Cruise, kumpanija li tispeċjalizza fit-teknoloġiji tas-sewqan awtomatizzat, kodiċi tas-sors tal-proġett , li jipprovdi għodod għall-analiżi ta 'immaġini tal-firmware bbażati fuq Linux u tidentifika vulnerabbiltajiet potenzjali u tnixxijiet tad-dejta fihom. Il-kodiċi huwa miktub bil-lingwa Go u liċenzjat taħt Apache 2.0.
Jappoġġja analiżi ta 'immaġini bl-użu ta' sistemi ta 'fajls ext2/3/4, FAT/VFat, SquashFS u UBIFS. Biex tiftaħ l-immaġni, jintużaw utilitajiet standard, bħal e2tools, mtools, squashfs-tools u ubi_reader. FwAnalyzer estratti s-siġra tad-direttorju mill-immaġni u jevalwa l-kontenut ibbażat fuq sett ta 'regoli. Ir-regoli jistgħu jkunu marbuta mal-metadejta tas-sistema tal-fajls, it-tip tal-fajl u l-kontenut. L-output huwa rapport fil-format JSON, li jiġbor fil-qosor l-informazzjoni estratta mill-firmware u juri twissijiet u lista ta 'fajls li ma jikkonformawx mar-regoli pproċessati.
Jappoġġja l-iċċekkjar tad-drittijiet ta’ aċċess għal fajls u direttorji (pereżempju, jiskopri aċċess għall-kitba għal kulħadd u jistabbilixxi UID/GID mhux korrett), jiddetermina l-preżenza ta’ fajls eżekutibbli bil-bandiera suid u l-użu ta’ tikketti SELinux, jidentifika ċwievet ta’ encryption minsija u potenzjalment fajls perikolużi. Il-kontenut jenfasizza l-passwords tal-inġinerija abbandunati u d-dejta tad-debugging, jenfasizza l-informazzjoni tal-verżjoni, jidentifika/jivverifika l-ħardwer bl-użu tal-hashes SHA-256, u jfittex bl-użu ta’ maskri statiċi u espressjonijiet regolari. Huwa possibbli li tgħaqqad skripts ta' analizzatur estern ma' ċerti tipi ta' fajls. Għall-firmware ibbażat fuq Android, il-parametri tal-bini huma definiti (per eżempju, bl-użu tal-mod ro.secure=1, ro.build.type state u l-attivazzjoni SELinux).
FwAnalyzer jista 'jintuża biex jissimplifika l-analiżi ta' kwistjonijiet ta 'sigurtà fil-firmware ta' partijiet terzi, iżda l-għan ewlieni tiegħu huwa li jimmonitorja l-kwalità tal-firmware li huwa proprjetà jew fornut minn bejjiegħa ta 'kuntratt ta' partijiet terzi. Ir-regoli tal-FwAnalyzer jippermettulek tiġġenera speċifikazzjoni preċiża tal-istat tal-firmware u tidentifika devjazzjonijiet inaċċettabbli, bħall-assenjazzjoni tad-drittijiet tal-aċċess ħżiena jew li tħalli ċwievet privati u kodiċi tad-debugging (pereżempju, il-kontroll jippermettilek tevita sitwazzjonijiet bħal użat waqt l-ittestjar tas-server ssh, password tal-inġinerija, biex taqra /etc/config/shadow jew formazzjoni ta’ firma diġitali).
Sors: opennet.ru