Cruise, ett företag specialiserat på automatiserad körteknik, projektets källkoder , som tillhandahåller verktyg för att analysera Linux-baserade firmware-bilder och identifiera potentiella sårbarheter och dataläckor i dem. Koden är skriven på Go-språk och licensierad under Apache 2.0.
Stöder analys av bilder med ext2/3/4, FAT/VFat, SquashFS och UBIFS filsystem. För att öppna bilden används standardverktyg, såsom e2tools, mtools, squashfs-tools och ubi_reader. FwAnalyzer extraherar katalogträdet från bilden och utvärderar innehållet baserat på en uppsättning regler. Regler kan kopplas till filsystemets metadata, filtyp och innehåll. Utdata är en rapport i JSON-format, som sammanfattar informationen som extraherats från den fasta programvaran och visar varningar och en lista över filer som inte följer de bearbetade reglerna.
Den stöder kontroll av åtkomsträttigheter till filer och kataloger (till exempel upptäcker den skrivåtkomst för alla och ställer in felaktig UID/GID), bestämmer närvaron av körbara filer med suid-flaggan och användningen av SELinux-taggar, identifierar glömda krypteringsnycklar och potentiellt farliga filer. Innehållet lyfter fram övergivna tekniska lösenord och felsökningsdata, framhäver versionsinformation, identifierar/verifierar hårdvara med SHA-256-hashar och sökningar med statiska masker och reguljära uttryck. Det är möjligt att länka externa analysatorskript till vissa filtyper. För Android-baserad firmware definieras byggparametrar (till exempel genom att använda ro.secure=1-läge, ro.build.type-tillstånd och SELinux-aktivering).
FwAnalyzer kan användas för att förenkla analysen av säkerhetsproblem i tredjepartsfirmware, men dess huvudsakliga syfte är att övervaka kvaliteten på firmware som ägs eller tillhandahålls av tredjepartskontraktsleverantörer. FwAnalyzer-regler låter dig generera en exakt specifikation av firmwaretillståndet och identifiera oacceptabla avvikelser, som att tilldela fel åtkomsträttigheter eller lämna privata nycklar och felsökningskod (till exempel kan du undvika situationer som t.ex. används under testning av ssh-servern, tekniskt lösenord, för att läsa /etc/config/shadow eller bildandet av en digital signatur).
Källa: opennet.ru