Mamy dobrą i złą wiadomość. Dobra jest taka, że w ciągu najbliższych tygodni pojawią się stabilne wersje programów dla zwykłych konsumentów: Arcabit AntiVirus, Arcabit Internet Security i dla biznesu: Arcabit Endpoint Security oraz Arcabit Endpoint AntiVirus. Warto tutaj nadmienić, że firma Arcabit podobnie jak firma G Data zrezygnowała z członu „2015” w nazwie – ma to oczywiście zachować ciągłość i przejrzystość wprowadzanych na bieżąco aktualizacji. Natomiast zła wiadomość jest taka, że o ile programy antywirusowe zostały niemal w pełni ukończone, o tyle administratorzy na planowane zmiany w rozwiązaniach dla biznesu muszą jeszcze poczekać.
Wersję instalacyjną nowego programu udostępniono nam już kilkadziesiąt dni temu. Przez ten okres mieliśmy sporo czasu, aby zaprzyjaźnić się z programem i wyłapać większe oraz mniejsze błędy. Oto, co udało nam się ustalić do tej pory.
Pierwsze wrażenie najważniejsze? Nie w tej branży
Na pierwszy rzut oka zmiany dotyczą wyłącznie interfejsu graficznego programu. Oczywiście, jeśli ktoś tak myśli to jest w wielkim błędzie. Producent wprowadził:
- Nowy monitor antywirusowy wykorzystujący najnowsze mechanizmy ochrony przed zagrożeniami.
- Dwa silniki antywirusowe wykorzystujące nowatorskie technologie wykrywania nowych zagrożeń w plikach wykonywalnych, archiwach, poczcie elektronicznej, dokumentach pakietów biurowych.
- Nowe mechanizmy ochrony ruchu sieciowego – poczty elektronicznej, przeglądanych stron WWW, połączeń sieciowych.
- Mechanizm SafeStorage chroniący ważne pliki użytkownika przed nieautoryzowanymi modyfikacjami przez aplikacje trzecie.
- Nowy i wydajny, a zarazem prosty w użyciu moduł tworzący kopie zapasowe plików.
- Zupełnie nowy interfejs użytkownika pozwalający na dostęp do większości funkcji programu z poziomu głównego okna aplikacji.
Obecny instalator wersji stabilnej 2014 na stronie producenta waży około 73 MB. Instalator wersji testowej, która została nam udostępniona to ~180MB. Obecnie waga instalatora zmniejszyła się do 172MB. Różnica znajduje się we wbudowanych lokalnych sygnaturach wirusów.
Instalacja testowej wersji Arcabit na zupełnie czystym systemie Windows 10 x64, Windows 7 x32 i Windows 7 x64 przebiegła bez żadnych problemów. Czas trwania instalacji w systemach wirtualnych trwał około 35 sekund. Na maszynie rzeczywistej niecałe 20 sekund. W porównaniu do wersji Arcabit 2014 (20 sekund) jest prawie tak samo i wynik ten jest bardzo dobry, ale i tak nijak się ma do niecałych czterech sekund Webroota.
Zaczynając od kwestii wizualizacyjnej, interfejs uległ znacznej zmianie. Z poziomu okna głównego użytkownik może szybko przejść do poszczególnych składników ochrony: skanowania (szybkie, pełne, niestandardowe), ochrony (włączyć lub wyłączyć poszczególne składniki), aktualizacji, narzędzi, raportów i ustawień modułów.
Ochrona
W kwestii ilości modułów zabezpieczających niewiele się zmieniło, lecz „niewiele” nie oznacza nic. Nie wiadomo dlaczego, ale producent w nowej wersji Arcabit zrezygnował z modułu odpowiedzialnego za pobieranie i instalowanie poprawek Windows. Pomijając ten fakt, program nadal oferuje ochronę na najwyższym poziomie – potwierdzają to nie tylko nasze testy, ale także testy Virus Bulletin. Odpowiedzialny za tak dobre wyniki jest nie tylko silnik Bitdefendera, ale także autorska technologia do ochrony przed spamem zawierającym szkodliwe załączniki oraz algorytm do wykrywania makrowirusów, które ostatnio bardzo często atakują użytkowników w naszej strefie geograficznej. Na tym polu Arcabit ma czym się chwalić, bowiem ich system w chmurze do wykrywania wirusów VBA jako jeden z nielicznych zidentyfikował makrowirusa VB.TrojanDownloader.mkb.2 w kampanii skierowanej w klientów przewoźnika przesyłek InPost.
