Mandrake spyware sneaks onto Google Play again, flying under the radar for two years
Introduction
In May 2020, Bitdefender released a white paper containing a detailed analysis of Mandrake, a sophisticated Android cyber-espionage platform, which had been active in the wild for at least four years.
In April 2024, we discovered a suspicious sample that appeared to be a new version of Mandrake. Ensuing analysis revealed as many as five Mandrake applications, which had been available on Google Play from 2022 to 2024 with more than 32,000 installs in total, while staying undetected by any other vendor. The new samples included new layers of obfuscation and evasion techniques, such as moving malicious functionality to obfuscated native libraries, using certificate pinning for C2 communications, and performing a wide array of tests to check if Mandrake was running on a rooted device or in an emulated environment.
Our findings, in a nutshell, were as follows.
- After a two-year break, the Mandrake Android spyware returned to Google Play and lay low for two years.
- The threat actors have moved the core malicious functionality to native libraries obfuscated with OLLVM.
- Communication with command-and-control servers (C2) uses certificate pinning to prevent capture of SSL traffic.
- Mandrake is equipped with a diverse arsenal of sandbox evasion and anti-analysis techniques.
Kaspersky products detect this threat as
HEUR:Trojan-Spy.AndroidOS.Mandrake.*.
Technical details
Background
The original Mandrake campaign with its two major infection waves, in 2016–2017 and 2018–2020, was analyzed by Bitdefender in May 2020. After the Bitdefender report was published, we discovered one more sample associated with the campaign, which was still available on Google Play.
The Mandrake application from the previous campaign on Google Play
In April 2024, we found a suspicious sample that turned out to be a new version of Mandrake. The main distinguishing feature of the new Mandrake variant was layers of obfuscation designed to bypass Google Play checks and hamper analysis. We discovered five applications containing Mandrake, with more than 32,000 total downloads. All these were published on Google Play in 2022 and remained available for at least a year. The newest app was last updated on March 15, 2024 and removed from Google Play later that month. As at July 2024, none of the apps had been detected as malware by any vendor, according to VirusTotal.
Mandrake samples on VirusTotal
Applications
| Package name | App name | MD5 | Developer | Released | Last updated on Google Play | Downloads |
| com.airft.ftrnsfr | AirFS | 33fdfbb1acdc226eb177eb42f3d22db4 | it9042 | Apr 28, 2022 | Mar 15, 2024 | 30,305 |
| com.astro.dscvr | Astro Explorer | 31ae39a7abeea3901a681f847199ed88 | shevabad | May 30, 2022 | Jun 06, 2023 | 718 |
| com.shrp.sght | Amber | b4acfaeada60f41f6925628c824bb35e | kodaslda | Feb 27, 2022 | Aug 19, 2023 | 19 |
| com.cryptopulsing.browser | CryptoPulsing | e165cda25ef49c02ed94ab524fafa938 | shevabad | Nov 02, 2022 | Jun 06, 2023 | 790 |
| com.brnmth.mtrx | Brain Matrix | – | kodaslda | Apr 27, 2022 | Jun 06, 2023 | 259 |
Mandrake applications on Google Play
We were not able to get the APK file for
com.brnmth.mtrx, but given the developer and publication date, we assume with high confidence that it contained Mandrake spyware.
Application icons
Malware implant
The focus of this report is an application named AirFS, which was offered on Google Play for two years and last updated on March 15, 2024. It had the biggest number of downloads: more than 30,000. The malware was disguised as a file sharing app.
AirFS on Google Play
According to reviews, several users noticed that the app did not work or stole data from their devices.
Application reviews
Infection chain
Like the previous versions of Mandrake described by Bitdefender, applications in the latest campaign work in stages: dropper, loader and core. Unlike the previous campaign where the malicious logic of the first stage (dropper) was found in the application DEX file, the new versions hide all the first-stage malicious activity inside the native library
libopencv_dnn.so, which is harder to analyze and detect than DEX files. This library exports functions to decrypt the next stage (loader) from the assets/raw folder.
Contents of the main APK file
Interestingly, the sample
com.shrp.sght has only two stages, where the loader and core capabilities are combined into one APK file, which the dropper decrypts from its assets.
While in the past Mandrake campaigns we saw different branches (“oxide”, “briar”, “ricinus”, “darkmatter”), the current campaign is related to the “ricinus” branch. The second- and third-stage files are named “ricinus_airfs_3.4.0.9.apk”, “ricinus_dropper_core_airfs_3.4.1.9.apk”, “ricinus_amber_3.3.8.2.apk” and so on.
When the application starts, it loads the native library:
Loading the native library
To make detection harder, the first-stage native library is heavily obfuscated with the OLLVM obfuscator. Its main goal is to decrypt and load the second stage, named “loader“. After unpacking, decrypting and loading into memory the second-stage DEX file, the code calls the method
dex_load and executes the second stage. In this method, the second-stage native library path is added to the class loader, and the second-stage main activity and service start. The application then shows a notification that asks for permission to draw overlays.
When the main service starts, the second-stage native library
libopencv_java3.so is loaded, and the certificate for C2 communications, which is placed in the second-stage assets folder, is decrypted. The treat actors used an IP address for C2 communications, and if the connection could not be established, the malware tried to connect to more domains. After successfully connecting, the app sends information about the device, including the installed applications, mobile network, IP address and unique device ID, to the C2. If the threat actors find their target relevant on the strength of that data, they respond with a command to download and run the “core” component of Mandrake. The app then downloads, decrypts and executes the third stage (core), which contains the main malware functionality.
Second-stage commands:
| Command | Description |
| start | Start activity |
| cup | Set wakelock, enable Wi-Fi, and start main parent service |
| cdn | Start main service |
| stat | Collect information about connectivity status, battery optimization, “draw overlays” permission, adb state, external IP, Google Play version |
| apps | Report installed applications |
| accounts | Report user accounts |
| battery | Report battery percentage |
| home | Start launcher app |
| hide | Hide launcher icon |
| unload | Restore launcher icon |
| core | Start core loading |
| clean | Remove downloaded core |
| over | Request “draw overlays” permission |
| opt | Grant the app permission to run in the background |
Third stage commands:
| Command | Description |
| start | Start activity |
| duid | Change UID |
| cup | Set wakelock, enable Wi-Fi, and start main parent service |
| cdn | Start main service |
| stat | Collect information about connectivity status, battery optimization, “draw overlays” permission, adb state, external IP, Google Play version |
| apps | Report installed applications |
| accounts | Report user accounts |
| battery | Report battery percentage |
| home | Start launcher app |
| hide | Hide launcher icon |
| unload | Restore launcher icon |
| restart | Restart application |
| apk | Show application install notification |
| start_v | Load an interactive webview overlay with a custom implementation of screen sharing with remote access, commonly referred to by the malware developers “VNC” |
| start_a | Load webview overlay with automation |
| stop_v | Unload webview overlay |
| start_i, start_d | Load webview overlay with screen record |
| stop_i | Stop webview overlay |
| upload_i, upload_d | Upload screen record |
| over | Request “draw overlays” permission |
| opt | Grant the app permission to run in the background |
When Mandrake receives a
start_v command, the service starts and loads the specified URL in an application-owned webview with a custom JavaScript interface, which the application uses to manipulate the web page it loads.
While the page is loading, the application establishes a websocket connection and starts taking screenshots of the page at regular intervals, while encoding them to base64 strings and sending these to the C2 server. The attackers can use additional commands to adjust the frame rate and quality. The threat actors call this “vnc_stream”. At the same time, the C2 server can send back control commands that make application execute actions, such as swipe to a given coordinate, change the webview size and resolution, switch between the desktop and mobile page display modes, enable or disable JavaScript execution, change the User Agent, import or export cookies, go back and forward, refresh the loaded page, zoom the loaded page and so on.
When Mandrake receives a
start_i command, it loads a URL in a webview, but instead of initiating a “VNC” stream, the C2 server starts recording the screen and saving the record to a file. The recording process is similar to the “VNC” scenario, but screenshots are saved to a video file. Also in this mode, the application waits until the user enters their credentials on the web page and then collects cookies from the webview.
The
start_a command allows running automated actions in the context of the current page, such as swipe, click, etc. If this is the case, Mandrake downloads automation scenarios from the URL specified in the command options. In this mode, the screen is also recorded.
Screen recordings can be uploaded to the C2 with the
upload_i or upload_d commands.
The main goals of Mandrake are to steal the user’s credentials, and download and execute next-stage malicious applications.
Data decryption methods
Data encryption and decryption logic is similar across different Mandrake stages. In this section, we will describe the second-stage data decryption methods.
The second-stage native library
libopencv_java3.so contains AES-encrypted C2 domains, and keys for configuration data and payload decryption. Encrypted strings are mixed with plain text strings.
To get the length of the string, Mandrake XORs the first three bytes of the encrypted array, then uses the first two bytes of the array as keys for custom XOR encoding.
Strings decryption algorithm
The key and IV for decrypting AES-encrypted data are encoded in the same way, with part of the data additionally XORed with constants.
AES key decryption
Mandrake uses the OpenSSL library for AES decryption, albeit in quite a strange way. The encrypted file is divided into 16-byte blocks, each of these decrypted with AES-CFB128.
The encrypted certificate for C2 communication is located in the
assets/raw folder of the second stage as a file named cart.raw, which is decrypted using the same algorithm.
Installing next-stage applications
When Mandrake gets an
apk command from the C2, it downloads a new separate APK file with an additional module and shows the user a notification that looks like something they would receive from Google Play. The user clicking the notification initiates the installation process.
Android 13 introduced the “Restricted Settings” feature, which prohibits sideloaded applications from directly requesting dangerous permissions. To bypass this feature, Mandrake processes the installation with a “session-based” package installer.
Installing additional applications
Sandbox evasion techniques and environment checks
While the main goal of Mandrake remains unchanged from past campaigns, the code complexity and quantity of the emulation checks have significantly increased in recent versions to prevent the code from being executed in environments operated by malware analysts. However, we were able to bypass these restrictions and discovered the changes described below.
The versions of the malware discovered earlier contained only a basic emulation check routine.
Emulator checks in an older Mandrake version
In the new version, we discovered more checks.
To start with, the threat actors added Frida detection. When the application starts, it loads the first-stage native library
libopencv_dnn.so. The init_array section of this library contains the Frida detector function call. The threat actors used the DetectFrida method. First, it computes the CRC of all libraries, then it starts a Frida detect thread. Every five seconds, it checks that libraries in memory have not been changed. Additionally, it checks for Frida presence by looking for specific thread and pipe names used by Frida. So, when an analyst tries to use Frida against the application, execution is terminated. Even if you use a custom build of Frida and try to hook a function in the native library, the app detects the code change and terminates.
