[Vorstellung] ActiveProtect von Abelsoft Einstellungen

[eXer]

Stoppt Viren, Malware & Co.
Der Virenschutz der nächsten Generation nutzt die Power von über 50 Virenscannern gleichzeitig und vereint es in einem einzigartigen Tool. Häufige Einfallstoren wie Download- und Desktopordner genießen einen besonderen Schutz. Einmal erkannte Viren, Malware & Co. werden sofort unschädlich gemacht.
Die 2. Verteidigungslinie
Lokale Virenscanner übersehen gelegentlich Online-Gefahren. ActiveProtect ist die zweite Verteidigungslinie und sorgt für einen doppelten Schutz.
Schneller als jede Bedrohung
Wurde eine Bedrohung erkannt, wird diese Information durch CrowdLiveUpdates® an alle ActiveProtect-Installationen sofort weitergegeben.
Für Vista, Windows 7, Windows 8, 8.1 und Windows 10 (Unterstützt alle 32- und 64-Bit-Versionen)

https://www.abelssoft.de/de/windows/Sicherheit/ActiveProtect

Ich habe diese Anwendung als Demo installiert. Auf einen Test Rechner mit Wilders / Anar Testviren wurden alle erkannt.
Es läuft flüssig und verträgt sich gut mit meiner installieren Schutz Lösung. Ich werde mir die Pro kaufen um noch mehr Ordner zu schützen.
Wer hat es noch am laufen ?

Etwas Magen weh habe ich dennoch

ActiveProtect schickt nur die Dateien zum Protection-Server, die noch nie gescannt wurden. Alle anderen Dateien werden anhand eines digitalen Fingerabdrucks mit einer Datenbank abgeglichen und geprüft

Wie schaut das aus wenn jemand den digitalen Fingerabdruck fälscht. Dann ist auf allen Rechnern die Datei als harmlos ?

edit. Geld bleibt in Deutschland das ist es mir Wert die pro zu kaufen. Wollen wir nicht hoffen das es mal endet wie mit meinen geliebten EWIDO.

Der Beitrag wurde von SLE bearbeitet: 26.05.2016, 06:06

Bearbeitungsgrund: Zitate angegeben

[SLE]

Wie schaut das aus wenn jemand den digitalen Fingerabdruck fälscht. Dann ist auf allen Rechnern die Datei als harmlos ?

Zeitgemäße Checksummenverfahren sind nicht fälschbar. Also sehe ich darin keine Gefahr.
Aber andersrum: Wenn alle Dateien die das Ding nicht kennt zum Server geschickt werden, wo ist da die Intelligenz? Hat es keine eingenen Erkennungsmechnanismen?
Laut Beschreibung wieder nur so ein Multi-Scanner Checksummenprüfer. Spannend dann nur noch die Frage, ob es über Opswat oder Virustotal läuft.
Edit: Über zweiteres. Zumindest da gibt es aber bei VT Änderungen die das Geschäftsmodell durchaus ersthaft betreffen könnten.

http://blog.virustotal.com/2016/05/maintai...-community.html

Auszug:

all scanning companies will now be required to integrate their detection scanner in the public VT interface, in order to be eligible to receive antivirus results as part of their VirusTotal API services. Additionally, new scanners joining the community will need to prove a certification and/or independent reviews from security testers according to best practices of Anti-Malware Testing Standards Organization (AMTSO).

Wenn man nichts eigenes hat, kann man natürlich nichts auf VT integrieren. Aber hier versucht man seitens VT konsequenterweise allen einen Riegel vorzuschieben, die mit "next-generation Super AV, mit 50+ Engines" werben, aber eben nur über die API von VT per einfachem Checksummenscanning sich fremde Arbeit zu eigen machen.
__


Edit2: Zitate von fremden Seiten bitte klar als solche kennzeichen.

[simracer]

SLE, in einem anderen uns nicht unbekannten Forum hat Herr Abelssoft Fragen zu dem Produkt den Usern dort beantwortet.

Der Beitrag wurde von simracer bearbeitet: 26.05.2016, 17:26

[Gast_J4U_*]

Herr Abelssoft

Heißt der nicht nur Abels?

