W żadnym wypadku tytuł nie jest próbą nawoływania do rezygnacji z już zainstalowanego oprogramowania antywirusowego. Testowany w tym artykule program SecureAPlus jest nietypowy pod kilkoma względami. Po pierwsze, jest połączeniem antywirusa w chmurze z ochroną lokalną (silnik ClamAV). Protekcja SecureAPlus działa w oparciu o 12 silników antywirusowych w chmurze oraz (opcjonalnie) o jeden silnik lokalny wykorzystywany zarówno do ochrony w czasie rzeczywistym, jak i podczas tzw. trybu offline. Ponadto, SecureAPlus należy do grupy programów, które bazują na białych listach plików, a więc bezpieczeństwo danych jest interaktywnie weryfikowane na podstawie informacji o sumie kontrolnej i podpisie cyfrowym pliku. 

Firma SecureAge Technology została założona w 2003 roku przez dr. Ngair’a Teow’a Hin’a. Obecnie zatrudnia około 20 pracowników i należy do większych dostawców rozwiązań w zakresie ochrony danych. SecureAge Technology to stosunkowo mała spółka, jednak nic nie stoi jej na przeszkodzie w osiągnięciu sukcesu na rynkach międzynarodowych. Dobrym tego przykładem jest producent Emsisoft, który w zdalnym trybie pracy zatrudnia ponad 30 pracowników z całego świata, a na miejscu w biurze w Austrii pracuje tylko kilka osób. No i nie zapominajmy o polskich korzeniach silnika ClamAV zaprojektowanego i początkowo napisanego w Javie przez Tomasza Kojma, absolwenta Uniwersytetu Mikołaja Kopernika w Toruniu. Projekt podjęty przez jednego człowieka, z czasem zyskał taką renomę, że obecnie prawa do ClamAV należą do Cisco. Z rozwiązania open-source ClamAV korzystają teraz Google, Facebook, Apple, Adobe oraz niezliczeni dostawcy rozwiązań antyspamowych, web-filteringu, a także dostawcy usług internetowych - wszędzie tam, gdzie użytkownicy mogą dzielić się plikami.

Więcej o silniku ClamAV oraz wywiad z Tomaszem Kojmem w artykule sprzed dwóch lat, lecz ciągle aktualnym: “SpamTitan - dwuwarstwowa ochrona przed spamem z udziałem Polaka, cz2.

Dzięki uprzejmości CEO SecureAge Technology, redakcja AVLab dowiedziała się, że program SecureAPlus cieszy się największą popularnością w USA, Polsce i Maroko. Ponadto, długofalowym celem firmy jest pozyskiwanie nowych pracowników oraz zawiązywanie umów partnerskich z dystrybutorami z całego świata.

Model ochrony SecureAPlus

Model ochrony przed szkodliwym oprogramowaniem aplikacji SecureAPlus nie odbiega aż tak bardzo od tradycyjnych antywirusów. Nadal, do badania w czasie rzeczywistym bezpieczeństwa plików producent wykorzystuje własne technologie, ale także silniki firm trzecich w chmurze: AhnLab, AVG, Avira, Bitdefender, ClamWin, Emsisoft, Eset, McAfee, Microsoft Security Essentials, QuickHealth, Sophos i TotalDefense (lista jest systematycznie rozbudowywana i może ulec zmianie). Detekcja i ocena pilików na podstawie dodatkowych silników skanujących odgrywa tutaj drugoplanową rolę i tak naprawdę, wpisuje się w całość protekcji jako “sugestia” dla użytkownika. I to bardzo przekonywująca sugestia, która jednoznacznie i nieco skuteczniej określa bezpieczeństwo programów niż tradycyjny “jednosilnikowy” antywirus. Technologia UniversalAV (12 silników w chmurze) fantastycznie sprawuje się jako mechanizm skutecznego wykrywania różnego typu zagrożeń, w tym natarczywych i denerwujących Adware. 

Poniżej znajdują się 3 screeny. Ową “sugestią” jest wynik oceny pliku wystawiony przez skanowanie UniversalAV - w taki sposób producent nazywa korelację 12 silników w chmurze. 