Natomiast z punktu widzenia pracowników i klientów Arcabit nie to jest najważniejsze. Najistotniejszy jest fakt przepisania na nowo kodu źródłowego programu. Pozwoli to producentowi na zerwanie z poprzednimi, nie zawsze najlepszymi nawykami byłych programistów i zaowocuje szybszym tempem rozwijania programu, co obecnie nie byłoby możliwe.
SafeStorage – jednym z ważniejszych składników ochrony jest nowa funkcjonalność SafeStorage. Jest to autorska technologia Arcabit, która została zaprojektowana w celu ochrony przed wszelkimi szkodnikami z rodziny ransomware. Działa ona w następujący sposób: kiedy skaner antywirusowy sprawdza każdy „dotykany” plik, niezależnie od tego, kto (jaki proces) go otwiera/zapisuje i jeśli rozszerzenie pliku jest zgodne z maskami (doc, docx, docm, xls, xlsx, xlsm, ppt, pptx, pptm, pps, ppsx, ppsm, odt, ods, odp, rtf, pdf, abw, dbk, dps, et, gsc, wps, jpg, jpe, jpeg, png, bmp, tif, tiff, psp, psd, wpd, sxw, sxc, wks, wk1, sxd) to kopia tego pliku jest robiona sprzed jego modyfikacji gdzie trafia na listę w składniku ochrony SafeStorage (znajduje się w „narzędzia”). Każda nowa wersja pliku wrzucana jest do SafeStorage, więc poniekąd SafeStorage pełni również rolę backupu-chwilówki. Pliki w SafeStorage są przetrzymywane przez 3 dni – następnie są kasowane, ale pliki ponownie „dotknięte” zostaną znowu umieszczone na liście SafeStorage.
SafeStorage tworzy zaszyfrowaną i spakowaną kopię zapasową pliku w lokalizacji C:\ProgramData\Arcabit\SafeStorage. Zaszyfrowane przez ransomware pliki mogą zostać przywrócone z kopii zapasowej za pomocą narzędzia SafeStorage w banalny sposób: –> ODZYSKAJ -> WSKAŻ LOKALIZACJĘ PRZYWRÓCENIA PLIKÓW ->OK.
Po kilkudziesięciu dniach korzystania z programu Arcabit, folder SafeStorage w C:\ProgramData\Arcabit\SafeStorage zajmuje niecałe 90MB, gdzie przed wszelkimi ransomware chronionych jest niecałe 400 plików – głównie pliki graficzne, dokumenty pakietu Office i pliki PDF. Gdyby jednak brakowało miejsca na partycji systemowej, w ustawieniach w zakładce „OGÓLNE” istnieje możliwość zmiany domyślnej lokalizacji plików dla SafeStorage – wystarczy odznaczyć opcję „Korzystaj z domyślnego folderu danych dla SafeSrorage” i wskazać nową lokalizację.
Antyspam i ochrona poczty – zmiany dotknęły także składnika ochrony poczty. W ubiegłym roku producent wprowadził aktualizację, która miała za zadanie automatycznie blokować pliki PE w załącznikach i traktować je jako zagrożenie („Załączniki wykonywalne traktuj jako zagrożenie”). Warto o tym wspomnieć, bowiem użytkownicy nie zawsze wiedzą, co wprowadzają nowego lub co poprawiają zastosowane przez producenta aktualizacje.