Wirklich überzeugt bin ich von dem Projekt nicht. Dieses Tool soll das erkennen, was mein installierter Scanner übersieht, oder so. Und das nur im Desktop- und im Download-Ordner.

[simracer]

Und das nur im Desktop- und im Download-Ordner.

In der Free Version sind es nur diese Ordner, nimmt man die Bezahlversion, kann man weitere, andere Ordner hinzufügen die geschützt werden sollen. Wenn du Fragen zu dem Programm hättest, du bist doch in dem anderen Forum angemeldet und könntest dort fragen.

Heißt der nicht nur Abels?

Ja

Der Beitrag wurde von simracer bearbeitet: 26.05.2016, 18:50

[eXer]

Man kann bei Bedarf noch extra 2 Jahre update kaufen. Habe ich gerade gemacht. Hätte nie geglaubt das die auch heute Abend noch arbeiten.
Antwort war nach 5 Minuten da. Abelsoft ist ein deutsches Familien Unternehmen das hat auch Vorteile.

[Schulte]

...in einem anderen uns nicht unbekannten Forum hat Herr Abelssoft Fragen zu dem Produkt den Usern dort beantwortet.

Vielleicht möchte er sein Produkt auch hier noch etwas näher erklären.

Auf der Webseite ist nichts Verwertbares zu finden. Nur vollmundige Versprechen...

- schneller als jede Bedrohung
- hilft gegen alles
- Verbreiten sich neue Viren, bekommen wir dies innerhalb von wenigen Minuten oder Stunden mit.

Was mir zudem unangenehm auffiel:
- die Webseite besteht darauf, dass Javascript aktiviert ist
- Rechtschreibung ist offensichtlich nicht so wichtig

Bei einem deutsches Sicherheitstool erwarte ich mehr.

[simracer]

Schulte, ich könnte Herrn Abels nicht fragen, bin in dem Forum nicht mehr aktiv und Active Protect interessiert mich auch nicht wirklich. Vielleicht fragt ja ein User hier der in dem anderen Forum aktiv ist, dort bei Herrn Abels nach ob der hier auch aktiv werden will um Active Protect zu erklären und Fragen dazu zu beantworten.

[Alexander Robrec...]

Hallo ihr

Ich habe da mal ein paar Fragen zum ActiveProtect 2016 die wären:

1. Wie werden die Dateien hochgeladen

2. Was verwendet ihr dafür virustotal, virscan.org, opswat oder metascan online zur Analyse der Dateien

3. Wird es auch bald eine Realtime Protection geben

4. Wird es auch bald eine komplette Systembewachung geben oder nur für einzelne Ordner dann müsstet ihr die Anzahl deutlich erhöhen

Und hier die Antworten dafür

Dateien werden im ersten Schritt gar nicht hochgeladen, sondern es wird zunächst ein so genannter SHA 256 Hash-Wert gebildet, was man sich als eine Art Fingerabdruck einer Datei vorstellen kann. Anschließend prüfen wir, ob wir durch den Fingerabdruck, ob unser System die Datei bereits kennt, was bei Viren und anderer Malware oft der Fall ist. Falls ja, schlagen wir Alarm, sollte es sich um Schadsoftware handeln. Das geht in der Regel innerhalb weniger Sekunden.

Erst wenn wir die Software nicht kennen, laden wir die Datei zur Prüfung mit einer sicheren Verbindung zur Virenanalyse hoch. Dort erfolgt die Prüfung dann zunächst auf unserem Scan-Server mit 4 verschiedenen Antivirenprogrammen.
Erst
wenn wir auch dort keine Malware entdecken, greifen wir auf Virustotal zurück.


Dieser Prozess kann dann mehrere Minuten dauern. Dadurch ist ActiveProtect auch nicht als Realtime-Scanner geeignet. Das sollte nach wie vor die "normale" Antivirensoftware übernehmen. Bei ActiveProtect wollen wir stattdessen einen Extra-Schutz für die Ordner bieten über die Malware eindringt, was normalerweise der Downloadordner ist. Gerade dort ist ActiveProtect sehr sinnvoll, da sich sehr viele Viren mittlerweile so schnell anpassen, dass einzelne Virenscanner nicht hinterher kommen. Durch die Kombination der obigen Verfahren schaffen wir dann eine deutliche aktuellere Abdeckung.