Next, after collecting device information to make a request for the next stage, the application checks the environment to find out if the device is rooted and if there are analyst tools installed. Unlike some other threat actors who seek to take advantage of root access, Mandrake developers consider a rooted device dangerous, as average users, their targets, do not typically root their phones. First, Mandrake tries to find a su binary, a SuperUser.apk, Busybox or Xposed framework, and Magisk and Saurik Substrate files. Then it checks if the system partition is mounted as read-only. Next, it checks if development settings and ADB are enabled. And finally, it checks for the presence of a Google account and Google Play application on the device.
C2 communication
All C2 communications are maintained via the native part of the applications, using an OpenSSL static compiled library.
To prevent network traffic sniffing, Mandrake uses an encrypted certificate, decrypted from the
assets/raw folder, to secure C2 communications. The client needs to be verified by this certificate, so an attempt to capture SSL traffic results in a handshake failure and a breakdown in communications. Still, any packets sent to the C2 are saved locally for additional AES encryption, so we are able to look at message content. Mandrake uses a custom JSON-like serialization format, the same as in previous campaigns.
Example of a C2 request:
node #1
{
uid "a1c445f10336076b";
request "1000";
data_1 "32|3.1.1|HWLYO-L6735|26202|de||ricinus_airfs_3.4.0.9|0|0|0||0|0|0|0|Europe/Berlin||180|2|1|41|115|0|0|0|0|loader|0|0|secure_environment||0|0|1|0||0|85.214.132.126|0|1|38.6.10-21 [0] [PR] 585796312|0|0|0|0|0|";
data_2 "loader";
dt 1715178379;
next #2;
}
node #2
{
uid "a1c445f10336076b";
request "1010";
data_1 "ricinus_airfs_3.4.0.9";
data_2 "";
dt 1715178377;
next #3;
}
node #3
{
uid "a1c445f10336076b";
request "1003";
data_1 "com.airft.ftrnsfr\n\ncom.android.calendar\n\[redacted]\ncom.android.stk\n\n";
data_2 "";
dt 1715178378;
next NULL;
}
Example of a C2 response:
node #1
{
response "a1c445f10336076b";
command "1035";
data_1 "";
data_2 "";
dt "0";
next #2;
}
node #2
{
response "a1c445f10336076b";
command "1022";
data_1 "20";
data_2 "1";
dt "0";
next #3;
}
node #3
{
response "a1c445f10336076b";
command "1027";
data_1 "1";
data_2 "";
dt "0";
next #4;
}
node #4
{
response "a1c445f10336076b";
command "1010";
data_1 "ricinus_dropper_core_airfs_3.4.1.9.apk";
data_2 "60";
dt "0";
next NULL;
}
Mandrake uses opcodes from 1000 to 1058. The same opcode can represent different actions depending on whether it is used for a request or a response. See below for examples of this.
- Request opcode 1000: send device information;
- Request opcode 1003: send list of installed applications;
- Request opcode 1010: send information about the component;
- Response opcode 1002: set contact rate (client-server communication);
- Response opcode 1010: install next-stage APK;
- Response opcode 1011: abort next-stage install;
- Response opcode 1022: request user to allow app to run in background;
- Response opcode 1023: abort request to allow app to run in background;
- Response opcode 1027: change application icon to default or Wi-Fi service icon.
Attribution
Considering the similarities between the current campaign and the previous one, and the fact that the C2 domains are registered in Russia, we assume with high confidence that the threat actor is the same as stated in the Bitdefender’s report.
Victims
The malicious applications on Google Play were available in a wide range of countries. Most of the downloads were from Canada, Germany, Italy, Mexico, Spain, Peru and the UK.
Conclusions
The Mandrake spyware is evolving dynamically, improving its methods of concealment, sandbox evasion and bypassing new defense mechanisms. After the applications of the first campaign stayed undetected for four years, the current campaign lurked in the shadows for two years, while still available for download on Google Play. This highlights the threat actors’ formidable skills, and also that stricter controls for applications before being published in the markets only translate into more sophisticated, harder-to-detect threats sneaking into official app marketplaces.
Indicators of Compromise
File Hashes
141f09c5d8a7af85dde2b7bfe2c89477
1b579842077e0ec75346685ffd689d6e
202b5c0591e1ae09f9021e6aaf5e8a8b
31ae39a7abeea3901a681f847199ed88
33fdfbb1acdc226eb177eb42f3d22db4
3837a06039682ced414a9a7bec7de1ef
3c2c9c6ca906ea6c6d993efd0f2dc40e
494687795592106574edfcdcef27729e
5d77f2f59aade2d1656eb7506bd02cc9
79f8be1e5c050446927d4e4facff279c
7f1805ec0187ddb54a55eabe3e2396f5
8523262a411e4d8db2079ddac8424a98
8dcbed733f5abf9bc5a574de71a3ad53
95d3e26071506c6695a3760b97c91d75
984b336454282e7a0fb62d55edfb890a
a18a0457d0d4833add2dc6eac1b0b323
b4acfaeada60f41f6925628c824bb35e
cb302167c8458e395337771c81d5be62
da1108674eb3f77df2fee10d116cc685
e165cda25ef49c02ed94ab524fafa938
eb595fbcf24f94c329ac0e6ba63fe984
f0ae0c43aca3a474098bd5ca403c3fca
Domains and IPs
45.142.122[.]12
ricinus[.]ru
ricinus-ca[.]ru
ricinus-cb[.]ru
ricinus-cc[.]ru
ricinus[.]su
toxicodendron[.]ru
securelist.com/mandrake-apps-r…
Franco Ferrari*
Cento anni fa i quartieri popolari di Parma si opponevano alla spedizione fascista guidata da Italo Balbo e costringevano gli squadristi alla ritirata.
Lo sciopero “legalitario”
Il 31 luglio 1922, l’Alleanza del lavoro proclamò per il giorno successivo uno sciopero generale nazionale, con l’obiettivo dichiarato di difendere “le libertà politiche e sindacali minacciate dalle insorgenti fazioni reazionarie”. Turati, principale esponente della corrente riformista del PSI, lo definì per questo uno sciopero “legalitario”. La sua proclamazione sarebbe dovuta restare segreta fino all’ultimo momento ma venne anticipata dal quotidiano ligure “Il lavoro” e i fascisti, in tal modo messi in allerta, intimarono la cessazione dello sciopero entro 48 ore minacciando, altrimenti, di intervenire direttamente con la violenza per ripristinare l’ordine. A Parma aderirono allo sciopero le tre camere del lavoro (CGdl, UIL, USI) e a partire dalle dieci di sera di martedì 1° agosto anche il sindacato ferrovieri.
Il quadro sindacale parmense ci viene così descritto da William Gambetta:
Fu così che, nel dopoguerra, quattro diventarono le centrali sindacali: la Camera del Lavoro di borgo delle Grazie, aderente all’Unione Italiana del Lavoro deambrisiana, che nel 1921 contava ancora 23 mila iscritti; la Camera Confederale della Cgil, in strada Imbriani, che trovava sempre più consenso su impulso della linea massimalista del Psi; la piccola Unione Sindacale Parmense, fedele alle posizioni neutraliste e libertarie dell’Usi di Armando Borghi; e la cattolica Unione del Lavoro di Borgo Tommasini, attiva dall’estate 1919, gracile in città ma forte del sostegno dell’Azione Cattolica e dei notabili del Partito Popolare, soprattutto nelle valli montane.
Di queste solo l’Unione cattolica non aderì allo sciopero generale.
In città vi fu una significativa adesione a cui parteciparono quasi tutti i lavoratori delle industrie e larga parte del pubblico impiego. Nello stesso giorno cominciarono ad arrivare le squadre d’azione dei paesi della provincia, dove il fascismo aveva messo maggiori radici di quanto non fosse riuscito a insediarne nel capoluogo. A Parma, infatti, era rimasto debole e diviso. Il primo agosto si registrò solo qualche incidente minore.
Il ruolo degli Arditi del Popolo
Un ruolo importante nelle vicende di queste giornate ebbero gli Arditi del Popolo, fondati nel luglio del 1921 nel cortile di un’osteria di Borgo Santa Maria, certamente ispirati all’organizzazione fondata a Roma da Argo Secondari, ma dotati di una sostanziale autonomia. Del gruppo promotore degli Arditi, a livello nazionale faceva parte anche Giuseppe Mingrino, deputato socialista, con cui entrò in contatto il collega parlamentare Guido Picelli, eletto grazie al sostegno dell’elettorato popolare dei borghi dell’Oltretorrente.
Picelli, ispiratore e guida degli Arditi di Parma, aveva lasciato il PSI, ostile all’organizzazione armata e al ricorso alla violenza nell’opporsi al fascismo, nell’ottobre del 1921. Il suo avvicinamento al Pci non portò alla sua immediata adesione. La data esatta del suo ingresso è stata avvolta da una relativa incertezza. È sembrato che dovesse essere fatta risalire al 1924, dopo le elezioni che lo confermavano deputato, ma questa volta nelle liste di “unità proletaria” promosse dal Partito Comunista insieme alla frazione massimalista dei terzini, favorevole alla fusione delle forze che sostenevano la politica della Terza Internazionale. La ricerca successiva (in particolare da parte di Fiorenzo Sicuri) oltre che la nota autobiografica compilata dallo stesso Picelli a Mosca nel 1936, sembrano farla risalire al 1922 ma, presumibilmente, in un momento successivo agli eventi di Parma dell’agosto.
Sul ruolo e anche le specificità degli Arditi parmensi scriverà lo stesso Picelli, in un saggio pubblicato su “lo Stato Operaio” organo del Partito Comunista d’Italia, nell’ottobre del 1934, ma in realtà scritto almeno un paio d’anni prima:
Qui il movimento si differenziò un poco da quello delle altre provincie per la sua maggiore disciplina e per l’applicazione tecnica delle operazioni armate di strada. Il comando dei “gruppi degli arditi del popolo” prevedendo la spedizione punitiva in grande stile, da tempo preparò oltreché gli animi, il piano difensivo e procurò i mezzi necessari per affrontare e respingere il nemico. I capisquadra scelti fra gli operai militari, ebbero il compito dell’addestramento degli uomini, mentre gli addetti ai servizi speciali furono incaricati di mantenere il contatto coi soldati dei reggimenti di permanenza a Parma per il rifornimento di armi e munizioni.
Sulla presenza delle varie correnti e organizzazioni politiche all’azione di difesa armata, William Gambetta scrive:
Sulle prime fortificazioni, quelle in faccia al nemico, spiccavano orgogliose le bandiere d’appartenenza politica, come gagliardetti di reparti di uno stesso esercito. Sì perché tra quegli uomini armati, nell’urgenza della difesa, ogni diverbio ideologico era scomparso ed era difficile distinguere, dietro moschetti e revolver, i comunisti dai corridoniani, i socialisti dagli anarchici. Ad essi poi si aggiunsero giovani dell’Azione Cattolica dell’Oltretorrente, come Ulisse Corazza e Giuseppe e Luigi Mori, in dissenso con le direttive del Partito Popolare.
