHA-256 y búsquedas usando máscaras estáticas y expresiones regulares. Es posible vincular scripts de analizadores externos a ciertos tipos de archivos. Para el firmware basado en Android, se definen los parámetros de compilación (por ejemplo, usando el modo ro.secure=1, el estado ro.build.type y la activación de SELinux).
FwAnalyzer se puede utilizar para simplificar el análisis de problemas de seguridad en firmware de terceros, pero su objetivo principal es monitorear la calidad del firmware que pertenece o es suministrado por proveedores contratados de terceros. Las reglas de FwAnalyzer le permiten generar una especificación precisa del estado del firmware e identificar desviaciones inaceptables, como asignar derechos de acceso incorrectos o dejar claves privadas y códigos de depuración (por ejemplo, la verificación le permite evitar situaciones como utilizado durante las pruebas del servidor ssh, contraseña de ingeniería, para leer /etc/config/shadow o formación de una firma digital).
Fuente: opennet.ru