MfG
Mops21

[Tiranon]

auf unserem Scan-Server mit 4 verschiedenen Antivirenprogrammen.

Und was sind diese 4 Antivirenprogramme?

Also quasi wie die "Desinfect-CD" con C`t!?

[Schulte]

Davon ausgehend, dass das, was Alex gepostet hat, wirklich von einem Vertreter Abelssofts stammt:

wo ist hier die Eigenleistung?
Zur Verfügung stellt man Erkenntnisse anderer AV-Hersteller, sei es per "Prüfung auf dem eigenen Scan-Server mit 4 verschiedenen Antivirenprogrammen" (Hitman?) oder per Abfrage bei VT. Eigene Analysten gibt's wohl nicht.

Ich würde es sehr begrüssen, wenn Herr Dr. Abels hier die von mir vielleicht nicht erkannten Vorteile des Programms erklären würde.

[SLE]

Davon ausgehend, dass das, was Alex gepostet hat, wirklich von einem Vertreter Abelssofts stammt:

Wenn dem so ist kann ich nur Kopfschütteln

"Wir vergleichen Hashwerte, wenn wir es nicht kennen laden wir es hoch und vergleichen die nochmals" Ach so!.
"Viele Viren sich mittlerweile so schnell anpassen, dass einzelne Virenscanner nicht hinterher kommen". Aber Checksummenscans sind die Lösung. Aha!

Diese Aussagen, die Beschreibung auf der Homepage und anderswo. Alles voll von Widersprüchen. Ergo: Ein VT Checksummenscanner, der in dieser Form bald nicht mehr erlaubt sein sollte. Sowas kann man sich übrigens z.b. mit ein bissl CLI und sigcheck von sysinternals für lau selber basteln.

[Alexander Robrec...]

Ja ich habe die Fragen an software@abelssoft.de hingeschrieben und diese Antworten von denen bekommen

MfG
Mops21

[Abelssoft]

Hallo zusammen,

da in diesem Thread der Wunsch geäußert wurde, dass wir uns als Entwickler selbst einmal zu Wort melden, machen wir das gerne. Vorweg gesagt: Über diesen Account schreibt heute Marcel Gabor und ich bin bei Abelssoft verantwortlich für Marketing & Communications. Bei Marketing geht es nach unserem Verständnis nicht nur darum, tolle Versprechen zu machen, sondern auch auf Fragen einzugehen.

Grundsätzlich ist es bei Detailfragen sinnvoll uns direkt eine Mail an software@abelssoft.de zu schreiben, da bei uns die Entwickler selbst den Support für ihre Programme machen. Es liegt in der Natur der Sache, dass unsere Entwickler aufgrund ihres Fachwissens besser auf tiefergehende Fragen eingehen können.

Folgende Punkte habe ich in diesem Thread herausgelesen:

1. Wie funktioniert ActiveProtect?
2. Wo ist ActiveProtect sinnvoll?
3. Worin besteht die Eigenleistung / Das kann ich doch auch selbst machen


Zu 1) Wie funktioniert ActiveProtect?
Dieser Punkt wurde hier schon recht gut beschrieben. ActiveProtect benutzt für den Scan von potentiellen Bedrohungen eine Schnittstelle von Virustotal. Im ersten Schritt wird anhand des Hashwertes die Datei mit unserer Datenbank abgeglichen. Gerade bei großen Virenwellen ist das ein zuverlässiges Verfahren, da sich die Hashwerte i.d.R. nicht ändern, sehr schnell erkannt und im Netzwerk weitergegeben werden können. Ändert sich doch einmal ein Hashwert wird die Datei zum Scan zu Virustotal geschickt, und auch dieser Hashwert steht sofort allen Nutzern von ActivePreotect zur Verfügung. Zur Sicherheit werden auch bereits einmal gescannte Dateien noch 2 weitere Male nach bestimmten Intervallen geprüft. Es kann in Ausnahmefällen vorkommen, dass auch bei Virustotal aufgrund der Neuartigkeit eines Viruses, etc. der Scan keine Warnung ausgibt.