Per quanto riguarda i comunisti, come ha ricordato Bruno Fortichiari, al tempo membro della Commissione Esecutiva del PCdI e responsabile dell’Ufficio I (che si doveva occupare della struttura illegale):
D’accordo con l’Esecutivo, l’Ufficio I non autorizzò un accordo con i sedicenti “Arditi del Popolo” sul piano nazionale, considerando pericoloso esporre la propria organizzazione a interventi non controllabili. Accettava e autorizzava accordi locali e operativi limitatamente a gruppi ben conosciuti o disposti ad ammettere a parità di condizioni una temporanea convergenza.
Un esempio lampante di questa forma di collaborazione si ebbe a Parma per merito di un socialista stimatissimo e capace, Picelli, capo autentico e amato, col quale i numerosi proletari combattenti dell’Oltretorrente resisteranno in armi agli squadristi organizzati, foraggiati e armati dagli agrari emiliani (Picelli passerà poi al Partito Comunista).
La sera dell’estate 1921 in cui vennero fondati gli Arditi erano presenti anche Umberto Filippini, segretario della federazione provinciale del PCdI e Dante Gorreri che guidava l‘organizzazione giovanile comunista, la Federazione Giovanile Comunista d’Italia. Filippini venne eletto a far parte del Direttorio, mentre a Gorreri venne affidata la responsabilità di un settore che andava da Piazzale Imbriani a piazzale della Rocchetta.
Il rapporto tra i comunisti e gli Arditi fu però piuttosto complesso. Secondo la ricostruzione di Fiorenzo Sicuri:
Anche a Parma i comunisti uscirono, pertanto dagli arditi e si formarono le squadre comuniste, che fecero nei mesi successivi qualche azione. Cfr. l’ “Ordine Nuovo”, 13 agosto 1921, “Le squadre comuniste a Parma”, ove si annunciavano le dimissioni dei comunisti dagli arditi del popolo e dal Direttorio del corpo e si comunicava la costituzione di un inquadramento militare di partito. Inoltre, si minacciava l’allontanamento dal partito a chi non avesse ottemperato alla direttiva restando negli arditi e si rendeva nota l’espulsione di Umberto Filippini “già segretario della Federazione Provinciale Parmense”, verosimilmente perché non abbandonò il movimento degli arditi. (…) Successivamente al settembre 1921, in una data difficile da stabilire, a Parma le squadre dei comunisti ebbero rapporti unitari col movimento degli Arditi, non è chiaro se coordinandosi semplicemente con esso oppure sotto il completo comando del Direttorio degli Arditi (…) ma non aderendo individualmente.
Secondo Marco Rossi la Federazione comunista parmense contava, nel 1922, 172 iscritti e 577 aderivano alla sua federazione giovanile. “Più volte entrati in contrasto con la dirigenza nazionale sulla questione degli AdP, i comunisti parmensi raggiunsero con essa una mediazione, partecipando con proprie squadre all’organizzazione territoriale diretta da Picelli”, scrive Rossi, confermando in tal modo la ricostruzione di Fortichiari.
Sul peso dell’anarchismo a Parma è ancora Marco Rossi a fornirci un quadro complessivo:
Storicamente, l’anarchismo nel parmense aveva una presenza rilevante, sia col sindacalismo d’azione diretta che con l’organizzazione specifica; a questo proposito va ricordato che Malatesta, dopo il suo rientro in Italia alla fine del 1913, era stato a Parma, Borgo San Donnino e Sala Baganza, nell’ambito di un tour di conferenze nelle “roccaforti” anarchiche. Nel 1922, oltre alla componente anarchica dell’USI, erano attivi l’Unione anarchica parmense, il Circolo di studi sociali e il Gruppo femminile libertario, oltre ad altri circoli nel circondario, mentre rimaneva vivo il ricordo della grande bandiera rossa e nera che aveva sventolato nell’inespugnato Borgo delle Carra durante le “cinque giornate” del 1908.
A dirigere la mobilitazione popolare di Parma, non furono solo gli Arditi, ma si costituì un più ampio Comitato per la difesa operaia, sempre guidato da Picelli, che consentì l’aggregazione di forze più ampie. La sua esatta composizione però non è stata ancora determinata.
Arrivano migliaia di fascisti
Il successo dello sciopero a Parma città e in alcune zone del parmense, portò ad un crescente afflusso degli squadristi che cominciarono ad arrivare anche dalle province vicine. Secondo la prefettura il 2 agosto erano già 3.500-4.000. Nel pomeriggio dello stesso giorno iniziarono i primi conflitti a fuoco che avevano come epicentro il rione del Naviglio, incastonato nella “città nuova”, quella borghese, e decisamente più esposto e difficile da difendere di quanto non fosse l’Oltretorrente. Nel Naviglio si trovava un nutrito gruppo di Arditi in cui avevano un ruolo di primo piano gli anarchici Alberto Puzzarini e Antonio Cieri.
Il quotidiano “Il Piccolo”, di orientamento democratico-massonico, descriveva così la situazione che si era creata in Oltretorrente:
Alle Camere del Lavoro vigilano le squadre degli organizzati. Via Nino Bixio e via d’Azeglio sono un solo bivacco. Gli uomini dormono e vigilano sui marciapiedi. Lo spettacolo è fantastico. Anche qui i propositi sono fermi e precisi. – Nessuna provocazione, ma non subire passivamente alcuna violenza -. Crediamo di poter dire che un vero e proprio dislocamento strategico è stato compiuto, e vi ha un piano di difesa pronto. Le vedette sono sulle case. Molti punti sono guardati da pattuglie di giovani. Ma quello che da un tono quasi suggestivo a questa preparazione di difesa, si è che i bivaccanti intonano le vecchie canzoni della trincea e molti si sono appuntati sul petto le decorazioni guadagnate in guerra, difendendo quella Patria che altri vogliono monopolizzare.
Non particolarmente diversa la descrizione che ne fa Picelli nel suo citato articolo del 1934:
Il Comando degli “Arditi del Popolo” appena ebbe notizia dell’arrivo dei fascisti, convocò d’urgenza i capi squadra e capi gruppo e dette loro disposizioni per la costruzione immediata di sbarramenti, trincee, reticolati, con l’impiego di tutto il materiale disponibile. All’alba, all’ordine di prendere le armi e di insorgere, la popolazione operaia scese per le strade, impetuosa come le acque di un fiume che straripi, con picconi, badili, spranghe ed ogni sorta di arnesi, per dar mano agli “Arditi del Popolo” a divellere pietre, selciato, rotaie del tramway, scavare fossati, erigere barricate con carri, banchi, travi, lastre di ferro e tutto quanto era a portata di mano. Uomini, donne, vecchi, giovani di tutti i partiti e senza partito furono là, compatti, fusi in una sola volontà di ferro: resistere e combattere.
La cosiddetta “Parma vecchia” corrispondeva alla zona che era divisa dal torrente Parma da quella erroneamente detta “nuova” (in realtà più antica ma, ospitando i luoghi del potere e le residenze della borghesia e della residua aristocrazia, d’aspetto più moderno di quella dove si erano soprattutto ammassati ceti popolari spesso di nuova immigrazione dalle zone circostanti). Come sottolinea Fiorenzo Sicuri:
I quartieri popolari della città non erano nuovi alle barricate e alle sommosse. Nel 1859 l’Oltretorrente aveva eretto le barricate per contrastare le truppe asburgiche in fuga, a seguito del crollo del ducato di Parma. Nel 1869, per i moti del macinato, nel quartiere Naviglio, ne furono di nuovo costruite, alcune con mobili di chiese dismesse. Sommosse urbane si ebbero nella crisi politica di fine ‘800: nel 1891 per protesta contro il rincaro del pane, nel 1896 per le sconfitte militari di Macallé e di Adua, nella guerra d’Africa, e di nuovo per il rincaro del pane nel 1898, con qualche barricata nell’Oltretorrente. In età giolittiana vi furono proteste e sommovimenti nel 1908 per lo sciopero agrario, con momentanei barricamenti, e nel 1911 per la guerra di Libia; e le barricate ricomparvero nel 1914, durante la “settimana rossa”.
Ma Gambetta evidenzia anche le differenze:
Queste barricate infatti erano diverse da quelle del passato, anche da quelle del 1908 o dei moti del pane di fine del secolo. Sì, c’erano ancora sbarramenti costruiti con mobilio, carri, panche di scuole e pure di chiesa, ma erano nei punti meno nevralgici. Le difese che sfidavano le pallottole e le urla avversarie erano costruite con le tecniche imparate al fronte: le lastre dei marciapiedi per parapetto davanti al fossato, su tre, quattro o più ordini, con i passaggi sovrapposti. Erano trincee vere e proprie: il segno della cicatrice inguaribile che la Grande guerra europea aveva lasciato al popolo dei borghi, ma anche una lezione da utilizzare nella lotta al nemico interno.
Oltretorrente e Naviglio si riempiono di barricate e trincee
È ancora Picelli a descriverci in dettaglio, ad una decina d’anni di distanza, come fu organizzata la difesa dell’Oltretorrente e del rione Naviglio:
In poche ore, i rioni popolari della città presentarono l’aspetto di un campo trincerato. La zona occupata dagli insorti fu divisa in quattro settori: Nino Bixio e Massimo d’Azeglio nell’Oltretorrente; Naviglio e Aurelio Saffi in Parma Nuova. Ad ogni settore corrispose un numero di squadre in proporzione alla sua estensione: ventidue nei settori dell’Oltretorrente, sei nel rione Naviglio, quattro nel rione Saffi. Ogni squadra era composta di otto-dieci uomini, e l’armamento costituito da fucili modello 1891, moschetti, pistole d’ordinanza, rivoltelle automatiche, bombe S.I.P.E. Soltanto una metà degli uomini poterono essere armati di un fucile o di moschetto. Tutte le imboccature delle piazze, delle strade, dei vicoli, vennero sbarrate da costruzioni difensive. Nei punti ritenuti tatticamente più importanti, i trinceramenti furono rafforzati da vari ordini di reticolato e il sottosuolo venne minato. I campanili, trasformati in osservatori numerati. Per tutta la zona fortificata i poteri passarono nelle mani del comando degli “Arditi del Popolo”, costituito da un ristretto numero di operai, in precedenza eletto dalle squadre, fra i quali fu ripartita la direzione delle branche di servizio: difesa e ordinamento interno, approvvigionamenti, sanità. Bottegai e classi medie simpatizzarono con gli insorti e misero a loro disposizione materiale vario e viveri.
Sin dal secondo giorno la direzione della mobilitazione popolare era di fatto passata dall’Alleanza del lavoro al Direttorio degli Arditi del Popolo.
Il tre agosto, al mattino, i fascisti fecero un primo tentativo di penetrare nell’Oltretorrente, ma vennero fermati dai soldati di guardia. Provarono anche ad assaltare il Circolo dei ferrovieri ma furono bloccati dalle forze dell’ordine. Fu ancora la zona del Naviglio ad essere scenario di sparatorie e del contatto diretto tra gli squadristi e gli Arditi sostenuti dalla popolazione dei borghi.