Ochrona urządzeń – zmiany dotyczą także kontroli urządzeń USB. Obecnie, program Arcabit Internet Security 2014 oraz Endpoint Security 2014 umożliwiają automatyczne skanowanie podłączonych urządzeń oraz ich blokowanie według kodu producenta urządzenia. W wersji 2015 dodano możliwość blokowania zapisu na nośnikach USB, przy czym odczyt i kopiowanie z USB do systemu jest możliwe. Producent umożliwił też blokadę karty sieciowych oraz drukarek wykorzystujących do działania port USB.
Ochrona przeglądarki – nie uległa zmianie. Użytkownik w zasadzie nie ma żadnego wpływu na działanie tego modułu. Może go jedynie włączyć lub wyłączyć. Włączony będzie chronił przed dostępem do szkodliwych stron internetowych.
Ochrona rejestru – w wersji 2013 bardzo natrętny moduł. Każde dodanie lub zmiana wartości klucza powodowała alert programu. W wersji beta 2015, w ciągu kilkudziesięciu dni nie zauważono żadnej aktywności tego składnika ochrony. W zasadzie, można więc stwierdzić, że moduł ten jest bezużyteczny.
Chmura – aktywacja tego składnika ochrony potencjalnie zwiększy wykrywalność nieznanego zagrożenia, które może panoszyć się wśród użytkowników oprogramowania Arcabit.
Narzędzia
Kwarantanna – odseparowane od systemu miejsce przechowujące wirusy.
SafeStorage – wyżej wspominany moduł zwiększający ochronę przed wirusami szyfrującymi pliki.
Kopia zapasowa – moduł wspomagający tworzenie kopii zapasowej plików i systemu.
Generator Arcabit Rescue Disk – wprowadzony już jakiś czas temu składnik, który pozwala na utworzenie bootowalnej płyty lub pendrajwa oraz przeskanowanie komputera z poziomu linuksowych narzędzi z załączonym silnikiem Arcabit.
Menadżer procesów – jak sama nazwa wskazuje, menadżer z listą i opisem procesów.
Czyszczenie systemu – wprowadzona do użytku publicznego w sierpniu 2014 roku osobna aplikacja Arcabit System Cleaner teraz została zintegrowana z programem i przyznaję, że dosyć dobrze spełnia swoją funkcję.
Testy
SafeStorage
Zdecydowanie najbardziej interesującym modułem w nowej wersji Arcabit jest SafeStorage. Aby sprawdzić czy moduł ten spełnia swoją rolę i pozwala przywrócić z kopii zapasowej zaszyfrowane pliki, wykorzystaliśmy kilka ostatnio najgroźniejszych odmian tego oprogramowania:
1. TeslaCrypt
– próbka 1: SHA256: 5bbcf6b86b52d71159d3fbbcc380d9831d91a328f4017840dfd3f88d216bb3c1
2. Cryptolocker 3.0
– próbka 1: SHA256: 9e06d2ce0741e039311261acc3d3acbaba12e02af8a8f163be926ca90230fa89
– próbka 2: SHA256: 55e866cc8580e5f9f7f6560e478f3b37b3362e9f94e88439beef6026c86c80be
– próbka 3: SHA256: 45317968759d3e37282ceb75149f627d648534c5b4685f6da3966d8f6fca662d
3. CTB-Locker
– próbka 1: SHA256: feb609be0898e8da070811eb70ec98de0d64e9d28d5eebec7e75088c6159218f
Do poprawnego działania SafeStorage wymagana jest aktywna ochrona antywirusowa. Na podstawie analizy behawioralnej silnik antywirusowy ustala, które pliki są „dotykane”, dlatego też, aby przetestować działanie SafeStorage i z powodzeniem przywrócić z kopii zapasowej zaszyfrowane pliki, należy dodać do wyjątków folder, w którym znajdują się Lockery i uruchomić szkodliwy plik PE.
Po usunięciu zagrożenia – przeprowadzeniu pełnego skanowania systemu – wszystkie zaszyfrowane pliki zostały przywrócone z kopii zapasowej (w oknie po lewej stronie pliki zaszyfrowane, po prawej te same przywrócone z kopii zapasowej za pomocą SafeStorage).