Zu 2) Wo ist ActiveProtect sinnvoll?
Auch hierzu wurde von Hr. Abels bereits alles Wichtige gesagt. ActiveProtect ist kein Real-Time-Scanner und versteht sich daher auch nicht als Ersatz für einen bestehenden Schutz, sondern als Ergänzung. Der Vorteil liegt darin, dass wir durch unsere eigenen Server und die Anbindung an VT mit bis über 50 Scannern eine Datei prüfen können und dadurch schneller sind, als die Virendefinition eines lokalen Virenscanners aktualisiert wird. Wir schließen insbesondere die zeitliche Lücke für Virenscanner-Updates oder auch Falscherkennungen.

Gerade bei neuen Virenwellen ist das häufigste Einfallstor der Download-Ordner. Daher überwachen wir hauptsächlich diesen und den Desktopordner. In der Premiumversion können insgesamt 10 Ordner überwacht werden, sowie per Rechtsklick jede beliebige Datei auf dem System.

Zu 3) Worin besteht die Eigenleistung?
Abelssoft steht für Software, die für PC-Nutzer entwickelt wird, die kein Profi-Wissen haben. Dieser Satz ist wichtig, um unseren Ansatz besser nachvollziehen zu können. Daher sind Sie hier im Forum auch nicht unsere klassische Zielgruppe, da vermutlich fast jeder von Ihnen eine gute Portion Fachwissen mitbringt. Und jeder von Ihnen könnte auch eine Datei bei VT auf der Website hochladen. Bis zu diesem Punkt kann ich Ihre Anmerkungen nachvollziehen und möchte dennoch darauf hinweisen, dass nicht alle PC-Nutzer sich mit Meta-Virenscannern beschäftigen wollen und Lust haben, deren Ergebnisse zu interpretieren. Als Ergebnis wird dort teilweise nur mitgeteilt, dass 2 von 54 Scannern in der Datei eine Bedrohung sehen. Nur als erfahrender Nutzer hat man die Chance dieses Ergebnis zu interpretieren. Stichwort „false positives“.

Und hier fängt der Mehrwert und die Eigenleistung von ActiveProtect an. Das Tool soll Nutzer schützen und das möglichst komfortabel. Kein Nutzer muss sich mehr darum kümmern, eine Datei händisch auf einer Website hochzuladen. Die wichtigsten Ordner werden vollautomatisch überwacht und bei Bedarf wird eine potentiell gefährliche Datei im Hintergrund gescannt. Zudem haben wir ein Netzwerk von schnellen Servern aufgebaut, dass die Hashwerte der bereits gescannten Dateien schnell prüfen kann und nur dann Dateien an VT weitergibt, wenn sie dort umgekannt sind. Eine weitere Herausforderung war die Verträglichkeit mit lokalen Virenscannern, sowie eine geringe Auslastung der CPU. Das wir das gut gelöst bekommen haben, hatte auch schon eXer in seinem Eingangpost erwähnt.

Darüber hinaus bieten wir neben der Premiumversion auch eine kostenlose Version von ActiveProtect an, die den Download- und Desktopordner vollständig überwacht.
Mit der Premiumversion wollen wir vor allem sicherstellen, dass wir unsere laufenden Entwicklungs-, Server-, und Traffickosten bezahlen können und bieten als Dankeschön allen zahlenden Nutzern die bereits erwähnten zusätzlichen Features an. Das ist aus unserer Sicht ein fairer Deal und macht ActiveProtect damit zu einer attraktiven Ergänzung zum lokalen Virenscanner.