Sulla situazione della zona abbiamo una testimonianza diretta di un giornalista de’ “Il Piccolo” il quale così scriveva:
Uomini e giovani ingombrano le vie di arroccamento discutendo sugli avvenimenti. Molti hanno addirittura l’elmetto in testa (…). Le squadre hanno graduati, che naturalmente sono ex ufficiali e caporali dell’esercito: in Borgo del Naviglio c’è un vero dedalo di trincee profonde, con le relative feritoie. E si continua a lavorare ed approfondirle, a migliorarle. Il Naviglio, Borgo della Trinità, via XX Settembre sono sbarrati dalle trincee. In Borgo Torto gli ordini di trincea sono quattro o cinque tutti profondi. Sul fianco delle trincee è lasciato un punto di passaggio. Un cartello però ammonisce che alle 18 si chiude, e si attendono gli eventi.
Un quadro non molto diverso è quello che viene fornito dallo stesso giornale sull’Oltretorrente:
Anche nell’Oltretorrente si è in grande stato di allarmi. I borghi sono affollatissimi di gente nervosa. Si ha l’impressione di una vigilia. Quando ieri sera si è sparsa la voce che l’autorità non aveva impedito l’entrata dei fascisti in città, si è dato mano alla costruzione di trincee. Nei borghi Carra, Corridoni, S. Giacomo, Poi, Bertani, ecc. sono state scavate e rizzate trincee. Nei pressi dei ponti vi sono le avanguardie che hanno il compito di dare l’allarme. Lo spettacolo è impressionante. (…) Nell’Oltretorrente, tuttavia, non è ancora capitato niente. Ma l’incubo di una minaccia grave è ovunque. Le donne sono nelle strade e s’affannano a chiamare i bimbi che scappano per ogni dove, e vanno di preferenza a giocare alla “guerra” nelle trincee.
Il 3 agosto restò gravemente ferito Giuseppe Mussini, un calzolaio di venticinque anni, degli Arditi del Popolo di strada XX Settembre, che morì il giorno dopo.
Con l’aggravarsi degli scontri iniziarono anche i primi tentativi di “pacificazione”, di cui non fu protagonista il sindaco, il liberale Amedeo Passerini, perché questi eletto da una coalizione di destra, aveva aperte simpatie per gli squadristi. Il compito fu assolto principalmente dal prefetto Federico Fusco, che propose alle associazioni combattentistiche un compromesso consistente nella cessazione dello sciopero, con la conseguente partenza dei fascisti. Nella notte un manifesto dell’alleanza sindacale era già pronto per annunciare l’intesa, quando il questore, Federico Signorile, informò che era impossibile allontanare le camicie nere che in realtà continuavano ad arrivare a migliaia.
Intanto, in Oltretorrente, si tenne un’assemblea per decidere come proseguire l’azione di difesa dei quartieri popolari. Con il tono enfatico che in generale contraddistingue il suo libro, ma che rende anche il clima concitato del momento, Mario De Micheli ne ha fatto questa descrizione:
Fu dunque il Direttorio (ndr degli Arditi del Popolo), insieme coi capisettore, che Picelli convocò d’urgenza la notte fra il 3 e il 4 agosto, alle ore 3 circa, nei locali della Lega proletaria invalidi, mutilati e vedove di guerra, in via Imbriani, presso la sede della Confederazione generale del lavoro.
Il suo proposito di fare di Parma una inespugnabile cittadella operaia si era ancor più rafforzato in seguito all’evidente filofascismo delle autorità, le quali, tra l’altro, avevano fatto ritirare dalle due caserme situate nell’Oltretorrente i carabinieri e le guardie regie, quasi a voler sottolineare che, per quanto era in loro, i fascisti avevano via libera.
Alla riunione c’erano una trentina di persone, tutte giovani. Picelli fece il punto della situazione. I volti erano tesi, contratti; nell’aria giungevano, attraverso le finestre aperte, gli echi delle fucilate. Le parole di Picelli furono, immediate, energiche, esprimevano una precisa volontà di lotta. Quand’egli accennò all’intimazione fascista di cessare lo sciopero, si levarono grida infuriate e fischi acutissimi. Poi, appena poté riprendere la parola per sostenere la tesi della resistenza a oltranza, entrò una delegazione degli Arditi del Popolo del rione Trinità, presso il Naviglio: i fascisti, rafforzati dalle squadre “forestiere”, attaccavano con violenza. Un applauso commosso salutò i compagni già provati dal fuoco avversario. “Noi”, continuarono i giovani della delegazione con voci rotte, “noi combattiamo da molte ore, abbiamo scavato trincee, ci difendiamo. Cosa intende fare il Direttorio degli Arditi del Popolo?”.
Questa volta il grido esplose da tutti i petti con veemenza tempestosa: “Resistere! Resistere!”. C’era forse bisogno di altre parole? Uscito dalle finestre delle due stanzette a pianterreno della Lega Proletaria, il grido fu ripreso dalla gente che, insonne, aspettava le decisioni del Direttorio nelle strade, passò di bocca in bocca, divenne la parola di quella notte d’ansia.
Tutti uscirono all’aperto e i capisettore si recarono subito ai posti di combattimento per dare inizio febbrilmente all’opera di fortificazione dei borghi.
Nella stessa notte, furono di nuovo assaltate e distrutte dai fascisti le sedi di due circoli dei ferrovieri, stavolta senza intervento a difesa da parte delle forze dell’ordine e di nuovo si ebbero sparatorie al Naviglio.
L’organizzazione dei difensori si andava intanto rafforzando sempre di più, come scriverà Picelli:
i servizi andarono man mano migliorando: requisizioni e distribuzione di viveri, posti di medicazione, cucine, vigilanza, informazione, rafforzamento delle costruzioni difensive. Grande fu la partecipazione delle donne, le quali accorsero ovunque a prestar l’opera loro preziosissima e ad incitare.
Per gli organizzatori della resistenza si poneva il problema non facile di mantenere i collegamenti fra le due zone popolari. Per questo veniva utilizzato il lancio di colombi viaggiatori mentre razzi luminosi segnalavano i movimenti del nemico. C’erano anche le numerose postazioni di vedetta.
Una successiva testimonianza di Antonio Cieri, pubblicata da “Il Grido del Popolo” del 28 marzo 1937, scritta in commemorazione di Picelli qualche mese dopo la sua morte, ci informa che in un’occasione lo stesso Picelli riuscì a passare la Parma e a recarsi nella zona del Naviglio. L’anarchico scriveva sul settimanale dei comunisti, edito dal Centro estero in Francia:
Lo rivedrò soprattutto come l’ho visto il quarto giorno dell’asprissima lotta sostenuta nei borghi di “Parma Nuova” e mi domando ancora come fece per venirci a salutare dall’Oltre Torrente nelle trincee di Borgo del Naviglio.
Migliaia e migliaia di mercenari fascisti bivaccavano in città e, nel pomeriggio bruciante di sole, un atleta con il fucile a tracolla sbucò da un borghino e svelto svelto saltò il parapetto della trincea di via XX Settembre. Era Guido Picelli! Che entusiasmo! Diecine di mani rudi e nervose si tesero verso di lui: Viva Picelli! Viva “el noster Guido”! Viva gli “Arditi del Popolo”!
Mi propose a cittadino d’onore di Parma, giacché ero “el foraster”. Un buon bicchier di vino, qualche raccomandazione, dei forti abbracci ed eccolo ripartito verso i più gravi rischi, accompagnato dagli echi di Bandiera Rossa e dell’Internazionale. I borghi erano in festa e i fascisti, in quella notte, si accanirono con ferocia contro di noi e vari assalti in Viale Mentana e in via XX Settembre furono respinti.
La stessa vicenda è riportata anche da De Micheli, che così la ricostruisce, collocandola dopo la morte di Gino Gazzola:
Ma quella sera Picelli stesso raggiunse Borgo del Naviglio e ne La Verta, salito sopra un tavolo della osteria di Orestin, che dà proprio sulla piazzetta, parlò alla gente del quartiere del giovanissimo eroe Gino Gazzola. Gli uomini e le donne singhiozzavano. Picelli diceva parole che trovavano un’eco profonda nel cuore di quella schietta e coraggiosa gente. Egli disse che Gino era il “Gavroche di Parma”, la “Piccola vedetta lombarda” di Borgo del Naviglio. Il suo discorso fu breve, ma alla fine la volontà popolare di combattere i fascisti e cacciarli dalla città era moltiplicata. Gino Gazzola sarebbe stato vendicato.
Il “Gavroche” di Parma
Sulle vicende delle barricate, nel corso del tempo, sono sorte anche delle leggende. Esistono dubbi su questa improvvisata commemorazione del giovane Gazzola da parte di Picelli. Se ne fa portavoce Francesco Pelosi a commento del graphic novel da poco uscito.
L’accostamento alla figura letteraria di Gavroche (da “I Miserabili”) non sembra però così lontana dalla sensibilità di Picelli. De Micheli, il cui testo va certamente valutato con una certa prudenza critica ma che aveva effettivamente raccolto testimonianze di partecipanti alle giornate di Parma, ci informa su questa vittima che, essendo molto giovane, ha profondamente colpito i sentimenti dei settori popolari di Parma:
Gino Gazzola (…) era un ragazzo che non aveva ancora compiuto i quindici anni: alto, magro, biondo di capelli, con gli occhi chiari: un ragazzo generoso e intelligente, che amava leggere libri e giornali benché avesse fatto appena tre anni di elementari. Gli altri ragazzi stavano volentieri con lui e i “grandi” non sdegnavano la sua compagnia perché ragionava già come loro, anche se continuava a portare i pantaloni corti.
Gino non aveva conosciuto una vera infanzia. Il padre era un galantuomo, ma spesso si lasciava prendere dal vino e allora toccava a Gino, primo di quattro fratelli, tenergli testa. Questa situazione aveva così incominciato assai presto a far sentire sulle sue magre spalle il peso di una responsabilità familiare.
D’estate il padre faceva il gelataio: possedeva tre carretti che i figli, meno l’ultimo ch’era troppo piccolo, spingevano un po’ ovunque per i borghi di Parma, vendendo sorbetti soprattutto ai bambini. D’inverno invece chiuso il “commercio” dei gelati, il padre si trasformava in venditore di pere cotte e in questa stagione era lui che girava per la città con la piccola caldaia di rame sostenuta sul davanti dalla cinghia passata intorno al collo.
Arriva Italo Balbo e scende alla “Croce Bianca”
Il quattro agosto oltre a continuare l’afflusso di squadre di fascisti, arrivò anche in prima mattinata Italo Balbo, Ras di Ferrara, al quale la direzione del Partito Nazionale Fascista, aveva affidato il comando delle squadre fasciste. E con questo anche il compito di sbrogliare una situazione che si stava facendo sempre più complicata.
Nei primi giorni a coordinare l’azione degli squadristi erano stati il fiduciario Giovanni Botti e il deputato toscano Michele Terzaghi che era arrivato da Roma il 2 agosto. Come sintetizza Gambetta: “L’esercito nero infatti si muoveva in modo frenetico ma scomposto, come in una gara per cogliere frettolosamente qualche riconoscimento evitando le difficoltà della battaglia.”
