Cruise, spoločnosť špecializujúca sa na technológie automatizovaného riadenia, zdrojové kódy projektu , ktorá poskytuje nástroje na analýzu obrazov firmvéru na báze Linuxu a identifikáciu potenciálnych zraniteľností a únikov údajov v nich. Kód je napísaný v jazyku Go a licencovaný pod Apache 2.0.
Podporuje analýzu obrázkov pomocou súborových systémov ext2/3/4, FAT/VFat, SquashFS a UBIFS. Na otvorenie obrázka sa používajú štandardné nástroje, ako sú e2tools, mtools, squashfs-tools a ubi_reader. FwAnalyzer extrahuje strom adresárov z obrázka a vyhodnotí obsah na základe súboru pravidiel. Pravidlá môžu byť viazané na metadáta systému súborov, typ súboru a obsah. Výstupom je report vo formáte JSON, sumarizujúci informácie extrahované z firmvéru a zobrazujúci varovania a zoznam súborov, ktoré nevyhovujú spracovaným pravidlám.
Podporuje kontrolu prístupových práv k súborom a adresárom (napr. zisťuje každému prístup k zápisu a nastavuje nesprávne UID/GID), zisťuje prítomnosť spustiteľných súborov s príznakom suid a použitie značiek SELinux, identifikuje zabudnuté šifrovacie kľúče a potenciálne nebezpečné súbory. Obsah zvýrazňuje opustené inžinierske heslá a ladiace údaje, zvýrazňuje informácie o verzii, identifikuje/overuje hardvér pomocou hash SHA-256 a vyhľadáva pomocou statických masiek a regulárnych výrazov. S určitými typmi súborov je možné prepojiť skripty externého analyzátora. Pre firmvér založený na systéme Android sú definované parametre zostavenia (napríklad pomocou režimu ro.secure=1, stavu ro.build.type a aktivácie SELinux).
FwAnalyzer možno použiť na zjednodušenie analýzy bezpečnostných problémov vo firmvéri tretích strán, ale jeho hlavným účelom je monitorovať kvalitu firmvéru, ktorý vlastnia alebo dodávajú zmluvní predajcovia tretích strán. Pravidlá FwAnalyzer umožňujú vygenerovať presnú špecifikáciu stavu firmvéru a identifikovať neprijateľné odchýlky, ako je pridelenie nesprávnych prístupových práv alebo ponechanie súkromných kľúčov a ladiaceho kódu (kontrola vám napríklad umožní vyhnúť sa situáciám, ako napr. používané počas testovania ssh servera, inžinierske heslo, čítať /etc/config/shadow alebo vytvorenie digitálneho podpisu).
Zdroj: opennet.ru