Cruise, firma specjalizująca się w technologiach zautomatyzowanej jazdy, kody źródłowe projektów , który udostępnia narzędzia do analizy obrazów oprogramowania sprzętowego opartego na systemie Linux i identyfikowania w nich potencjalnych luk w zabezpieczeniach oraz wycieków danych. Kod jest napisany w języku Go i na licencji Apache 2.0.
Obsługuje analizę obrazów przy użyciu systemów plików ext2/3/4, FAT/VFat, SquashFS i UBIFS. Do otwarcia obrazu służą standardowe narzędzia, takie jak e2tools, mtools, squashfs-tools i ubi_reader. FwAnalyzer wyodrębnia drzewo katalogów z obrazu i ocenia zawartość w oparciu o zestaw reguł. Reguły można powiązać z metadanymi systemu plików, typem pliku i zawartością. Wynikiem jest raport w formacie JSON podsumowujący informacje wydobyte z oprogramowania sprzętowego i wyświetlający ostrzeżenia oraz listę plików, które nie spełniają przetwarzanych reguł.
Obsługuje sprawdzanie praw dostępu do plików i katalogów (m.in. wykrywa dla wszystkich prawo do zapisu i ustawia błędny UID/GID), określa obecność plików wykonywalnych za pomocą flagi suid i użycie znaczników SELinux, identyfikuje zapomniane klucze szyfrowania i potencjalnie niebezpieczne pliki. Treść podkreśla porzucone hasła inżynieryjne i dane debugowania, podkreśla informacje o wersji, identyfikuje/weryfikuje sprzęt za pomocą skrótów SHA-256 oraz wyszukuje przy użyciu masek statycznych i wyrażeń regularnych. Możliwe jest powiązanie zewnętrznych skryptów analizatora z określonymi typami plików. W przypadku oprogramowania sprzętowego opartego na systemie Android zdefiniowane są parametry kompilacji (na przykład użycie trybu ro.secure=1, stan ro.build.type i aktywacja SELinux).
FwAnalyzer może być używany do uproszczenia analizy problemów bezpieczeństwa w oprogramowaniu firm trzecich, ale jego głównym celem jest monitorowanie jakości oprogramowania sprzętowego będącego własnością lub dostarczanego przez zewnętrznych dostawców kontraktowych. Reguły FwAnalyzer umożliwiają wygenerowanie dokładnej specyfikacji stanu oprogramowania oraz identyfikację niedopuszczalnych odchyleń, takich jak przypisanie niewłaściwych praw dostępu czy pozostawienie kluczy prywatnych i debugowanie kodu (przykładowo sprawdzanie pozwala uniknąć sytuacji takich jak wykorzystywane podczas testowania serwera ssh, hasło inżynierskie, aby przeczytać /etc/config/shadow lub utworzenie podpisu cyfrowego).
Źródło: opennet.ru