Cybaze, nasce l’azienda italiana della cybersecurity che fa detonare i malware

Articolo di Raffaele Angius per La Stampa del 30/11/2018

Figlia della fusione tra Cse Cybsec, Emaze e Yoroi, punta a diventare il polo nazionale del settore. Il presidente, già ministro degli Esteri, Giulio Terzi: «Cooperazione contro le minacce cyber è un paravento diplomatico, servono investimenti»
Il Made in Italy si impone anche nel mercato della cyber sicurezza: Cybaze, società specializzata nel contrasto agli attacchi informatici, ha realizzato e renderà presto disponibile una piattaforma che consente di testare il comportamento dei malware in modo sicuro. Si chiama Yomi, dalla parola giapponese che indica la terra dei morti, ed è pensata per essere un «cimitero delle minacce informatiche», dove l’utente può caricare un file infetto su dei computer virtuali e farlo detonare per osservarne il comportamento.
La piattaforma Yomi inaugura l’avventura industriale di Cybaze, società italiana nata dalla fusione di Cse Cybsec, Emaze e Yoroi, che insieme vantano un fatturato di dieci milioni di euro l’anno. Ne è Presidente l’ambasciatore Giulio Terzi di Sant’Agata, imprenditore ed ex ministro degli Esteri nel Governo Monti, che avvisa: «Dire che la cybersecurity sia un tema sul tavolo delle organizzazioni internazionali è un paravento diplomatico: la verità è che ci sono grandi conflitti di fronte ai quali dobbiamo aumentare investimenti e attenzione». A partire dal settore privato, conviene l’amministratore delegato Marco Castaldo: «Ovviamente il nostro primo obbiettivo è quello di creare un’azienda che faccia profitti, ma ci sentiamo dal lato giusto della barricata perché i nostri nemici non sono la concorrenza ma chi compie attacchi».

Monito, quello dell’ambasciatore, che trova conferma anche in una recente indagine condotta dalla stessa Yoroi. Appena un mese fa, gli analisti della società fondata da Marco Ramilli e che oggi rientra in Cybase, avevano individuato e neutralizzato un attacco informatico contro alcune aziende del settore marittimo italiano, di cui ancora non è nota l’origine. «Proteggere non è più sufficiente nel cyberspazio, oggi abbiamo bisogno di squadre attive poste a difesa del perimetro informatico delle nostre aziende – ha spiegato Ramilli -. In natura siamo abituati a evitare le minacce quando ci si presentano davanti, ma oggi abbiamo a che fare con attaccanti che non coesistono con le proprie vittime, sia nello spazio, essendo in luoghi diversi, sia nel tempo, dal momento che una trappola può scattare anche molto dopo che è stata predisposta». Considerazione che segna il passo di Cybaze e Yoroi anche per le loro attività collaterali, dal momento che sono tra i principali sostenitori della nazionale italiana di cyberdifesa, premiata dagli stessi imprenditori nell’occasione della nascita di Cybaze, con una piccola cerimonia privata in centro a Milano il 29 novembre. «Negli Stati Uniti le grandi aziende investono nella ricerca di base perché sanno che prima o poi i giovani che hanno beneficiato di quegli aiuti diventeranno i loro ingegneri e manager più esperti», ha spiegato Arturo Di Corinto, giornalista, esperto di sicurezza informatica e accompagnatore della nazionale, nell’occasione.

Il fondatore di Yoroi, Marco Ramilli, durante la presentazione di Yomi

Il cimitero dei malware in un box della sabbia

La complessità crescente degli attacchi, condotti con malware sempre più resistenti alle contromisure delle vittime, rende necessaria una migliore conoscenza degli strumenti usati dagli hacker per introdursi in un sistema. Per questa ragione si utilizza la pratica del sandbox, dall’inglese box della sabbia (quello dove giocano i bambini), che indica un ambiente isolato nel quale testare i malware senza incorrere in danni al sistema. Ma come comunemente riscontrato nella comunità informatica, gli autori delle minacce sono sempre più capaci di creare artefatti tecnologici in grado di ingannare le sandbox, evitando di attivarsi. Da questa considerazione nasce Yomi: concepito in modo da permettere l’iniezione del malware in più ambienti virtuali paralleli e con diverse caratteristiche, consente di osservarne il comportamento quando questi si attivano. Creando più detonazioni controllate, gli scarti nei risultati ottenuti dalle simulazioni produrranno l’indice di rischio del file analizzato, fornendo importanti indicazioni agli esperti sulla natura e le caratteristiche del malware.