Balbo, come racconta De Micheli, “scese all’albergo Croce Bianca e convocò subito i dirigenti locali del fascio per avere un rapporto su quanto stava accadendo. L’albergò diventò per tre giorni la sede del quartier generale delle bande nere. Nella giornata arrivarono anche Moschini, Buttafuochi, Farinacci, Ranieri, Bigliardi, Arrivabene e altri consoli o comandanti di coorte di non minore importanza”.
Gli squadristi ammontavano ormai a diverse migliaia. I giornali dell’epoca e lo stesso Balbo li calcolavano in 10.000. Picelli darà nel tempo cifre diverse. Li valutava in 20.000 nell’articolo del 1934, ma in 7.000 in uno scontro polemico avuto in Parlamento con i deputati fascisti e in 12-15.000 in un testo di commemorazione scritto per “Falce e Martello”, il settimanale in lingua italiana dei comunisti svizzeri. In ogni caso si trattava di una vera e propria truppa di occupazione della città.
Balbo era certamente consapevole della posta in gioco nello scontro di Parma, perché come scriverà poi nel suo diario, per la prima volta, il fascismo “si trovava di fronte ad un nemico agguerrito e organizzato, armato ed equipaggiato e deciso a resistere ad oltranza”.
Non potendo sfondare in Oltretorrente i fascisti assaltarono e distrussero la sede de “Il Piccolo”. Verso le dieci della mattina iniziò il conflitto più cruento delle cinque giornate ed ebbe ancora una volta come sfondo la zona del Naviglio. Si prolungò per diverse ore. Si registrò uno scontro anche in Oltretorrente, e gli Arditi riuscirono ancora a respingere l’assalto dei fascisti.
Il Prefetto mandava rapporti sempre più allarmati:
In tutta la giornata è continuato in vari punti della città scambio di colpi d’arma da fuoco con maggiore intensità da parte dei fascisti. Si lamentano sinora sei morti popolazione civile e vari feriti. Contegno fascisti che stanotte hanno sparato qualche colpo contro agenti questura si fa sempre più minaccioso. Circolazione è diventata pericolosa per individui estranei lotta politica.
Fra i caduti vi furono, oltre a Gino Gazzola, Carluccio Mora, che era di vedetta nella zona del Naviglio, il consigliere comunale popolare Corazza, che si stava appostando alla difesa del ponte Caprazucca, dalla parte dell’Oltretorrente. Caddero anche due passanti, Mario Tomba e Attilio Zilioli. Quest’ultimo mentre cercava di soccorrere un ferito sul ponte Umberto (ora Ponte Italia).
Dal racconto di Picelli emerge come la determinazione alla resistenza si facesse sempre più forte e anche i mezzi di difesa si facevano via via più estremi:
Nessun aiuto fu possibile avere all’ultimo momento dalla campagna, perché nelle località temute, i fascisti inviarono piccoli distaccamenti impedendo il collegamento con la città. Venne però disposta la grande difesa, fatta con ogni mezzo e che avrebbe dovuto impegnare il nemico sino all’ultimo uomo, in tutte le forme possibili di combattimento. (…) Il morale della massa si dimostrò elevatissimo; sembrò quasi che l’annuncio dell’azione imminente delle camicie nere avesse contribuito ad aumentare ancora di più il coraggio e l’entusiasmo. (…) Nelle case si attese alla fabbricazione di ordigni esplodenti, di pugnali fatti con lime, pezzi di ferro, coltelli e alla preparazione di acidi. (…) Alle donne vennero distribuiti recipienti pieni di petrolio e di benzina, poiché in base al piano difensivo, nel caso in cui i fascisti fossero riusciti ad entrare in Oltretorrente, il combattimento si sarebbe svolto strada per strada, vicolo per vicolo, casa per casa, senza risparmio di sangue, con lancio di liquidi infiammabili, contro le camicie nere e sino all’incendio e alla distruzione completa delle posizioni.
In seguito a colloqui svoltisi al mattino tra Balbo e il prefetto, si stabilì un patto tra fascisti e autorità pubbliche. Se i militari avessero occupato i borghi del Naviglio entro le ore quattordici, i fascisti avrebbero abbandonato la città: altrimenti si sarebbero impegnati in prima persona a “ristabilire l’ordine” con la violenza.
Ci furono intense trattative tra gli Arditi e l’esercito. Da parte del ‘Corpo di guardia del nucleo di Borgo del Naviglio’, a firma di Picelli venne consegnato al colonnello Roberto Simondetti, comandante delle truppe, il foglio di resa. L’esercito poté occupare il quartiere smantellando le opere di difesa. La “Gazzetta di Parma” scrisse che “Le truppe furono accolte dai sovversivi con applausi e da grida: ‘Evviva i nostri fratelli soldati! Evviva il comunismo!’”, mentre l’Alleanza del Lavoro “faceva affiggere un proclama inneggiante alla propria vittoria, non essendo i fascisti entrati nella Trinità”. I fascisti si sentirono così beffati per l’atteggiamento degli avversari, e cercarono di sfogare la propria rabbia assaltando la trincea di borgo Valorio e, dopo un violento combattimento, riuscirono a demolirla. Con l’ingresso dell’esercito il Naviglio usciva di scena, ma restava in campo l’Oltretorrente.
Si intensificarono i tentativi di pacificazione. Il presidente della Deputazione Provinciale, il popolare Tullio Maestri, assieme col socialista riformista Faraboli si recò in Oltretorrente per avviare dei veri e propri colloqui di pace. Una iniziativa che fu aspramente criticata dai fascisti e gli attirò i sarcasmi della “Gazzetta di Parma” per avere creduto, secondo il quotidiano filofascista, alle promesse di disarmo annunciate da Picelli.
Più tardi si scatenò una furiosa fucileria dall’Oltretorrente verso i fascisti, attestati sul Lungo Parma, mentre colpi isolati e scariche risuonavano in numerosi punti della città, anche in centro. Secondo la “Gazzetta di Parma”:
Nelle prime ore della sera, l’aspetto della città era fantastico. Nuove forze fasciste giungevano da ogni dove. Imponente la colonna di oltre mille fascisti giunti da Reggio Emilia in una lunga teoria di camion e completamente equipaggiati. Poco prima del suo arrivo la Piazza Garibaldi e adiacenze erano state teatro di spari e inseguimenti di individui in camicia nera, mescolantesi fra i fascisti e sparando loro addosso, lanciando anche alcune bombe.
Nella notte fra il quattro e il cinque agosto, i ripetuti tentativi d’assalto dei fascisti in Oltretorrente furono respinti, ma sparatorie avvenivano in numerosi punti della città, perché erano gli stessi Arditi ad attaccare gli accampamenti fascisti, con operazioni di “commando”.
Anche Balbo ci prova ma viene respinto
Nella giornata del cinque agosto, quella finale, Balbo in persona tentò in mattinata un assalto all’Oltretorrente. Alla guida di un centinaio di squadristi provò a penetrare in Oltretorrente attraverso il ponte Verdi, grazie anche alla complicità di alcuni ufficiali del Novara Cavalleria. Tra borgo Tanzi e strada Farnese, intervennero gli Arditi e i corridoniani (che avevano la loro Camera del lavoro poco distante) e respinsero l’attacco a fucilate. A quel punto si interposero i soldati e il gruppo di Balbo dovette fare marcia indietro.
Nella giornata i fascisti devastarono gli studi professionali di Guido Albertelli, degli avvocati Emilio Baracchini, Ugo Grassi e Renzo Provinciali, del ragionier Augusto Argenziano, lo studio e la casa dell’avvocato Gustavo Ghidini; l’abitazione di Tullio Masotti direttore de “Il Piccolo” e del consigliere comunale socialista Vico Ghisolfi, così come furono devastate la sede delle associazioni cattoliche sindacali e cooperative, nonché del Partito Popolare. Tentativi di devastazione furono compiuti, inoltre, nei confronti degli studi degli avvocati Aurelio Candian, Ildebrando Cocconi e Francesco Pangrazi. Quando gli squadristi arrivarono nella zona di strada XXII luglio per assaltare e devastare la sede de “Il Piccolo”, i soldati che la piantonavano si allontanarono.
Il comportamento degli squadristi cominciò a sollevare le proteste anche di quella “Parma nuova” che pure aveva accolto con un certo favore l’arrivo dei fascisti pensando che la loro violenza si scatenasse solo contro i quartieri dei sovversivi.
Secondo quanto scrive De Micheli:
L’indignazione dei cittadini di Parma nuova fu tale che Balbo si vide costretto a far affiggere un manifesto in cui deplorava il “gruppo di sconsigliati” che aveva commesso quelle poco belliche imprese. In realtà tutto ciò rientrava nella normale attività delle squadracce.
Probabilmente i più accaniti nell’effettuare queste devastazioni furono i gruppi di squadristi legati al cremonese Roberto Farinacci, nonché ai parmensi Paolo Giudici e Alcide Aimi, che rappresentavano la fazione del fascismo maggiormente legata agli agrari e che – rileva Gambetta – “mal tollerava le manovre di corteggiamento verso i corridoniani”.
Nelle prime ore del pomeriggio, il vescovo di Parma, Guido Conforti, si recò al comando fascista offrendo la sua mediazione per la cessazione dei conflitti e fu diffuso un appello del prelato alla cittadinanza per il ripristino della pace.
Intanto, il governo Facta, esaminata la situazione che si era creata in diverse città dove vi era un forte concentramento di forze fasciste, decise di proclamare lo stato d’assedio in alcune province, fra cui Parma, dalla mezzanotte. Di conseguenza i poteri passarono all’autorità militare. Il telegramma del governo che annunciava alle prefetture la decisione assunta partì alle 16:40 del 5 agosto.
Di fronte al passaggio dei poteri, per non scontrarsi con l’esercito, i fascisti cominciarono a lasciare la città. Balbo aveva comunicato, dopo il fallimento del suo tentativo di entrare in Oltretorrente attraverso strada Farnese, di essere disponibile alla smobilitazione. I responsabili militari si espressero con molta decisione: il colonnello Simondetti dichiarò che “avrebbe difeso la vita e gli averi dei cittadini tutti, senza distinzione di parte, sino all’ultimo suo uomo”; il generale Enrico Lodomez, che con la dichiarazione dello stato d’assedio aveva assunto i poteri che erano spettati al prefetto Fusco, in un colloquio con il Ras fascista aveva chiarito la posizione dell’esercito.
I fascisti lasciano la città
Per svicolare da una situazione senza via d’uscita, trovandosi nell’impossibilità di battere con la forza le difese popolari nell’Oltretorrente e dovendo evitare di entrare in conflitto con le truppe che, nel frattempo avevano ricevuto altri rinforzi (alpini del Cadore e i reparti del 66° e 26° fanteria), Balbo cercò quanto meno di salvare la faccia. Nello stesso pomeriggio, radunò gli squadristi ancora presenti in città di fronte al Palazzo della Prefettura e li arringò cercando di convincerli della “vittoria” ottenuta. Questa era giustificata col fatto che “il governo aderisce finalmente alla nostra richiesta esautorando l’indegna autorità politica complice e responsabile dell’attuale situazione”.