  • W pierwszym przypadku, plik jest bezpieczny - nie został uznany jako zagrożenie przez żaden z dwunastu antywirusów w chmurze. 
  • Na drugim obrazku pokazana jest sytuacja, kiedy SecureAPlus w trybie interaktywnym czeka na interakcję z użytkownikiem. Opcjonalnie, użytkownik jednym kliknięciem może wysłać plik do chmury SecureAPlus w celu przeskanowania. Pliki takie nie są wysyłane do serwerów poszczególnych producentów, lecz do zlokalizowanego w Singapurze serwera z dwunastoma silnikami AV (ciekawskim polecamy prześledzenie pakietów np. za pomocą aplikacji Wireshark).
  • Ostatni screen obrazuje wynik skanowania pliku przez 12 silników w chmurze. 
Ostrzeżenie SecureAPlus. Zgodnie z ustawieniami domyślnymi, aplikacja Wireshark jest podpisana cyfrowo, ale certyfikat CA wystawiony dla Wireshark Fundation nie znajduje się na liście zaufanych dostawców certyfikatów w aplikacji SecureAPlus.
Ostrzeżenie SecureAPlus. Plik nie posiada cyfrowego podpisu, w dodatku jego suma kontrolna porównana z danymi z VirusTotal podpowiada, że plik jest klasyfikowany jako szkodliwy przez 5 silników antywirusowych. Skanowanie z wykorzystaniem 12 silników w chmurze (UniversalAV) jeszcze się nie zostało przeprowadzone. Użytkownik może wysłać plik w celu weryfikacji jego bezpieczeństwa. 
Ochrona w czasie rzeczywistym funkcjonuje imponująco. Plik klasyfikowany jako zagrożenie może zostać przeniesiony do kwarantanny, trwale usunięty lub dodany do wyjątków. W tym tkwi potencjał SecureAPlus, który w rękach świadomego zagrożeń użytkownika stanowi potężne narzędzie ochronne.

Technologia UniversalAV działa w czasie rzeczywistym, podczas uruchomienia pełnego skanowania systemu, ale także w czasie skanowania plików lub folderów na żądanie. Natomiast, technologia white-listening’u uaktywnia się za każdym razem, jeśli zostaną spełnione warunki:

  • bezpieczeństwo pliku nie jest zweryfikowane certyfikatem wystawionym przez CA, 
  • plik posiada podpis cyfrowy wystawiony przez Root CA dla CA, lecz certyfikat CA nie znajduje się na liście zaufanych dostawców certyfikatów na wbudowanej liście SecureAPlus.

Algorytm kryptograficzny MD5 i i funkcje skrótu, takie jak SHA-1, SHA-256, SHA-384, SHA-512 są powszechnie stosowane w miejscach, w których na co dzień wielu użytkowników nie zdaje sobie z tego sprawę. Tzw. odciski palca używany jest w podpisach cyfrowych, z których korzystamy każdego dnia: certyfikaty bezpieczeństwa na stronach internetowych, klucze PGP, pliki w systemie. Co więcej, te sumy kontrolne plików znanych i nieznanych są porównywane z tymi w bazie VirusTotal. Przykład:

SHA256: 
781b357b35ae92dca593de28791168bf9f42c3eac0268738e3d1681f4060ab63 dla pliku o nazwie “k1(1).exe” ze współczynnikiem wykrycia na VirusTotal 7/56.

SecureAPlus w trakcie uruchomienia nieznanego pliku oblicza lokalnie jego funkcję skrótu i porównuje stan zagrożenia pliku na podstawie skanowania z wykorzystaniem API VirusTotal. Skanowanie z użyciem VirusTotal działa wyłącznie dla plików nieznanych.
 

Kiedy SecureAPlus wyświetla komunikaty?

Domyślnie, program działa w trybie interaktywnym (pytającym). Taki jest zalecany przez producenta i taki też rekomendujemy pozostawić. 

SecureAPlus nie wyświetli ostrzeżenia, jeśli plik jest podpisany certyfikatem wystawionym dla danego CA, który znajduje się na zintegrowanej z programem liście zaufanych certyfikatów. Co więcej, SecureAPlus nie sprawdza głównych dostawców certyfikatów (tzw. Root CA, np. Comodo, GoDaddy, Symantec) - nie “ufa im”. Natomiast sprawdza certyfikaty wystawione przez nich, ale dla dostawców pośrednich CA. W takim modelu relacji zaufania, plik uruchomiony i podpisany przez pośredniego wydawcę CA, zainicjuje wyświetlenie komunikatu o próbie wykonania aplikacji nieznanej. Bezpieczeństwo takiego pliku jest zatwierdzone przez dostawcę CA, który odpowiada za certyfikat i opcjonalnie podpisany cyfrowo odcisk palca.

