Tutto iniziò due anni fa. Ci incontrammo senza sapere che stavamo affrontando una nuova sfida che avrebbe originato EasyAudit.
Eravamo sì un piccolo gruppo di ricercatori, operanti da circa 10 anni nel campo della sicurezza informatica, ma soprattutto amici, col desiderio di condividere le proprie competenze per poter lavorare sempre meglio.
L'idea di fondo era di creare un software in grado di snellire le parti ripetitive del nostro lavoro per poterci dedicare maggiormente a risolvere quelle sfide intellettuali che ci permettono di vivere il nostro operato come passione.
Condividere strumenti ed informazioni è il pilastro portante degli ambienti innovativi, come accade nella ricerca scientifica e nella cultura «Hacker» - quella vera, composta da persone curiose ed intraprendenti, dotate di un forte senso etico. Francesco Ongaro
Avendo eseguito centinaia di Penetration Test (verifiche della sicurezza) per le maggiori aziende nazionali ed internazionali, disponevo di un vero e proprio arsenale di attacco - e così gli altri. Questi strumenti implementavano flussi e tecniche avanzate che nessun software in commercio offriva.
Iniziammo quindi a riscrivere il nostro codice di modo che fosse uniforme, integrato, completo, resistente agli errori e soprattutto più automatico possibile.
Stavamo riuscendo ad applicare alla nostra professione i concetti dell'industria: rendere replicabile, produttivo un processo fino ad ora artigianale. Le operazioni ripetitive ora erano veloci e svolte in maggior parte dal software. La scrittura del report, ottimizzata.
Dicembre 2012 - il primo test
Nel mese di Dicembre 2012, per la prima volta, EasyAudit era stato utilizzato per svolgere completamente la parte automatica di un esteso Network Penetration Test per un operatore di connettività. La qualità del risultato era ottima, eravamo elettrizzati.
Il report era in certi ambiti migliore di quello che si sarebbe potuto realizzare a mano, usando il nostro collaudato template.
Potevamo cambiare il nostro modo di lavorare: il tester si sarebbe dedicato alle vulnerabilità che nessun software poteva individuare, supportato da un framework solido e da una lista esaustiva di problematiche rilevate da decine di strumenti. Il suo lavoro sarebbe confluito in un database di vulnerabilità con capacità di auto-apprendimento, riutilizzabile e con supporto per più lingue. Il risultato già formattato in un report nel quale inserire quelle valutazioni derivanti dall'insostituibile competenza professionale - un ulteriore valore aggiunto.
Avevamo realizzato, in parte, un sogno.
Febbraio 2013 - nasce la società
Non potevamo fermarci e quindi a Febbraio 2013 abbiamo costituito una società e studiato il business model di EasyAudit:
Il business model in 7 punti
- ✓Innovativo perché innova il processo, che era la parte meno efficiente.
- ✓Facile (non tecnico), perché il cliente deve solo specificare su quali indirizzi IP o siti web effettuare la verifica.
- ✓Alla portata di tutti sia per le modalità di erogazione che per il prezzo.
- ✓Target ampio: dalla Startup, alla PMI, alla PA, alle grandi aziende che vogliono ottimizzare i risultati della loro spesa in sicurezza informatica.
- ✓Affidabile, a differenza di molte soluzioni completamente automatiche che non scopriranno mai che mettendo «-1» come quantità di un articolo nel carrello anche il totale diventa negativo.
- ✓Indispensabile: qualcosa che tutte le aziende che fanno business su Internet dovrebbero avere. Di alta qualità, dato che la tecnologia utilizzata è la migliore oggi disponibile.
- ✓Qualificante, perché offre la possibilità di seguire un percorso di certificazione del proprio stato di sicurezza, e di mostrare il proprio impegno a clienti ed utenti attraverso il sigillo EasyAudit Checked.
Come siamo arrivati qui non è un mistero, l'ultimo anno di lavoro è stato estremamente intenso e ha coinvolto energie ed emozioni che solo un gruppo di appassionati può avere. Quello che veramente ci affascina e ci rende impazienti è vedere dove arriveremo.