In realtà era evidente che i fascisti avevano subito una clamorosa sconfitta. Per rifarsi si vendicarono assaltando e devastando cooperative e associazioni proletarie in diversi centri della provincia e in particolare distrussero l’articolata e capillare organizzazione del socialismo riformista e del cooperativismo municipale che ruotava attorno a Roccabianca. Inoltre imposero con la forza le dimissioni di numerose amministrazioni comunali.
Allontanati i fascisti dalla città, fu l’esercito a riportare “l’ordine” nei quartieri ribelli. Come scriveva la “Gazzetta di Parma”:
un reggimento di fanteria è penetrato nelle strade dell’Oltretorrente ed affrontando la resistenza degli abitanti, ha preso a demolire i reticolati e le trincee di B(orgo) Carra. Gli ordini erano precisi e le opposizioni non hanno valso a nulla. L’on. Picelli, che tutto ieri ha girato per le trincee, ha dovuto cedere contro la fermezza del Colonnello che comandava le truppe.
Nel racconto di Picelli, questa è la conclusione della rivolta:
Il Comando della difesa operaia esaminò immediatamente la nuova situazione, creatasi in seguito all’intervento dell’autorità militare, e constatò la impossibilità materiale di impedire alle forze dell’esercito, costituite localmente da due reggimenti di fanteria, con sezioni di mitragliatrici e carriarmati, di un reggimento di cavalleria e di numerosa artiglieria, di tenere l’Oltretorrente e i settori Naviglio e Aurelio Saffi. Alle ore tre e dieci minuti il colonnello Simondetti, dopo aver fatto sparare un colpo a polvere con uno dei due pezzi di artiglieria piazzati sul ponte di Mezzo, avanzò seguito da autoblindate, da mitragliatrici e dalla truppa, e procedette all’occupazione di tutti i quartieri operai, ordinando ai soldati lo sgombero delle strade.
Sulle ragioni che hanno consentito all’Oltretorrente di non cedere all’aggressione delle squadre fasciste così sintetizza Fiorenzo Sicuri:
Il bilancio delle cinque giornate mostra che i dedali di strade e la conformazione urbanistica degli spazi, l’organizzazione armata all’interno dei quartieri e i piani militari predisposti, le catene di solidarietà e la compattezza della popolazione, la presenza di ex combattenti, tecnicamente attrezzati allo scontro armato, la capacità di costruire barricate che era storico patrimonio dei quartieri popolari parmensi, a cui si aggiungeva la recente abilità nello scavare trincee e nel posare reticolati di filo spinato, e, infine, una leadership militarmente dotata di una certa perizia ebbero successo nel respingere i tentativi di conquista.
A questi elementi si deve aggiungere anche l’atteggiamento di relativa neutralità tenuto dalle forze militari. Sottolinea questo aspetto lo storico militare, Marco Mondini, secondo il quale il conflitto avutosi a Parma:
Non fu certo un esempio di ripristino dell’autorità, giacché (…) lo scontro armato tra fascisti e difensori parmigiani andò avanti per tre giorni senza che l’esercito (che ne avrebbe avuto tutti i poteri e le facoltà) intervenisse. Di fatto la piccola guerra civile in corso nel quartiere vecchio di Parma fu isolata da una sorta di “cordone sanitario” steso dai distaccamenti di due reggimenti di fanteria e uno di cavalleria, rinforzati con reparti provenienti da tutti i corpi d’armata vicini, per un totale forse di 2000 uomini. La neutralità armata mantenuta a Parma dall’esercito non era dovuta ad un particolare (e abbastanza inverosimile) senso di “affratellamento” tra soldati e proletari (…) quanto piuttosto, all’opera efficace del prefetto Fusco e alla sua capacità di far eseguire dal comando locale una politica di “non intervento” anche dopo il passaggio dei poteri.
In tale contesto e in tali condizioni la battaglia dei quartieri popolari fu “l’unica effettiva sconfitta della grande offensiva fascista dell’estate”.
La partecipazione alla difesa dei quartieri popolari dalle bande fasciste ebbe una partecipazione realmente trasversale, anche sul piano delle appartenenze sociali. Il giornale cattolico “Vita Nuova”, scriveva: “Nei due quartieri tutti, letteralmente tutti, di qualunque classe, partito o tendenza, si sono trovati d’accordo dietro le trincee e le barricate”. Non diversa la valutazione de “L’Internazionale”: “i sindacalisti corridoniani, gli arditi del popolo, i confederali, i popolari, scendevano dalle case si disponevano in squadre delle quali assumevano il comando i più audaci, scelti fra gli ex sottufficiali e ufficiali dell’Esercito”. Un altro giornale locale, “L’Idea”, rilevava: “Abbiamo visto, accanto allo scamiciato e talvolta scalzo abitante dei borghi, l’impiegato e il professionista, elegante ancora, con l’immancabile colletto, spilla d’oro e moschetto sottobraccio”.
Quante furono le vittime delle cinque giornate? Dalla parte degli Arditi e dei difensori, Picelli parla di cinque morti e qualche ferito, mentre tra i fascisti conteggiava, nell’articolo pubblicato nel 1934, ben 39 morti e centocinquanta feriti. Si tratta di una valutazione che non ha trovato conferma in sede di ricerca storica. Le uniche vittime certe di parte squadrista sono i due fascisti, deceduti negli scontri, contemporanei alle giornate di Parma, avvenuti nel vicino comune di Sala Baganza. Vi furono certamente dei feriti ma non nelle dimensioni indicate da Picelli. In ogni caso le squadre fasciste, abituate a rapporti di forza totalmente squilibrati a loro favore e a non registrare alcuna resistenza armata nelle loro scorribande, non avevano alcun desiderio di impegnarsi in una vera battaglia da condurre casa per casa in borghi in cui la popolazione era completamente ostile.
Lo stato d’assedio terminò il 16 agosto e due giorni dopo venne siglato un patto di pacificazione da parte di tutte le cariche istituzionali e dai rappresentanti dei combattenti oltre che da diversi partiti, tra i quali il Pnf e il Partito Popolare. Anche le Camere del lavoro corridoniana (guidata dal fratello di Alceste De Ambris, Amilcare e dal fratello di Guido Picelli, Vittorio) apposero le loro firme. Si rifiutarono invece ad ogni idea di “pacificazione” col nemico fascista le forze che erano state effettivamente protagoniste della resistenza come gli Arditi del Popolo, i comunisti, i sindacalisti dell’Usi e gli anarchici. Anche una parte del fascismo locale si oppose al “patto”.
Ipotesi di un nuovo assalto alla città che non si era piegata alla violenza squadrista e che Balbo definiva “isola di bolscevismo armato e delinquente”, vennero avanzate per essere poi accantonate a seguito della “marcia su Roma” e della chiamata di Mussolini a guidare il governo.
Come commenta Gambetta:
Dopo, una volta al potere, la vendetta contro i quartieri delle barricate fu affidata agli strumenti tradizionali della repressione poliziesca e della costruzione del consenso. Fu poi il “piccone risanatore” ad abbattere materialmente le strade e le case di quell’insurrezione e a smembrare il corpo sociale di quella comunità ribelle.
Il bilancio politico e militare delle giornate di Parma
Da parte sua Picelli trarrà dalle cinque giornate di Parma una serie di insegnamenti di carattere militare che consegnerà all’articolo pubblicato su “Lo Stato Operaio”:
Prima. Di quale importanza sia il problema politico-militare e la teoria della guerra civile, sino a ieri trascurata, se non ignorata completamente; ma che oggi si impone al nostro studio come una necessità assoluta.
Seconda. Nei riguardi degli effetti ottenuti dall’azione armata, la storia del movimento operaio italiano registra con la rivolta di Parma un enorme successo, una battaglia di strada vinta in condizioni di inferiorità numerica e di armamento, di grande sproporzione di forze.
Terza. Se gli “Arditi del Popolo” riuscirono a trascinare tutta la massa operaia nella resistenza armata, insufficiente fu però il lavoro di preparazione fra i soldati che, data la loro disposizione morale e la particolare situazione, non sarebbe stato difficile attirare alla solidarietà attiva col proletariato; come pure insufficiente e cattiva l’organizzazione del collegamento con la provincia che venne a mancare proprio nei momenti più difficili della lotta, mentre un movimento coordinato di contadini avrebbe permesso di passare immediatamente all’offensiva.
A queste considerazioni di carattere militare, Picelli faceva seguire anche delle valutazioni più decisamente politiche:
Quarta – Lo smascheramento completo dei socialdemocratici e dei capi locali delle organizzazioni operaie, che attraverso il linguaggio demagogico, nascondevano gli scopi reali della loro azione di asservimento alla borghesia. Mentre parlavano ipocritamente di difesa degli interessi delle masse e di antifascismo, praticamente tradivano questi interessi, intralciando ed ostacolando la formazione spontanea del fronte unico dal basso, facendo in tal modo il giuoco dei fascisti. La ragione del successo, oltre che alla nostra preparazione tecnica, sta soprattutto nel fatto che il proletariato parmense, riuscì a liberarsi e a mettere in disparte i suoi falsi capi, i nemici interni alla classe operaia, ed opporre finalmente al fascismo l’unione compatta delle proprie forze.
Quinta. L’errore di incomprensione politica, commesso anche dal nostro Partito, allora ammalato di sinistrismo, nei riguardi degli Arditi del popolo opponendosi alla partecipazione individuale nelle squadre dei suoi militanti. In quel momento le masse erano con gli Arditi del Popolo o simpatizzavano per essi. Il bordighismo, manifestazione tipica della mentalità piccolo-borghese, aveva condotto il Partito sul terreno opportunistico dell’assenteismo e fuori della realtà. Con la partecipazione individuale dei comunisti alle squadre degli Arditi del Popolo, il Partito, con un’azione propria avrebbe influito su tutta l’organizzazione conquistandone la direzione e i comandi. Con un serio lavoro di preparazione e di penetrazione nei sindacati riformisti e nell’esercito, avrebbe potuto incanalare il movimento verso obbiettivi precisi, trascinare con gli Arditi del popolo tutto il resto della massa all’insurrezione armata, arrestare la marcia della reazione in Italia, facendo deviare il corso degli avvenimenti.
Il testo di Picelli viene scritto nel 1932 quando la linea politica del Comintern, adottata dopo qualche incertezza e perplessità anche dalla direzione comunista italiana, è caratterizzata da un tono fortemente polemico verso le altre correnti della sinistra, in primis la socialdemocrazia. Viene pubblicato due anni dopo quando la denuncia del “socialfascismo” comincia ad attenuarsi, ma ancora non si è dato avvio alla politica dei “fronti popolari” che verrà sancita dal VII Congresso del Comintern nell’estate del 1935.
