Cruise, eng Firma spezialiséiert op automatiséiert Fuere Technologien, Projet Quell Coden , déi Tools ubitt fir Linux-baséiert Firmware-Biller ze analyséieren an potenziell Schwachstelle an Datenleckungen an hinnen z'identifizéieren. De Code ass a Go an lizenzéiert ënner Apache 2.0.
Ënnerstëtzt Analyse vu Biller mat ext2/3/4, FAT/VFat, SquashFS an UBIFS Dateisystemer. Fir d'Bild opzemaachen, gi Standard Utilities benotzt, wéi e2tools, mtools, squashfs-Tools an ubi_reader. FwAnalyzer extrahéiert de Verzeichnisbaum aus dem Bild an evaluéiert den Inhalt baséiert op enger Rei vu Reegelen. Regele kënnen un Dateisystem Metadaten, Dateityp an Inhalt gebonnen ginn. Den Ausgang ass e Bericht am JSON-Format, deen d'Informatioun aus der Firmware extrahéiert resüméiert an d'Warnungen an eng Lëscht vu Dateien weist, déi net mat de veraarbechte Reegelen entspriechen.
Et ënnerstëtzt d'Kontroll vun Zougangsrechter fir Dateien an Verzeichnisser (zum Beispill, et erkennt Schreifzougang fir jiddereen a setzt falsch UID / GID), bestëmmt d'Präsenz vun ausführbaren Dateien mam suid Fändel an d'Benotzung vun SELinux Tags, identifizéiert vergiesse Verschlësselungsschlësselen a potenziell geféierlech Fichieren. Den Inhalt beliicht opginn Ingenieur Passwierder an Debugging Daten, Highlight Versiounsinformatioun, identifizéiert / verifizéiert Hardware mat SHA-256 Hashes, a sicht mat statesche Masken a reegelméissegen Ausdrock. Et ass méiglech extern Analyser Scripte mat bestëmmte Dateitypen ze verbannen. Fir Android-baséiert Firmware, bauen Parameteren definéiert (Zum Beispill, benotzt ro.secure = 1 Modus, ro.build.type Staat an SELinux Aktivéierung).
FwAnalyzer ka benotzt ginn fir d'Analyse vu Sécherheetsprobleemer an Drëtt-Partei Firmware ze vereinfachen, awer säin Haaptziel ass d'Qualitéit vun der Firmware ze iwwerwaachen, déi vun Drëtt-Partei Kontrakt Ubidder Besëtz oder geliwwert gëtt. FwAnalyzer Regelen erlaben Iech eng genee Spezifizéierung vun der Firmware Staat ze generéieren an inakzeptabel Ofwäichunge z'identifizéieren, wéi déi falsch Zougang Rechter zouzeschreiwen oder privat Schlësselen an Debugging Code ze verloossen (zum Beispill, Check erlaabt Iech Situatiounen ze vermeiden wéi z.B. benotzt an der Teststadium vum ssh Server, Ingenieur Passwuert, fir /etc/config/shadow oder Bildung vun enger digitaler Ënnerschrëft).
Source: opennet.ru