Cruise, une entreprise spécialisée dans les technologies de conduite automatisée, codes sources du projet , qui fournit des outils pour analyser les images de micrologiciels basés sur Linux et identifier les vulnérabilités potentielles et les fuites de données. Le code est écrit en langage Go et sous licence Apache 2.0.
Prend en charge l'analyse des images à l'aide des systèmes de fichiers ext2/3/4, FAT/VFat, SquashFS et UBIFS. Pour ouvrir l'image, des utilitaires standards sont utilisés, tels que e2tools, mtools, squashfs-tools et ubi_reader. FwAnalyzer extrait l'arborescence des répertoires de l'image et évalue le contenu en fonction d'un ensemble de règles. Les règles peuvent être liées aux métadonnées du système de fichiers, au type de fichier et au contenu. La sortie est un rapport au format JSON, résumant les informations extraites du firmware et affichant des avertissements et une liste des fichiers non conformes aux règles traitées.
Il prend en charge la vérification des droits d'accès aux fichiers et répertoires (par exemple, il détecte l'accès en écriture pour tout le monde et définit un UID/GID incorrect), détermine la présence de fichiers exécutables avec l'indicateur suid et l'utilisation de balises SELinux, identifie les clés de cryptage oubliées et potentiellement fichiers dangereux. Le contenu met en évidence les mots de passe d'ingénierie abandonnés et les données de débogage, met en évidence les informations de version, identifie/vérifie le matériel à l'aide des hachages SHA-256 et effectue des recherches à l'aide de masques statiques et d'expressions régulières. Il est possible de lier des scripts d'analyseur externe à certains types de fichiers. Pour le micrologiciel basé sur Android, les paramètres de construction sont définis (par exemple, en utilisant le mode ro.secure=1, l'état ro.build.type et l'activation SELinux).
FwAnalyzer peut être utilisé pour simplifier l'analyse des problèmes de sécurité dans les micrologiciels tiers, mais son objectif principal est de surveiller la qualité du micrologiciel détenu ou fourni par des fournisseurs sous contrat tiers. Les règles FwAnalyzer vous permettent de générer une spécification précise de l'état du micrologiciel et d'identifier les écarts inacceptables, tels que l'attribution de droits d'accès incorrects ou le maintien de clés privées et de codes de débogage (par exemple, la vérification vous permet d'éviter des situations telles que utilisé lors des tests du serveur ssh, mot de passe d'ingénierie, lire /etc/config/shadow ou formation d'une signature numérique).
Source: opennet.ru