Wir sind dennoch sehr offen gegenüber Anregungen und Verbesserungsvorschlägen aus diesem Forum. Dabei gehen wir sogar noch einen Schritt weiter, weil Feedback sogar ein fester Bestandteil unseres Entwicklungsprozesses ist. Wenn Sie Ideen für Optimierungen haben, oder mit bestimmten Ansätzen nicht zufrieden sind, dann lassen Sie es uns gerne wissen. Wir lernen letztlich auch jeden Tag dazu und sehen das als Chance unsere Produkte zu verbessern. Wenn Sie etwas beitragen wollen, dann können Sie das am besten tun, indem Sie eine Mail an software@abelssoft.de schicken. Der Grund: Es geht dann direkt an unseren Entwickler, der auch gleichzeitig ProduktManager ist. Er sammelt permanent alle eintreffenden Meinungen, Ideen und Verbesserungsvorschläge. Die Ideen fließen dann in unseren Produktentwicklungszyklus ein, werden mit unseren Zielen abgeglichen, priorisiert und dann umgesetzt.

Ich freue mich auf Ihr Feedback und wünsche Ihnen noch ein schönes Restwochenende.

Viele Grüße vom Abelssoft-Team (^MG)

Der Beitrag wurde von Abelssoft bearbeitet: 29.05.2016, 13:05

[eXer]

Danke für die Erklärung und Hallo.

Gleich eine Frage was macht ihr wenn VT etwas ändert ? So wie ich das gelesen hatte will VT die Schnittstelle umbauen.
http://blog.virustotal.com/2016/05/maintai...-community.html

[SLE]

@Abelssoft/MG.
Willkommen. Schön, dass ihr versucht hier etwas Aufklärung zu betreiben. Und dann sogar Sonntag.
Jedoch gehen in dem Marketing-Geschriebsel einige der wesentlichen Punkte unter.

Zu 1) Wie funktioniert ActiveProtect?... ActiveProtect benutzt für den Scan von potentiellen Bedrohungen eine Schnittstelle von Virustotal. Im ersten Schritt wird anhand des Hashwertes die Datei mit unserer Datenbank abgeglichen. Gerade bei großen Virenwellen ist das ein zuverlässiges Verfahren, da sich die Hashwerte i.d.R. nicht ändern, sehr schnell erkannt und im Netzwerk weitergegeben werden können. Ändert sich doch einmal ein Hashwert...

- Was ist "eure" Datenbank? Eine eigene Datenbank (selbst aufgebaut bzw. Zugriff gekauft) mit Haswerten oder nur die von VT (als Cache)?
- Gerade bei Virenwellen ist dieses Verfahren sinnlos. So hat oft jede Version einen eigenen Hashwert und wird z.B. beim Download dynamisch erstellt. Alles schon seit mehreren Jahren Praxis.
- Hashdatenbanken sind zum Aufbau von Whitelists sinnvoll, sonst: naja. Aber das als Vorteil oder eine Zukunft verkaufen wollen, scheint mir sehr gewagt.

Zu 2) Wo ist ActiveProtect sinnvoll?
...Der Vorteil liegt darin, dass wir durch unsere eigenen Server und die Anbindung an VT mit bis über 50 Scannern eine Datei prüfen können und dadurch schneller sind, als die Virendefinition eines lokalen Virenscanners aktualisiert wird. Wir schließen insbesondere die zeitliche Lücke für Virenscanner-Updates oder auch Falscherkennungen.

Ihr vergleicht Checksummen und prüft nicht. Wichtiger Unterschied.
Bei vielen "Großen" der Branche erkennen die Clouds (und damit an diese angebundenen lokalen Clients) Dateien, bevor die Serverversionen bei VT dies erkennen. Also auch nicht haltbar hier von zeitlichem Vorteil zu sprechen.

Gerade bei neuen Virenwellen ist das häufigste Einfallstor der Download-Ordner.

Nur bei bewusst heruntergeladenem. Sonst ist in aller Regel der Browser Einfalltor, und Schädlinge starten dann aus Temp-Ordnern

Darüber hinaus bieten wir neben der Premiumversion auch eine kostenlose Version von ActiveProtect an, die den Download- und Desktopordner vollständig überwacht.
...

Die Premiumversion sollte nicht mehr mit den neuen Richtlinien von VT vereinbar sein. Eine Ausnahme sind Freeprodukte, da darf man die API noch nutzen. So zumindest meine Info, und die die Entwickler vergleichbarer FreeTools erhalten haben.