Aspra è anche la polemica verso la direzione bordighista a cui è attribuita la responsabilità, nel 1921-22, di aver respinto la possibilità di un avvicinamento agli Arditi del Popolo.
Riferimenti bibliografici
Questa ricostruzione delle giornate di Parma è largamente tributaria del lavoro di Fiorenzo Sicuri “Il guerriero della rivoluzione” (2010, Uni.Nova, Parma) in particolare delle pagine 174-183 e del saggio di William Gambetta “Le pietre presero un’anima. Le barricate del 1922”, in “Le due città. Parma dal dopoguerra al fascismo (1919-1926), a cura di Roberto Montali, 2008, Silva, Parma, pagine 73-89. Dal libro di Sicuri sono riprese le citazioni dalla stampa dell’epoca e dello storico Marco Mondini. Le citazioni dell’articolo di Picelli, “La rivolta di Parma”, pubblicato su “Lo Stato Operaio” nell’ottobre del 1934 sono riprese dal volume di scritti e discorsi “La mia divisa “, curato da William Gambetta (2021, BFS, Ghezzano). I richiami a “Barricate a Parma” di Mario De Micheli, fanno riferimento alla seconda edizione riveduta del 1972, pubblicata da La Libreria Feltrinelli di Parma (con prefazione di Giorgio Amendola). Le citazioni di Marco Rossi sono tratte da “Arditi, non gendarmi! Dalle trincee alle barricate: arditismo di guerra e arditi del popolo (1917-1922)” (2011, BFS, Ghezzano), che dedica un capitolo a “L’insegnamento di Parma”. La citazione di Bruno Fortichiari è tratta da “Comunismo e revisionismo in Italia. Testimonianza di un militante rivoluzionario” (2006, Mimesis, Milano). Il graphic novel è di Francesco Pelosi e Rise, “Guido Picelli. Un antifascista sulle barricate” (2022, Round Robin, Roma).
*Transform Italia
Le cinque giornate di Parma del 1922
Franco Ferrari* Cento anni fa i quartieri popolari di Parma si opponevano alla spedizione fascista guidata da Italo Balbo e costringevano gli squadriRifondazione Comunista
reshared this
Nel pomeriggio di ieri sono uscite su varie testate giornalistiche indiscrezioni sul raggiungimento delle 500.000 firme, tra cartacee e on line. Siamo felici dell’importanza che finalmente le maggiori testate stanno attribuendo alla lotta contro l’autonomia regionale differenziata, ma dobbiamo rilevare che si tratta di una informazione presuntiva, poiché è impossibile per chiunque al momento sapere il numero delle firme raccolte ai banchetti.
Non c’è dubbio che la risposta popolare è pronta, molto consistente ed entusiasta: i banchetti sono letteralmente assediati da persone che intendono firmare. Si tratta di momenti di confronto con cittadine e cittadini che ci danno la possibilità di interloquire, andare più a fondo, rispondere a domande e – qualora il quesito referendario, come speriamo, sarà ritenuto ammissibile – di preparare una campagna per il voto che sarà difficilissima, prevedendo necessariamente il raggiungimento del quorum. I numeri sulla piattaforma sono d’altra parte molto consistenti, al di là delle più ottimistiche previsioni, e fanno ben sperare – a poco più di una settimana dall’attivazione – in un esito molto positivo. Ma i banchetti rimangono e devono rimanere il momento di maggiore investimento: nonostante la grande risposta popolare, dobbiamo continuare a informare e far firmare, verso un obiettivo cui – a questo punto – non poniamo un limite, ma non può che prevedere una cifra a 6 zeri. Un viatico importantissimo per accompagnare alla Consulta il quesito referendario abrogativo della legge 86.
Fino all’ultimo giorno non allenteremo la presa e raddoppieremo le energie nello sforzo straordinario che, insieme a tanti e tante, stiamo producendo per l’unità della Repubblica e l’uguaglianza dei diritti in questa caldissima estate. E fino all’ultimo giorno chiederemo incessantemente a cittadine e cittadini che lo vogliano di firmare e far firmare, corroborando entusiasmo e partecipazione. Ognuno deve fare la propria parte e la consistenza del numero delle firme avrà un peso molto significativo rispetto all’esito di questa campagna.
Fino a settembre ricordiamo che una firma li fermerà.
Comitati per il ritiro di qualunque Autonomia differenziata, l’uguaglianza dei diritti e l’unità della Repubblica
Oblomov reshared this.
Il successo della raccolta firme per l’abrogazione dell’autonomia differenziata è solo all’inizio. Bisogna moltiplicare i banchetti in tutto il paese perchè solo un’enorme mobilitazione popolare può fermare con il referendum quella che sarebbe una vera e propria catastrofe. Andremo sotto gli ombrelloni anche a ferragosto per raccogliere firme e parlare con le cittadine e i cittadini. Siamo particolarmente contenti della straordinaria partenza della campagna referendaria noi che abbiamo sempre contrastato ogni autonomia differenziata fin dal 2001 quando votammo contro la modifica del Titolo V e negli anni più recenti quando il PD con Gentiloni e Bonaccini faceva sponda al progetto delle regioni leghiste. E’ un fatto positivo che oggi sia in campo un larghissimo schieramento contro l’autonomia differenziata.
Maurizio Acerbo, segretario nazionale del Partito della Rifondazione Comunista
Acerbo (PRC): 500.000 firme sono solo l’inizio
Il successo della raccolta firme per l'abrogazione dell'autonomia differenziata è solo all'inizio. Bisogna moltiplicare i banchetti in tutto il paese perchè sRifondazione Comunista
La città di Terni e con essa il sud dell’Umbria è ripiombato nell’incubo dei rifiuti smaltiti tramite termovalorizzatore.
La Regione nel 2021 aveva bocciato la richiesta di ACEA di smaltire nel termovalorizzatore di Maratta, anche gli scarti dei processi di recupero dei rifiuti urbani. Il tribunale ha dato ragione alla multiutility annullando così la delibera con la quale nel settembre 2021 la Regione Umbria aveva bocciato la richiesta di allargare le tipologie di rifiuto da utilizzare come combustibile nel termovalorizzatore.
Ad oggi nell’ inceneritore Acea di Terni sono bruciati unicamente scarti pulper da cartiera ma in loco ACEA si appresta a termovalorizzare anche quelli dei processi di recupero dei rifiuti urbani da raccolta differenziata di legno carta e plastica normalmente avviati in discarica.
Una richiesta alla quale ci eravamo opposti anche noi di Rifondazione Comunista a sostegno dei comuni di Terni e Narni, oltre alla USL Umbria 2 e alla Provincia.
Questo ampliamento di autorizzazione aveva avuto in conferenza dei servizi il via libera da parte del comitato di coordinamento regionale, un insieme di tecnici che a nome e per conto della regione, coordina le attività del territorio .
Un parere che, la Regione aveva superato con la propria delibera.
La sentenza della prima sezione del Tar costringe Palazzo Donini ad esprimersi nuovamente sul processo autorizzativo. Il timore nella Conca, è che il pronunciamento del TAR , considerando anche il via libera alla costruzione di un termovalorizzatore in Regione come previsto dal nuovo piano rifiuti, apre le porte dell’impianto ternano ai rifiuti solidi urbani della regione e non, che ora sono destinati alla discarica .
Rifondazione comunista sinistra europea ha manifestato la propria contrarietà alla termovalorizzazione dei rifiuti in tutta l’Umbria, incentivando la raccolta differenziata il riciclo e il riuso per quello che riguarda i rifiuti soli urbani.
Con la sentenza del TAR di questi giorni si torna al 2014, è necessario per bloccare la richiesta avanzata di poter bruciare i rifiuti urbani, si apra invece un tavolo dove le forze economiche politiche e sociali si pongano a tutela della salute e dell’ambiente che ci circonda.
Il nuovo piano rifiuti regionale che parla chiaramente della costruzione di un nuovo inceneritore, visto il no espresso dalla giunta perugina, individua nel territorio ternano già altamente inquinato il luogo dove poter bruciare anche con la costruzione di un altro impianto, i rifiuti di tutta l’Umbria e non solo.
I rifiuti non sprigionano solo energia come vogliono farci intendere con la parola termovalorizzazione, dare valore a ciò che non lo ha, i rifiuti passano da essere materiale inerte a : pm2,5 ( polveri respirabili intratoraciche) , pm10 ( polveri in generale) , ossidi di azoto, ossidi di zolfo, idrocarburi e se non correttamente abbattute diossine e infine metalli pesanti.
Sostanze che inquinano l’ambiente e aumentano tra la popolazione tutta una serie di patologie che possono andare da infiammazione del tratto respiratorio e dei polmoni sino a una vasta gamma di neoplasie che l’organizzazione mondiale della sanità collega all’inquinamento di aria e ambiente.
Come Rifondazione Comunista sinistra europea ci poniamo come promotori di tavoli che analizzino e cerchino di risolvere il problema dei rifiuti tutti, non solo di quelli solidi urbani.
Maura Mauri, Componente del CPN PRC-S
RIFONDAZIONE COMUNISTA: COSA ACCADE AL TERMOVALORIZZATORE DI TERNI? QUALI RIFIUTI PER LA POPOLAZIONE?
Il Tribunale amministrativo dell'Umbria ha annullato i provvedimenti e i giudizi non favorevoli alla proposta di ACEA ambiente di estendere la tipologia di rifiRifondazione Comunista
Solidarietà al centro sociale Buridda di Genova. Da stamattina è in corso sgombero senza che sia stata messa a disposizione alcuna alternativa. L’amministrazione comunale di Genova prosegue l’attacco agli spazi sociali. Dopo lo sgombero del centro sociale Terra di Nessuno è la volta del Buridda. Come da copione: con tutti gli stabili vuoti in città, quale sito si sceglie per lo studentato finanziato dal PNRR? Il Buridda. Chi lo propone? Il rettore in odore di candidatura a destra alle prossime regionali.
La destra attacca e sgombera gli spazi sociali e culturali antifascisti mentre protegge e giustifica gli squadristi di Casa Pound.
Maurizio Acerbo, segretario nazionale e Gianni Ferretti, segretario federazione di Genova del Partito della Rifondazione Comunista
Rifondazione: Nuovo sgombero a Genova: solidarietà al cs Buridda
Solidarietà al centro sociale Buridda di Genova. Da stamattina è in corso sgombero senza che sia stata messa a disposizione alcuna alternativa. L'amministraziRifondazione Comunista
Ieri, mentre partecipavamo alla due giorni di assemblee organizzata dal comitato in difesa del parco Don Bosco a Bologna, ci è arrivata la notizia della sospensione del progetto di disboscamento da parte della giunta Lepore. Non possiamo che gioire di questa notizia che premia la tenacia dei comitati e delle organizzazioni che in questi mesi hanno fatto dura opposizione a questo progetto e che evidentemente dimostrano che la lotta paga.
