
Днями обозреватели компьютерной прессы смогли познакомиться с новинками от ASUS. Фактически, это была официальная презентация в Украине ноутбуков «третьей волны»: ASUS Zenbook 3 и серии ASUS Transformer 3. Официальная — потому что неофициально «третий» Zenbook, будучи представлен на Computex-2016, в виде технологических образцов завезен в Украину и подробно описан в профильных изданиях. Тем интереснее возможность сейчас и самому ощупать новинку, окинуть ее взглядом и оценить возможные преимущества и недостатки.
На первый взгляд
Эстетически мобильная платформа ASUS Zenbook 3 безукоризненна: металлический корпус, золотистая «стрелка борзости», один общий USB Type-C разъем для питания и коммуникаций (еще один для наушников — не в счет; его и фотографировать не стоит).
Добрых слов стоит экран, базисом для которого служит стекло Corning Gorilla Glass 4. Вроде и не смартфон по условиям эксплуатации, но, тем не менее, — глянцевая поверхность экрана без царапин (в матовом исполнении Zenbook 3 просто не выпускается) на долгие годы. И это отлично!
Евгений Севериновский, директор продакт-центра ASUS в Украине, демонстрирует мини-док,
которым комплектуется ноутбук ASUS Zenbook 3
Геометрия экрана стала компромиссом между производительностью и компактностью: 11 дюймов по диагонали для премиальных устройств мало, а 13 — неэффективно много. ASUS остановился на цифре, близкой к параметрам крупнокалиберной снайперской винтовки: 12,5'' — в самый раз. На формат 4К решили не заморачиваться. Решение это спорное, но время рассудит, правильное ли? Показательно, что экран не сенсорный: тайваньский производитель решил, что консервативность — это синоним респектабельности.
Нет уязвимости или уязвимости — нет?
Не секрет, что ноутбуки стоимостью свыше $1500 составляют не более 5% общего объёма продаж. Вполне очевидно, что в такой рыночной нише действуют высокие требования к безопасности платформ. Малейшие сомнения в способности противостоять взлому могут существенно повлиять на динамику продаж и сложившийся баланс. Это особенно важно в свете того, что Intel давно свёл на нет свою Anti-Theft технологию. Детальный анализ встроенных средств защиты Zenbook 3 еще впереди. Пока же мы обсудим результаты экспресс-диагностики, выполненной в кулуарах официальной презентации.
ACPI на страже безопасности
Хорошим сигналом для пользователей ASUS Zenbook 3 является наличие в ACPI таблицы Windows SMM Security Mitigations Table, определяющей протоколы коммуникации UEFI, SMM-кода и операционной системы.
Зависимость состояния битовых флагов этой таблицы от опций UEFI CMOS Setup станет темой дальнейших исследований. На данный момент можно только констатировать, что наличие WSMT потенциально означает поддержку современных технологий безопасности, включая Windows Virtualization-Based security (VBS).
Что говорит ChipSec?
Интегральную оценку безопасности платформы дает тест ChipSec, к разработке которого приложила руку команда Intel Security's Advanced Threat Research совместно с такими корифеями как Кори Калленберг (Corey Kallenberg), Рафал Войтчук (Rafal Wojtczuk) и наш соотечественник Дмитро Олексюк. Диагностика платформы ASUS Zenbook 3 акцентировала наше внимание на следующих моментах:
ChipSec предупреждает, что UEFI платформы не использует возможности аппаратной защиты регистров CMOS, в частности — не установлен бит Lock для младшего банка RTC (Standard CMOS), хотя Extended CMOS — старший банк — защищен. Установка этого бита запрещает чтение и запись для указанной группы из 8 ячеек, при этом защита не может быть снята в сеансе операционной системы без аппаратного сброса.
Изначально этот механизм разрабатывался для безопасного хранения пароля в CMOS. Современные платформы хранят пароли в более надежном месте. Стоит ли запирать пустой сейф?
Еще одна проблема, обнаруженная ChipSec на платформе ASUS Zenbook 3, связана с переменными ConIn, ConOut. Эти переменные существуют в двух экземплярах, первый экземпляр каждой из них согласно UEFI спецификации имеет корректные атрибуты NV+BS+RT (Non-Volatile, Boot Service и Runtime Service), второй (и это проблема!) — только BS. Если принять во внимание, что ConIn, ConOut — это переменные, определяющие ссылки на устройства консольного ввода и вывода, это гипотетически может означать невозможность доступа к UEFI консоли в сеансе операционной системы, если таковая функциональность предусматривается. На практике подобной проблемы быть не должно, поскольку первая (корректная) копия, имеющая атрибуты NV+BS+RT, останется доступной в сеансе ОС, в силу наличия атрибута RT. Вторая (некорректная) копия в рантайме станет недоступной, в силу отсутствия атрибута RT.
Скажем прямо — на «дыру» в безопасности эта ситуация не тянет. Обнаружив формальное несоответствие статуса переменных принятому стандарту, программа ChipSec просто сообщила об этом.