[Abelssoft]

Hi, gerne gehen wir auf die Fragen von SLE etwas näher ein.

Unsere Datenbank ist selbst aufgebaut. Wir bitten um Verständnis, dass wir die Details zu Algorithmen und der konkreten Funktionsweise nicht öffentlich darlegen können. Im Übrigen hat SLE recht, wenn er sagt, dass dynamische Hashwerte über Caching, etc. nicht in allen Fällen zuverlässig abgefangen werden können. Sobald eine Datei unbekannt ist, unsere internen Prüfmechanismen, sowie VT. Bei dem Punkt mit dem zeitlichen Vorteil sehen wir das aus einer anderen Perspektive. Selbst wenn der lokale Virenscanner durch einen Cloudscanner das Potential hätte, eine Bedrohung sofort zu erkennen, zeigt die Realität, dass jeder Hersteller immer mal wieder längere Lücken hat, wo ein neuer Virus nicht erkannt wird. Genau diese Lücke können wir durch das „Metakonzept“ schließen. Da wir über 50 Scanner nutzen, haben wir größere Chancen eine Bedrohung schnell zu erkennen. Im Falle, dass der lokale Virenscanner eine neue Welle noch nicht mitbekommen hat, wird sehr wahrscheinlich zumindest ein oder zwei der anderen Scanner etwas erkannt haben. Noch eine Anmerkung: Wir führen VT nur die Dateien zu, die neu für sie sind. Das führt zu einer Steigerung der Qualität von VT wovon am Ende auch unsere Nutzer wieder profitieren.

Ich hoffe, dass ich hier etwas zur Aufklärung beitragen konnte. Gleichzeitig bin ich mir sicher, dass Nutzer hier im Forum mehr Details wissen möchten, als wir öffentlich preisgeben können. Schließlich liest die Konkurrenz ja auch mit

Im Übrigen war es uns wichtig die aufgekommenen Fragen so weit wie möglich zu beantworten. Bitte habt Verständnis dafür, dass wir das nicht dauerhaft leisten können. Dennoch schauen wir hier in regelmäßigen Abständen immer mal wieder vorbei. Gleichzeit gilt nach wie vor unser Angebot, bei konkreten Fragen zu diesem oder anderen Programmen sich an unsere Entwickler unter software@abelssoft.de zu wenden.

Viele Grüße vom Abelssoft-Team (^MG)

[Alexander Robrec...]

hallo ihr

Ich habe da mal wegen der 4 Engines nachgefragt und diese Antwort von denen bekommen

leider können wir nicht alle Interna des Programms preisgeben, da auch wir leider im Wettbewerb zu vielen anderen Anbietern am Markt stehen und der Konkurrenz auch nicht sofort alle Lösungswege aufzeigen möchten.

Und dann habe ich das hier noch gefragt gehabt

Wie sieht die Zukunft mit ActiveProtect aus auf welche Funktionen oder Features und auch Optionen dürfen wir uns freuen

Wir haben uns zu Beginn darauf konzentriert eine erste Version von ActiveProtect zu veröffentlichen. Aktuell sammeln wir das Feedback unserer Kunden um damit im weiteren Verlauf neue Features planen zu können.
Haben Sie vielleicht Ideen oder Wünsche für die nächste Version? Dann nehme ich diese natürlich gerne auf, damit wir sie berücksichtigen können :-).

MfG
Mops21

[Gast_J4U_*]

Ich habe da mal wegen der 4 Engines nachgefragt

Interessant, toller Hecht!
Diese Antworten wurden von @Abelssoft in diesem Fred bereits gegeben. Könntest Du evtl. den Versuch unternehmen, die Themen hier zu lesen statt sie nur zuzutexten?
/OT

[chris30duew]

Sag mal, seit doch mal etwas freundlicher zum Alex. Der hat euch doch rein gar nix gemacht. Er ist vll etwas naiv, vll auch jünger und versucht hier mit zu diskutieren, Neuigkeiten zu teilen. Ich finde man kann echt im Ton etwas anders agieren.