Cybersecurity, in Italia un “cimitero dei virus” per smascherare i malware

Articolo di Luca Zorloni per Wired.it, del 30/11/2018

Il sistema, della startup Yoroi, permetterà di scoprire se un file è infettato. Italia nel mirino degli attacchi informatici ma latitano gli investimenti. I piani di Cybaze, nuovo polo della cybersecurity

Nella mitologia giapponese Yomi è la terra dei morti, un regno da cui le anime non possono tornare. Yoroi, startup italiana specializzata in cybersecurity, lo ha scelto come nome per ribattezzare il suo recinto di test sui virus informatici. Uno spazio segregato. Un sandbox (recinto di sabbia) in gergo tecnico, o un “cimitero di virus”, per usare la metafora degli inventori, dove si possono eseguire file e url sospetti per smascherare malware e calcolarne la potenza di fuoco. “I nostri analisti detonano ilsample per evidenziare se è malevolo”, spiega Marco Ramilli, cofondatore e amministratore delegato di Yoroi.

Yomi è la declinazione italiana di Virus Total, piattaforma spagnola dal 2012 nel portafoglio di Google usata a livello globale per analizzare file e url. Tra qualche giorno Yoroi pubblicherà la versione beta. “È tutta tecnologia italiana. Sarà open, ciò che chiediamo è un feedback per migliorarla”, precisa Ramilli. I risultati di un viaggio nella terra dei morti dei malware possono essere utili per sopravvivere a quella che ha ormai preso i contorni di una “cyber warfare”, una guerra informatica, come la definisce Giulio Terzi di Sant’Agata, diplomatico, già ministro degli Esteri nel governo Monti e ora presidente di Cybaze, gruppo italiano di cybersecurity che a ottobre ha acquistato la maggioranza di Yoroi.

I segnali d’allarme non mancano. Il mezzo milione di caselle di posta elettronica certificata violate il 12 novembre è solo l’ultimo e più vistoso esempio di una quotidiana strategia di attacco.

L’Associazione italiana per la sicurezza informatica (Clusit) nei soli primi sei mesi dell’anno ha contato 730 gravi violazioni, il 31% in più rispetto allo scorso anno. E sempre più aggressive.

Quest’anno, per esempio, nel mirino del crimine informatico è finita l’industria navale globale. Intrusioni mirate (advanced persistent threat, apt) hanno colpito quest’estate i porti di San Diego e Barcellona e, a novembre, il gruppo cantieristico australiano Austal, che ha contratti con la difesa americana. A ottobre Cybaze ha rilevato un tentativo di infiltrazione contro un’azienda italiana del settore navale. Un attacco chirurgico, eseguito attraverso mail di phishing in cui si chiedevano di quotare pezzi specifici di imbarcazioni, attivabile sfruttando una chiave di decrittazione automatica del file read only di Microsoft, e organizzato come una matrioska, per sfuggire più facilmente ai controlli. Ma c’è un’altra caratteristica inquientante. “La falla è stata scoperta nel 2017, ma era programmata per attivarsi nel 2018 ed era stata registrata per la prima volta da Virus Total nel 2010”, spiega Pierluigi Paganini, responsabile tecnologico di Cybaze.

Nel 2018, quindi, si è attivato l’innesco (kill switch) di un cyber attacco pianificato almeno otto anni prima. Un virus che ha viaggiato nel tempo, tanto da meritarsi il nome di Marty McFly, il protagonista di Ritorno al futuro. Intrusioni sono state registrate in India, Medio Oriente, Brasile, Germania, Olanda e Italia. Anche Fincantieri ha bloccato un tentativo di attacco simile (i dettagli tecnici nel rapporto congiunto con Yoroi). Un’operazione di cyberspionaggio che non può essere derubricata al tentativo di svuotare la cassa e darsela a gambe.

Le questioni di sicurezza internazionale e nazionale sono una componente fondamentale della sovranità nazionale”, incalza Terzi di Sant’Agata. Di contro, però, in Italia la spesa in cybersecurity è ancora una bazzecola. Un’indagine della Banca d’Italia calcola che in media si spendono 4.500 euro ogni anno per azienda. Ma se si isolano le grandi società di informatica e telecomunicazioni, si arriva a 19mila euro. Briciole di fronte a rischi che possono costare milioni di euro di danni.

Le minacce, peraltro, sono capaci di dormire per anni, come ha fatto Marty McFly. O di cambiare connotati velocemente. “Non si può pensare di proteggersi da una minaccia dinamica con metodi statici”, osserva Paganini. “Serve un impianto di difesa e strumenti che facciano intelligenza delle minacce, una revisione continua”. Una strategia in cui si inserisce, per esempio, uno strumento come Yomi.

Il Gdpr, il nuovo regolamento europeo sui dati personali, e la direttiva Nis sulla protezioni delle infrastrutture critiche, hanno costretto molte aziende a fare i conti con la sicurezza informatica. Se il primo è operativo ormai da circa sei mesi, la seconda ha appena prodotto il primo risultato (l’elenco delle aziende obbligate ad adeguarsi, finora segreto), ma serviranno a detta degli esperti almeno sei mesi per la messa a terra.

Nel frattempo, con l’acquisizione di Yoroi, Cybaze ha chiuso il primo round del suo piano per costruire un polo tutto italiano della cybersecurity. La società, nata dall’incorporazione di Cse Cybsec nella triestina Emaze, è oggi una spa controllata al 51% dalla holding Data management e al 49% da una seconda società dall’azionariato diffuso. A sua volta Cybaze ha il 100% di Media Service e la maggioranza di Yoroi. Il gruppo impiega circa 140 persone, con uffici a Torino, Trieste, Udine, Milano, Cesena, Roma, Napoli e Benevento.

Il fatturato complessivo è di 10 milioni ma abbiamo aspettative di crescita importanti, da startup: un incremento del 30% annuo per tre anni”, spiega l’amministratore delegato, Marco Castaldo. Con un curriculum di 70 clienti, tra cui Intesa Sanpaolo, Unicredit. Vodafone, Telecom, Ferrari, Ducati e Poltrona Frau, il gruppo guarda anche all’estero. In Europa ha uffici a Bruxelles e Lugano. “Studiamo occasioni anche su Singapore e Malesia”, spiega Castaldo, sfruttando la rete del fondo inglese Falcon Capital, di cui l’ad di Cybaze è direttore generale in Italia.