Ochrona w czasie rzeczywistym
Zainstalowany na ustawieniach domyślnych program w wersji 2015.04.20 poddano badaniu, którego celem było sprawdzenie realnej skuteczności ochrony przed szkodliwym oprogramowaniem. Do testu wykorzystano 40 wirusów różnej odmiany, które hostowane były bezpośrednio na stronach internetowych. Test podzielono na trzy fazy:
1. W pierwszej fazie sprawdzano wykrywalność już na poziomie HTTP. Na 40 złośliwych hostów dystrybuujących malware program Arcabit Internet Security zablokował 25.
2. Druga faza obejmowała sprawdzenie skuteczności ochrony wykorzystując lokalne sygnatury. Z pozostałych 15 plików Arcabit wykrył 14 z nich jeszcze przed uruchomieniem.
3. Trzecia faza to sytuacja, kiedy nieznane zagrożenia (pliki PE) uruchamiane są przez użytkownika w systemie. Ostatni plik, którego nie zidentyfikowała ani ochrona przeglądarki ani sygnatury został uruchomiony, po czym zablokowany i wyeliminowany z systemu.
Całkowita skuteczność ochrony w czasie rzeczywistym najnowszej wersji Arcabit Internet Security to 100%.
Test anty-phishingowy Program poddano także badaniu na wykrywalność stron typu phishing, jednak nie starszych niż 24 godziny. Uzyskany wynik przez Arcabit Internet Security to 0/20 zablokowanych stron. Porównując poniższą tabelę należy mieć na uwadze, że programy te były testowane w różnych odstępach czasowych i na innych stronach wyłudzających dane logowania, numery kart kredytowych, numery pesel, numery ubezpieczenia, itp.
| Nazwa programu | Zablokowane strony phishingowe |
|---|---|
| G DATA TOTAL PROTECTION 25 | 18/20 |
| FM Internet Security 2015 | 14/20 |
| 360 Total Security 6 | 20/20 |
| AVAST Business Security Free | 4/20 |
| AVG Internet Security 2015 | 14/20 |
| TrustPort Total Protection 2015 | 2/20 |
| G Data Security Client 13 | 11/20 |
| Comodo Internet Security 8 | 0/20 |
| Dr.Web Security Space 10 | 5/20 |
| Avast Free Antivirus i Avast Premier 2015 | 20/20 |
| ESET Smart Security 8 | 11/20 |
| Norton Security 22 | 0/20 |
| McAfee Internet Security 2015 | 19/20 |
| F-Secure Internet Security 2015 | 19/20 |
| Trend Micro Internet Security 2015 | 19/20 |
| Bitdefender Internet Security 2015 | 14/20 |
| FortiClient 5.2 | 18/20 |
| AVG AntiVirus Free 2015 | 14/20 |
Arcabit Internet Security wydajność
Sprawdzając wydajność Arcabit Internet Security skupiono się tylko na procesach (arcasv.exe, arcamenu.exe i arcamon.exe), które akurat program potrzebuje do działania. Uruchomienie skanowania oraz GUI powoduje wykreowanie jednego dodatkowego procesu – arcabit.exe.
Zainstalowaną aplikację antywirusową na wirtualnej maszynie Windows 7 Ultimate x64 + SP1 z ważnymi i opcjonalnymi aktualizacjami na dzień 19 kwietnia 2015 roku poddano badaniu, w którym sprawdzono zużycie zasobów przez poszczególne procesy Arcabit.
Podsumowanie
Naszym zdaniem już wprowadzone zmiany oraz te, które ujrzymy w przyszłości stawiają polską branżę antywirusową w lepszym niż do tej pory świetle. Szczególnie interesująca jest technologia SafeStorage i czas pokaże, czy sprawdzi się ona w realnym śrdowisku. Nasz przeprowadzony test potwierdził jednak, że osoby, które już wcześniej miały do czynienia ze złosliwym oprogramowaniem szyfrującym pliki poczuły na własnej skórze, jak destrukcyjny w skutkach może być taki incydent – instalując oprogramowanie Arcabit mogą raz na zawsze zapomnieć o Lockerach. Należy jednak pamiętać, że SafeStorage jest do puty skuteczny, dopóki producent „wspiera” rozszerzenia plików, które szyfrują różne warianty Lockerów.
