Contenuto
- Arrivano sul posto, prelevano le prove con sistemi che non ne compromettano l’integrità e le portano nel proprio laboratorio per le analisi.
- I detective di Yarix arrivano per prelevare pc, server e altri strumenti che possono servire per risolvere il caso.
- Yarix è riuscita a risolvere i problemi creati all’azienda e a trovare il colpevole.
- Aveva ottime conoscenze informatiche e dei sistemi It della società avendo lavorato all’interno.
- Come il security operation center detective, un centro dove ci sono addetti al monitoraggio dei clienti 24 ore su 24.
- Il detective, poi, non opera spesso direttamente sul dispositivo ma fa una copia cosiddetta bit to bit di ciò che vuole analizzare.
- Autore
Arrivano sul posto, prelevano le prove con sistemi che non ne compromettano l’integrità e le portano nel proprio laboratorio per le analisi.
Detective. Un laboratorio speciale, blindato, con pavimento e pareti isolati dalle interferenze.
Non si tratta di un intervento dei Ris sul luogo del delitto, anche se le analogie sono molte.
Ma il modo di operare di Yarix, un’azienda veneta che opera nella sicurezza informatica chiamata a risolvere casi di attacco informatico.
I detective di Yarix arrivano per prelevare pc, server e altri strumenti che possono servire per risolvere il caso.
In uno dei loro ultimi interventi sono andati anche all’estero per prelevare i 30 server di un’azienda vittima di un attacco da parte di un ex dipendente e portarli a Montebelluna.
Nella propria camera forense (perché all’interno si acquisisce la prova, o meglio si garantisce la ripetibilità del dato in tribunale), protetta dal punto di vista elettrostatico.
«La nostra azienda è partner nell’ambito della formazione del ministero dell’Interno e della Polizia postale», ha affermato Mirko Gatto, ceo di Yarix.
«In genere interveniamo in caso di attacco informatico, di investigazione interna quando l’attacco non è ancora avvenuto ma ci sono i sospetti, e nello spionaggio industriale».
Il caso cui si è accennato, relativo a un’azienda con sede in Veneto e parte di una multinazionale, è ancora aperto.
Yarix è riuscita a risolvere i problemi creati all’azienda e a trovare il colpevole.
Ma ora è la giustizia che deve fare il suo corso, essendo stato l’ex dipendente rinviato a giudizio.
Il danno non è stato indifferente: cancellazione di tutti i dati aziendali e blocco dei server con il conseguente fermo dell’attività per tre settimane.
Ovviamente l’ex dipendente, che voleva vendicarsi sull’azienda per essere stato licenziato.
Aveva ottime conoscenze informatiche e dei sistemi It della società avendo lavorato all’interno.
«Ha sfruttato una vulnerabilità di una sede all’estero», ha spiegato Gatto, «per installare una back door (una porta di servizio attraverso la quale penetrare nei sistemi It, ndr) e sferrare un attacco anonimo.
Ha cancellato i dati, installato un virus sul sistema e cifrato i dischi in modo che solo lui poteva accedere.
Ha passato un mese a pianificarlo e, durante il fine settimana, ha sferrato l’attacco. Il lunedì l’azienda si è trovata bloccata».
Una combinazione di fattori che ha portato al blocco totale e alla messa in cassa integrazione dei dipendenti fino alla ripresa.
«A quel punto abbiamo isolato e acquisito i vari server», aggiunge il ceo.
«con una persona per ogni sede, ed è cominciata tutta la parte di analisi. Contestualmente abbiamo cominciato a ripristinare i sistemi.
È stato difficilissimo.
Questa persona però ha fatto un errore, che gli è costato molto caro.
Siamo andati a ritroso con le analisi.
Aveva cancellato tutto tralasciando qualcosa, il resto non lo posso dire».
Yarix, che in Italia fattura 12 milioni di euro, non fa solo questo.
Il 20% della propria attività è investigazione, il 30% penetration test (attacchi simulato per testare la sicurezza) e il 50% servizi di sicurezza in generale.
Come il security operation center detective, un centro dove ci sono addetti al monitoraggio dei clienti 24 ore su 24.
Tutto è nato 12 anni fa, quando ancora di questi temi si parlava molto poco, soprattutto in Italia.
E quando Gatto, allora ventiquattrenne, ebbe l’idea con l’altro co-fondatore, Stefano Meller, che già lavorava nel settore informatico.
Dal tipo di attacco dipende l’intervento: a volte si deve preservare il contenuto della memoria ram di un pc acceso.
Ma se i sistemi sono spenti la prima cosa da fare è non accenderli, pena la cancellazione di dati fondamentali come può essere avvenuto con il delitto di Garlasco.
Anche toccare un disco fisso a mani nude può significare la perdita di informazioni fondamentali per ricostruire quanto accaduto.
Il detective, poi, non opera spesso direttamente sul dispositivo ma fa una copia cosiddetta bit to bit di ciò che vuole analizzare.
Spesso i clienti di Yarix arrivano dalla pubblica amministrazione.
Come accaduto con l’Asl Treviso da cui è stata chiamata per analizzare dieci anni di movimenti e risolvere un caso di furto da parte di un dipendente.