To od decyzji użytkownika zależy, czy zezwolić na działanie nieznanego programu. Dlatego też SecureAPlus stanowi potężne narzędzie do ochrony przez nieznanymi wirusami, które osiągają status FUD dla wszystkich silników antywirusowych w chmurze wchodzących w skład UniversalAV oraz silnika ClamAV. 

Ochrona, która odwołuje się do 12 silników antywirusowych w chmurze to jeden z elementów rozpoznawczych oprogramowania SecureAPlus. Dodatkowo, za takim podejściem do zwalczania zagrożeń przemawia wydajność. Obliczenia potrzebne do sprawdzenia bezpieczeństwa plików, nawet tych systemowych, zostały przeniesione do chmury producenta. Nawet na komputerach o słabej konfiguracji sprzętowej, działanie w czasie rzeczywistym SecureAPlus nie powinno przysparzać dodatkowych nerwów (o ile silnik ClamAV jest wyłączony. Patrz na następnej stronie- test wydajności SecureAPlus).

SecureAPlus jest wyjątkowy pod jeszcze jednym względem. To w rękach użytkownika spoczywa decyzja, czy włączyć dodatkową ochronę offline w postaci silnika antywirusowego ClamAV, czy zrezygnować z niego i pozostawić ochronę, która bazuje na białych listach plików i technologii UniversalAV. Pliki i aplikacje będą sprawdzane z wykorzystaniem API VirusTotal oraz skanowane przez 12 silników w chmurze.

Więcej o silniku ClamAV przeczytacie w części drugiej artykułu “SpamTitan - dwuwarstwowa ochrona przed spamem z udziałem Polaka, cz2.”. Artykuł ma już ponad dwa lata, jednak zawarte w nim informacje na temat ClamAV są wciąż aktualne.

Jak zaznacza sam producent, w oprogramowaniu SecureAPlus pierwsze skrzypce odgrywa technologia white-listing’u. Analiza statyczna pliku on-access lub on-demand dzięki zastosowaniu UniversalAV jest drugorzędna, ale bardzo skuteczna. SecureAPlus to oprogramowanie zabezpieczające komputery domowe oraz firmowe przed złośliwymi plikami w oparciu o kilka cech, w tym sumę kontrolną pliku. “Sugestia” bezpieczeństwa aplikacji może być dodatkowo potwierdzona cyfrowym podpisem.

Czy SecureAPlus może być łączony z innym antywirusem?

Tak, o ile w trakcie instalacji użytkownik nie zdecyduje się na korzystanie z lokalnego silnika ClamAV. Działanie dwóch antywirusów w jednym systemie może doprowadzić do nieprzewidzianych rezultatów: ekranów śmierci, a przede wszystkim do częstego zawieszania się systemu oraz innych problemów z wydajnością. 

Decyzję instalacji silnika ClamAV pozostawiamy użytkownikom i zalecamy rozpatrzenie jej indywidualnie, w zależności od konfiguracji sprzętowej. Komputery, które posiadają co najmniej 2GB pamięci RAM, dysk SSD, procesor dwurdzeniowy, poradzą sobie bez problemu. Ponadto, działanie silnika ClamAV może zostać zatrzymane w dowolnym czasie, bezpośrednio w interfejsie aplikacji SecureAPlus. 

Wyłączenie silnika ClamAV pozwoli zaoszczędzić niekiedy ponad 300MB pamięci RAM. Patrz - test wydajnościowy. Jeśli twój komputer posiada dużą ilość pamięci RAM, zalecamy pozostawienie tego składnika ochrony.

SecureAPlus wydaje się być rozwiązaniem niemal idealnym. Czy można mu bezgranicznie ufać?

Dwanaście silników antywirusowych to niewątpliwie potężne narzędzie w rękach świadomych użytkowników. Całość działa bardzo żwawo i nie powoduje problemów z wydajnością. Co więcej, aplikacje, które posiadają cyfrowy podpis i/lub wygenerowany za pomocą funkcją skrótu podpis palca, będą traktowane jako bezpieczne, lecz mimo to i tak w momencie uruchomienia pliku, aplikacja SecureAPlus wyświetli alert. Mocno rekomendujemy pozostawienie trybu interaktywnego i tworzenia własnych reguł.

Sytuacja ma się inaczej, kiedy w systemie będzie zainstalowany certyfikat wystawiony np. przez Comodo (lista najpopularniejszych dostawców certyfikatów Root CA). Certyfikat Root CA musi być obecny na komputerze użytkownika końcowego i dodany do listy zaufanych certyfikatów w aplikacji SecureAPlus. W przeciwnym razie, plik będzie traktowany jako niezaufany, co spowoduje wyświetlenie alertu. 