Ceny programów Arcabit mogłyby być niższe, szczególnie w przypadku wielostanowiskowych licencji. Za wersję Arcabit Internet Security zapłacimy 99 złotych brutto / 1PC, za 3PC już 220 złotych. Musimy szczerze przyznać, że cena nie jest powalająco niska w porównaniu do konkurencji. Wartoc hociażby wspomnieć o F-Secure SAFE, którego na 3 urządzenia dostaniemy już za niecałe 140 złotych brutto, subskrypcja roczna na McAfee LiveSafe kosztować będzie 249 złotych, lecz pozwala na ochronę nieograniczonej ilości urządzeń w ramach jednego gospodarstwa domowego. Również za G Datę Total Protection na 3 PC zapłacimy mniej – niecałe 190 złotych (za wersję Internet Security jeszcze mniej) oraz Webroota SecureAnywhere Internet Security Plus na 3 urządzenia kupimy już za 152 zł. Może wraz z oficjalną i stabilną wersją najnowszej wersji Arcabit zobaczymy też korzystniejsze ceny? Czas pokaże… – instalując wersję trial Arcabit, od czasu do czasu pojawiać się będzie w okienku pop-up promocja. Warto z niej skorzystać, bowiem za niecałe 100zł można dostać nawet pięć licencji.
Aby nie przesłodzić całego wpisu należałoby wspomnieć o błędach mniejszych i większych.
– Sporadycznie, ale zdarza się „zamulanie przeciągania” głównego okna programu na pulpicie w inne miejsce.
– Częste wczytywanie się białego okna po uruchomieniu GUI z zasobnika systemowego. Rozwiązaniem jest zamknięcie lub minimalizacja i maksymalizacja okna – producent nie odtworzył tego problemu u siebie.
– Po aktywacji Kontroli Rodzicielskiej i ustawieniu hasła, późniejsze przejście do ustawień programu wymaga wpisania hasła w pole tekstowe, które czasami jest nieaktywne.
– Funkcje dla Kontroli Rodzicielskiej „Włącz bezpieczne wyszukiwanie” (tzw. SafeSearch) oraz „Blokuj pobieranie programów z Internetu” nie działają.
– Sporadycznie po przejściu na stronę HTTPS przeglądarka informuje użytkownika o niezaufanym połączeniu. Wyłączenie modułu Ochrona Przeglądarki pomaga, więc problem albo leży w tym module, albo po stronie certyfikatu SSL wystawionego przez Arcabit – dotyczy Mozilla Firefox.
W ubiegłym roku przed pojawieniem się stabilnej wersji 2014 wszystkie znalezione błędy zgłosiliśmy i zostały one naprawione na czas. Miejmy nadzieję, że tym razem też tak się stanie. Tymczasem zachęcamy do własnych testów i zapoznania się z wersją testową Arcabit Internet Security.
Co dalej z Arcabit?
Wprowadzone zmiany nie dotyczą wyłącznie samych programów. Polski producent postara się o takie funkcjonalności jak panel użytkownika w chmurze, za pomocą którego możliwe będzie zarządzanie licencjami i ochroną (w jakim stopniu tego jeszcze nie wiemy). Administratorzy również nie będą mieli powodów do narzekania. Zostanie im udostępniona konsola internetowa, która finalnie ma zastąpić lokalną konsolę Arcabit Security Administrator.
Ciekawostka
W lokalizacji c:\program files\arcabit\bin\arcadel.exe znajduje się program Arcabit Adware Remover. Jest to specjalna aplikacja używana przez Arcabit do usuwania oprogramowania tupu adware. Usuwanie niektórych adware jest trudne, ponieważ mogą się odtwarzać lub chronią swoje pliki przed zwykłym usunięciem. Arcabit Adware Remover rozwiązuje ten problem i działa podobnie jak inne programy do usuwania tego typu niechcianego oprogramowania.
