Cruise, uzņēmums, kas specializējas automatizētās braukšanas tehnoloģijās, projekta pirmkodi , kas nodrošina rīkus uz Linux balstītas programmaparatūras attēlu analīzei un iespējamo ievainojamību un datu noplūdes identificēšanai tajos. Kods ir uzrakstīts Go valodā un licencēts saskaņā ar Apache 2.0.
Atbalsta attēlu analīzi, izmantojot ext2/3/4, FAT/VFat, SquashFS un UBIFS failu sistēmas. Lai atvērtu attēlu, tiek izmantotas standarta utilītas, piemēram, e2tools, mtools, squashfs-tools un ubi_reader. FwAnalyzer no attēla iegūst direktoriju koku un novērtē saturu, pamatojoties uz noteikumu kopumu. Noteikumus var saistīt ar failu sistēmas metadatiem, faila tipu un saturu. Izvade ir pārskats JSON formātā, kurā apkopota informācija, kas iegūta no programmaparatūras, un tiek parādīti brīdinājumi un to failu saraksts, kas neatbilst apstrādātajiem noteikumiem.
Tā atbalsta piekļuves tiesību pārbaudi failiem un direktorijiem (piemēram, nosaka rakstīšanas piekļuvi ikvienam un iestata nepareizu UID/GID), nosaka izpildāmo failu klātbūtni ar suid karogu un SELinux tagu izmantošanu, identificē aizmirstās šifrēšanas atslēgas un, iespējams, bīstami faili. Saturs izceļ pamestas inženierijas paroles un atkļūdošanas datus, izceļ informāciju par versiju, identificē/pārbauda aparatūru, izmantojot SHA-256 jaucējus, un meklē, izmantojot statiskas maskas un regulārās izteiksmes. Ir iespējams saistīt ārējā analizatora skriptus ar noteiktiem failu tipiem. Uz Android balstītai programmaparatūrai ir definēti būvēšanas parametri (piemēram, izmantojot režīmu ro.secure=1, statusu ro.build.type un SELinux aktivizēšanu).
FwAnalyzer var izmantot, lai vienkāršotu trešās puses programmaparatūras drošības problēmu analīzi, taču tā galvenais mērķis ir pārraudzīt trešās puses līgumpārdevēju īpašumā vai piegādātās programmaparatūras kvalitāti. FwAnalyzer noteikumi ļauj ģenerēt precīzu programmaparatūras stāvokļa specifikāciju un identificēt nepieņemamas novirzes, piemēram, nepareizu piekļuves tiesību piešķiršanu vai privāto atslēgu un atkļūdošanas koda atstāšanu (piemēram, pārbaude ļauj izvairīties no tādām situācijām kā izmanto ssh servera testēšanas stadijā, inženierijas parole, lai lasītu /etc/config/shadow vai digitālā paraksta veidošana).
Avots: opennet.ru