Cruise, automatisoituihin ajotekniikoihin erikoistunut yritys, projektin lähdekoodit , joka tarjoaa työkaluja Linux-pohjaisten laiteohjelmistokuvien analysoimiseen ja mahdollisten haavoittuvuuksien ja tietovuotojen tunnistamiseen niissä. Koodi on kirjoitettu Go-kielellä ja lisensoitu Apache 2.0:lla.
Tukee kuvien analysointia ext2/3/4-, FAT/VFat-, SquashFS- ja UBIFS-tiedostojärjestelmillä. Kuvan avaamiseen käytetään tavallisia apuohjelmia, kuten e2tools, mtools, squashfs-tools ja ubi_reader. FwAnalyzer poimii kuvasta hakemistopuun ja arvioi sisällön sääntöjen perusteella. Säännöt voidaan sitoa tiedostojärjestelmän metatietoihin, tiedostotyyppiin ja sisältöön. Tulos on JSON-muotoinen raportti, joka sisältää yhteenvedon laiteohjelmistosta poimituista tiedoista ja näyttää varoitukset ja luettelon tiedostoista, jotka eivät ole käsiteltyjen sääntöjen mukaisia.
Se tukee tiedostojen ja hakemistojen käyttöoikeuksien tarkistamista (esimerkiksi se havaitsee kaikkien kirjoitusoikeudet ja asettaa virheellisen UID/GID:n), määrittää suoritettavien tiedostojen olemassaolon suid-lipulla ja SELinux-tunnisteiden käytön, tunnistaa unohtuneet salausavaimet ja mahdollisesti vaarallisia tiedostoja. Sisältö korostaa hylättyjä teknisiä salasanoja ja virheenkorjaustietoja, korostaa versiotietoja, tunnistaa/varmentaa laitteiston SHA-256-tiivisteillä ja hakee käyttämällä staattisia maskeja ja säännöllisiä lausekkeita. On mahdollista linkittää ulkoiset analysaattoriskriptit tiettyihin tiedostotyyppeihin. Android-pohjaisille laiteohjelmistoille määritetään koontiparametrit (esimerkiksi käyttämällä ro.secure=1-tilaa, ro.build.type-tilaa ja SELinux-aktivointia).
FwAnalyzeriä voidaan käyttää yksinkertaistamaan kolmannen osapuolen laiteohjelmiston tietoturvaongelmien analysointia, mutta sen päätarkoitus on valvoa kolmannen osapuolen sopimusvalmistajien omistaman tai toimittaman laiteohjelmiston laatua. FwAnalyzer-sääntöjen avulla voit luoda tarkan laiteohjelmiston tilan määrittelyn ja tunnistaa ei-hyväksyttäviä poikkeamia, kuten väärien käyttöoikeuksien myöntämisen tai yksityisten avainten ja virheenkorjauskoodin jättämisen (esim. tarkistamalla voit välttää tilanteet, kuten käytetään ssh-palvelimen testausvaiheessa, suunnittelun salasana, lukeaksesi /etc/config/shadow tai digitaalisen allekirjoituksen muodostaminen).
Lähde: opennet.ru