Test SecureAPlus

Przed przystąpieniem do testu, oprogramowanie SecureAPlus w wersji 4.2.3 zostało zainstalowane na ustawieniach domyślnych, ale wraz z lokalnym silnikiem antywirusowym ClamAV. Oprócz tego, w systemie Windows 10 x64 Pro zainstalowano przeglądarkę Chrome w najnowszej wersji oraz podstawowe programy, takie jak przeglądarkę plików graficznych, pakiet biurowy, klienta poczty, przeglądarkę plików PDF oraz kilka innych aplikacji.

Ochrona w czasie rzeczywistym

Redakcja AVLab zdaje sobie sprawę z tego, że SecureAPlus nie jest typowym pakietem Internet Security. Nie posiada ochrony przeglądarki internetowej, anty-spamu, czy nawet modułu anty-phishing. Dlatego zrezygnowaliśmy z tych testów na rzecz zbadania samej ochrony w czasie rzeczywistym i skanowania na żądanie. SecureAPlus ma za zadaniem ochronić użytkownika przed szkodliwym oprogramowaniem, dlatego też zdecydowaliśmy się na symulację typowego scenariusza, kiedy użytkownik przegląda sieć Internet i przypadkowo trafia na strony ze złośliwą zawartością. 

Do testu przygotowano 60 złośliwych adresów URL, które prowadziły bezpośrednio do zainfekowanych plików EXE. Jak czytelnik może się spodziewać, żadne zagrożenie nie zostało zablokowane na poziomie protokołu HTTP. Wszystkie pliki zostały zapisane na dysk twardy. 

Z tych 60 złośliwych plików, 47 zostało wykrytych przez ochronę w czasie rzeczywistym, a 13 plików zostało zatrzymanych w momencie ich uruchomienia. Zadaniem testera jest podejmować decyzje w taki sposób, aby nie dopuścić do zainfekowania systemu operacyjnego. 

Do testu sprawdzającego wykrywalność skanera na żądanie zebraliśmy 267 różnych odmian malware, w tym i Adware. SecureAPlus dzięki zastosowaniu 12 silników antywirusowych w chmurze skutecznie zidentyfikował wszystkie zagrożenia.

Wszystkie wirusy zostały przeniesione do kwarantanny.

Ochrona SecureAPlus zrobiła na redakcji AVLab duże wrażenie. Najskuteczniejszym arsenałem SecureAPlus do blokowania malware jest technologia oparta o białe listy. To dzięki niej, doświadczony użytkownik zablokuje wszelkie próby złośliwej modyfikacji systemu. 

Wydajność SecureAPlus

Działanie aplikacji SecureAPlus nie odbiega od typowych programów antywirusowych, jednak z całą pewnością może je zastąpić. Dlatego, aby sprawdzić wpływ SecureAPlus na zużycie zasobów sprzętowych wirtualnego systemu Windows 10 Pro x64, skorzystaliśmy z monitora wydajności, który został opracowany przez firmę Microsoft, i który jest integralną częścią systemów z rodziny Windows. W badaniu tym sprawdzono rzeczywiste zapotrzebowanie na czas procesora wyrażony w procentach oraz na pamięć RAM, lecz wyłącznie dla procesów SecureAPlus wraz zainstalowanym silnikiem ClamAV. Takie podejście do testów, kiedy pod uwagę nie są brane uruchomione w tym samym czasie inne procesy systemowe i procesy aplikacji trzecich, pozwala odseparować zużycie zasobów sprzętowych antywirusa od pozostałych procesów w systemie, oddając rzeczywiste wymagania sprzętowe.

Poniższe wykresy zostały wykonane przez monitor wydajności, który przez 10 minut w trybie jałowym i pod obciążeniem zbierał z interwałem ustawionym na 1 sekundę średnie wyniki zapotrzebowania na pamięć RAM oraz upływ czasu procesora potrzebnego do prawidłowego funkcjonowania aplikacji SecureAPlus.

Wykresy zawierają średnie obciążenie RAM i CPU z każdej sekundy badania. Po 10 minutach, działanie monitora wydajnościowego było zatrzymywane. Następnie obliczano średnią wartość z 600 pomiarów z każdej sekundy dla każdego procesu z dokładnością do 1 bajta (dla pamięci RAM). Wynik zamieniono wartość wyrażoną w megabajtach [ MB ].

