Cruise, empresa especializada en tecnoloxías de condución automatizada, códigos fonte do proxecto , que proporciona ferramentas para analizar imaxes de firmware baseadas en Linux e identificar posibles vulnerabilidades e fugas de datos nelas. O código está escrito en linguaxe Go e licenciado baixo Apache 2.0.
Admite análise de imaxes mediante sistemas de ficheiros ext2/3/4, FAT/VFat, SquashFS e UBIFS. Para abrir a imaxe utilízanse utilidades estándar, como e2tools, mtools, squashfs-tools e ubi_reader. FwAnalyzer extrae a árbore de directorios da imaxe e avalía o contido baseándose nun conxunto de regras. As regras pódense vincular aos metadatos do sistema de ficheiros, ao tipo de ficheiro e ao contido. A saída é un informe en formato JSON, que resume a información extraída do firmware e mostra avisos e unha lista de ficheiros que non cumpren as regras procesadas.
Admite a comprobación de dereitos de acceso a ficheiros e directorios (por exemplo, detecta o acceso de escritura para todos e establece un UID/GID incorrecto), determina a presenza de ficheiros executables coa marca suid e o uso de etiquetas SELinux e identifica as claves de cifrado esquecidas e ficheiros potencialmente perigosos. O contido destaca contrasinais de enxeñería abandonados e datos de depuración, destaca a información de versións, identifica/verifica o hardware mediante hash SHA-256 e busca mediante máscaras estáticas e expresións regulares. É posible vincular scripts de analizadores externos a determinados tipos de ficheiros. Para o firmware baseado en Android, defínense os parámetros de compilación (por exemplo, usando o modo ro.secure=1, o estado ro.build.type e a activación de SELinux).
FwAnalyzer pódese usar para simplificar a análise de problemas de seguridade no firmware de terceiros, pero o seu obxectivo principal é supervisar a calidade do firmware que posúe ou fornece provedores de contratos de terceiros. As regras de FwAnalyzer permítenche xerar unha especificación precisa do estado do firmware e identificar desviacións inaceptables, como asignar dereitos de acceso incorrectos ou deixar claves privadas e código de depuración (por exemplo, a comprobación permítelle evitar situacións como usado durante a proba do servidor ssh, contrasinal de enxeñería, para ler /etc/config/shadow ou formación dunha sinatura dixital).
Fonte: opennet.ru