W spoczynku, zapotrzebowanie procesów SecureAPlus na czas jednego rdzenia procesora wyrażony w [ % ] wynosił 0,173%. Drugi rdzeń nie był obciążony.
W spoczynku, procesy potrzebowały do działania ~35MB pamięci RAM.
Podczas skanowania, średnie zapotrzebowanie procesów SecureAPlus na czas jednego rdzenia procesora wyrażony w [ % ] wynosił 1,409%. Drugi rdzeń nie był obciążony.
Podczas skanowania, procesy SecureAPlus potrzebowały do działania ~55MB pamięci RAM.

Uwagi

1. Po zainstalowaniu SecureAPlus, program automatycznie uruchamia pełne skanowanie systemu operacyjnego. Podobnie dzieje się po każdym ponownym uruchomieniu systemu. Skanowanie to nie obciąża systemu. Cały ciężar potrzebny do sprawdzenia bezpieczeństwa plików został przerzucony na barki producenta (chmura).

2. Wydajność w spoczynku jest na bardzo dobrym poziomie, co więcej, zrezygnowanie z silnika ClamAV pozwoli znacznie zmniejszyć zużycie pamięci RAM, jednak może się to negatywnie odbić na bezpieczeństwie. Dla mocnych komputerów zalecamy pozostawienie tej ochrony włączonej.

3. Przez pierwszych kilka skanowań, użytkownik może zauważyć, że pamięć RAM dla procesu clamd.exe odpowiedzialnego za silnik ClamAV może osiągać wartość nawet 350MB. Nawet tak duża konsumpcja pamięci nie jest problemem dla dzisiejszych konfiguracji sprzętowych.
 

Podsumowanie

SecureAPlus dostępny jest jako aplikacja darmowa oraz płatna do użytku komercyjnego. Różnice pomiędzy nimi nie są znaczne i dotyczą:

  • Wersja Premium może być powiązana z kontem online, dzięki któremu możliwe jest śledzenie stanu bezpieczeństwa kilku urządzeń oraz otrzymywanie automatycznych powiadomień o znalezionych zagrożeniach przez skanowanie w chmurze.
  • Użytkownik może śledzić lokalizację komputera.  
  • Licencja Premium upoważnia do dostępu do serwerów w ramach skanowania w chmurze o zwiększonym priorytecie (skanowanie z wykorzystaniem 12 silników w chmurze zostanie szybciej zakończone). 
Panel internetowy SecureAPlus.

Za polskie tłumaczenie interfejsu odpowiedzialny jest Mateusz Kurlit (strona z portfolio). Z jego usług skorzystały już firmy Safer-Networking Ltd., Lavasoft, Amigabit i wiele innych. Przy okazji polonizacji musimy wspomnieć o kilku błędach dotyczących kodowania polskich znaków w pliku pomocy, oraz o zbyt długich opisach niektórych komunikatów, które nie mieszczą się w ustalonej pozycji. Błędy zostały zgłoszone producentowi i zapewne zostaną poprawione przy następnej aktualizacji. 

Tłumaczenie interfejsu oprogramowania nie jest łatwą sztuką. O problemach występujących w trakcie tego procesu opowiadał nam Mateusz w tym wywiadzie.

Oprogramowanie SecureAPlus nie jest pakietem Internet Security. Nie posiada ochrony przeglądarki, anty-spamu, ani kontroli rodzicielskiej. Lecz siła tego oprogramowania drzemie w 12 silnikach antywirusowych w chmurze oraz technologii bazującej na white-listing’u. Gorąco polecamy!

SecureAPlus jest niebywale silnym konkurentem dla narzędzi do prewencyjnego skanowania komputerów: Malwarebytes Anti-Malware oraz SophosClean (dawniej HitmanPro). 

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Darek czw., 30-06-2016 - 10:14

Jeden z lepszych programów, jakie powstały w ostatnim czasie. Bardzo chwalony w komentarzach na dobrych programach. Miło patrzeć na rosnącą konkurencję słabych avastów i avg (darmowych). Te programy to już powoli relikt przeszłości - kiedyś popularne a obecnie stoją w miejscu korzystając na swoim dorobku z ostatnich kilku lat. Warto srpbować czegoś nowego, innego i tymbardziej że jest po polsku.

ryszardd2 pon., 11-07-2016 - 13:04

Mam zainstalowany ten antywirus /wersja darmowa/ na xp i win7. Jest praktycznie nieodczuwalny dla systemu zwłaszcza dla xp. Zainteresowałem się tym programem po przeczytaniu recenzji redakcji AvLab i nie żałuję mimo iż przedtem o nim nie słuszałem. Jak na razie jest OK

Dodaj komentarz