Nell’euforia di questa notizia rimangono però tutti i nodi che noi evidenziamo da tempo:
Bologna e l’Emilia Romagna rimangono laboratori per le forze neoliberiste come PD e suoi alleati per attuare progetti di cementificazione che premiano solamente il capitale che ha interessi nel cemento.
Rimangono da risolvere tutte le altre situazioni di distruzione del verde pubblico legate al tram, il passante di mezzo, il Lazzareto e altre realtà che rendono Bologna il laboratorio neoliberista per eccellenza. Di tutto questo sono responsabili il PD e Coalizione Civica, la quale ha sostenuto ogni iniziativa del Sindaco compreso il progetto contestato sulle Besta come dimostra la sua posizione nel consiglio di quartiere San Donato in cui non ha votato l’odg per rivedere il progetto.
Auspichiamo che nei prossimi tempi si possano unire le lotte dei Comitati che portano avanti istanze ambientali e sociali in modo da creare a sinistra un fronte comune.
Noi, come sempre, ci siamo e lavoriamo fin da subito per creare un fronte delle forze di alternativa a Bologna.
Andrea Scagliarini, segretario provinciale di Bologna Rifondazione comunista
Ilaria Falossi, responsabile ambiente provinciale di Bologna
Ministero dell'Istruzione
📊 Scuola, disponibili i dati sugli esiti degli scrutini e degli #EsamidiStato2024 del primo e del secondo ciclo di istruzione.Telegram
Con il “decreto Liste d’attesa” si fotografa un sistema che governa da alcuni anni i bisogni di salute in Italia e il governo prende ancora una volta in giro milioni di cittadine e cittadini che sono da tempo indotti, volenti o nolenti, a rivolgersi alle strutture private. Ammesso e non concesso che il Servizio Sanitario Pubblico non sia più in grado di affrontare i bisogni sanitari della popolazione in ogni Regione con i propri “Sistemi” denunciamo che la convenzionata si distingue solo sulla carta dal privato puro dato che disincentivano le prenotazioni pubbliche dichiarando chiusa l’agenda mentre c’è posto nella prenotazione privata.
Noi di Rifondazione Comunista denunciamo da decenni il percorso di privatizzazione e definanziamento della sanità pubblica e riteniamo intollerabile questa vera e propria presa in giro da parte del governo Meloni. Non può esser defiinita in altro modo dato che, comunque, il Decreto non è supportato da nessun finanziamento.
La realtà delle liste d’attesa è ormai patrimonio di tutti, anche degli organi d’informazione, come La Repubblica, che oggi gridano allo scandalo mentre per decenni hanno mistificato la realtà. Di tutti, anche dei Partiti come il PD che oggi denuncia la privatizzazione dopo averla inventata e prodotta. Le Regioni governate dal centrosinistra hanno privatizzato la sanità quanto e come le Regioni del centrodestra senza soluzione di continuità.
Nella sanità l’Autonomia Differenziata è realtà dallo stupro del TitoloV e oggi è stata confermata anche dai quesiti che le Regioni del centrosinistra hanno presentato in alternativa, e contro, il referendum abrogativo totale lanciato da Cgil, Anoi, Via Maestra e dai Comitati contro Ogni AD.
Nella campagna contro l’autonomia differenziata rimettiamo al centro il diritto alla saluta e la salvezza del Servizio Sanitario Nazionale.
Rosa Rinaldi, responsabile nazionale e gruppo sanità del Partito della Rifondazione Comunista
La Camera dei Deputati ha approvato oggi in via definitiva il Ddl di riforma dell’istruzione tecnico-professionale, che introduce il modello della filiera del 4+2.
Qui tutti i dettagli e le principali novità ▶️ miur.gov.
Ministero dell'Istruzione
La Camera dei Deputati ha approvato oggi in via definitiva il Ddl di riforma dell’istruzione tecnico-professionale, che introduce il modello della filiera del 4+2. Qui tutti i dettagli e le principali novità ▶️ https://www.miur.gov.Telegram
Report “Osservatorio scuola Digitale”: restituzione dei dati alle scuole sugli investimenti fatti negli strumenti, nelle competenze, nella formazione e in generale nei fattori abilitanti la didattica digitale.
Qui tutti i dettagli ▶️ https://www.
È disponibile il nuovo numero della newsletter del Ministero dell’Istruzione e del Merito.
🔶 Il #MIM con le scuole al Festival del Cinema di Venezia.
Ministero dell'Istruzione
#NotiziePerLaScuola È disponibile il nuovo numero della newsletter del Ministero dell’Istruzione e del Merito. 🔶 Il #MIM con le scuole al Festival del Cinema di Venezia.Telegram
How “professional” ransomware variants boost cybercrime groups
Introduction
Cybercriminals who specialize in ransomware do not always create it themselves. They have many other ways to get their hands on ransomware samples: buying a sample on the dark web, affiliating with other groups or finding a (leaked) ransomware variant. This requires no extraordinary effort, as source code is often leaked or published. With a set of standard tools and a freshly built (and sometimes slightly altered) ransomware sample, victims can be sought, and the malicious activity can spread.
In the past months, we released several private reports detailing exactly this. You will find a few excerpts from these below. To learn more about our crimeware reporting service, contact us at crimewareintel@kaspersky.com.
SEXi
This past April, IxMetro was hit by an attack that used a still-new ransomware variant dubbed “SEXi”. As the name suggests, the group focuses primarily on ESXi applications. In each of the cases we investigated, the victims were running unsupported versions of ESXi, and there are various assumptions about the initial infection vector.
The group deploys one of two types of ransomware variants depending on the target platform: Windows or Linux. Both samples are based on leaked ransomware samples, namely Babuk for the Linux version and Lockbit for Windows. This is the first time we’ve seen a group use different leaked ransomware variants for their target platforms.
Another thing that sets this group apart is their contact method. Attackers will typically leave a note with an email address or leak site URL in it, but in this case, the note contained a user ID associated with the Session messaging app. The ID belonged to the attackers and was used across different ransomware attacks and victims. This signifies a lack of professionalism, as well as the fact that the attackers did not have a TOR leak site.
Key Group
While the SEXi group has employed leaked ransomware variants from two malware families, other groups have taken this approach to a whole different level. For example, Key Group, aka keygroup777, has used no fewer than eight different ransomware families throughout their relatively short history (since April 2022) – see the image below.
Use of leaked ransomware builders by Key Group
We were able to link different variants to Key Group by their ransom notes. In a little over two years that the group has been active, they have adjusted their TTPs slightly with each new ransomware variant. For example, the persistence mechanism was always via the registry, but the exact implementation differed by family. Most of the time, autorun was used, but we’ve also seen them using the startup folder.
For example, UX-Cryptor added itself to the registry as shown below.
HKU\$usersid\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "$selfpath"
HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsInstaller" = "$selfpath -startup"
"MSEdgeUpdateX" = "$selfpath"
HKU\$usersid\Software\Microsoft\Windows\CurrentVersion\RunOnce
"System3264Wow" = "$selfpath --init"
"OneDrive10293" = "$selfpath /setup"
"WINDOWS" = "$selfpath --wininit"
While the Chaos ransomware variant copied itself to
$user\$appdata\cmd.exe and launched a new process, the new process in turn created a new file in the startup folder: $user\$appdata\Microsoft\Windows\Start Menu\Programs\Startup\cmd.url. This contained the path to the ransomware file: URL=file:///$user\$appdata\cmd.exe.
Russian-speaking groups typically operate outside of Russia, but Key Group is an exception to this rule. Their operations are not very professional, as well as SEXi’s, and show a lack of comprehensive skills. For example, the main C2 channel is a GitHub repository, which makes them easier to track, and communication is maintained over Telegram rather than a dedicated server on the TOR network.
Mallox
Mallox is another relatively new ransomware variant that first came to light in 2021 and kicked off an affiliate program in 2022. The way the authors obtained the source code is unclear — they could have written it from scratch, used a published or a leaked one, or purchased it, as they claim. Since Mallox is a lesser-known and hence, also less-documented, ransomware variant compared to the likes of Lockbit and Conti, we decided to cover Mallox in this post.
Although starting as a private group conducting their own campaigns, Mallox launched an affiliate program shortly after inception. Interestingly, the group only wants to do business with Russian-speaking affiliates and not with English-speaking ones, they do not welcome novices as well. They are also very explicit about what types of organizations affiliates should infect: no less than $10 million in revenue and no hospitals or educational institutions.
Mallox uses affiliate IDs, making it possible to track affiliate activity over the course of time. In 2023, there were 16 active partners, which explains the spike in activity, most notably in the spring and autumn of 2023 as evidenced by the PE timestamp.
Number of discovered Mallox samples by PE timestamp (download)
In 2024, only eight of the original affiliates were still active, with no newcomers. Aside from this, Mallox has all the typical Big Game Hunting attributes that other groups also have, such as a leak site, a server hosted on TOR, and others.
Conclusion
Getting into the ransomware business has never been too difficult. Of-the-shelf solutions have been available, or else one could become an affiliate and outsource many tasks to others. Initially, with tools like Hidden Tear, the impact was relatively low: the tools were easy to detect and contained implementation errors, which helped decryption. They targeted regular consumers rather than large organizations. This has changed these days, as the impact can be much bigger with the advent of the Big Game Hunting era and the release of “professional” ransomware variants, which can affect entire companies, organizations, hospitals and so on. Such samples are more efficient in terms of speed, configurability, command line options, platform support and other features. That said, while getting your hands on a “professional” ransomware variant might be easy, the whole process of exploiting and exploring an organization can be quite time consuming, if not impractical, for newbies.
We also see that groups using leaked variants seldom look professional, with Key Group and SEXi among the examples of this. The reason why they are effective is either that they are able to set up a successful affiliate scheme (Key Group), or that they have found a niche where they can deploy their ransomware effectively (SEXi). In these two scenarios, the leaking or publication of ransomware variants can be considered a threat to organizations and individuals.
If you would like to stay up to date on the latest TTPs being used by criminals, or if you have questions about our private reports, contact us at crimewareintel@kaspersky.com.
Indicators of compromise
SEXi
4e39dcfb9913e475f04927e71f38733a
0a16620d09470573eeca244aa852bf70
Key Group
bc9b44d8e5eb1543a26c16c2d45f8ab7
acea7e35f8878aea046a7eb35d0b8330
Mallox
00dbdf13a6aa5b018c565f4d9dec3108
01d8365e026ac0c2b3b64be8da5798f2
securelist.com/sexi-key-group-…
What are Photons, Anyway?
Photons are particles of light, or waves, or something like that, right? [Mithuna Yoganathan] explains this conundrum in more detail than you probably got in your high school physics class.
While quantum physics has been around for over a century, it can still be a bit tricky to wrap one’s head around since some of the behaviors of energy and matter at such a small scale aren’t what we’d expect based on our day-to-day experiences. In classical optics, for instance, a brighter light has more energy, and a greater amplitude of its electromagnetic wave. But, when it comes to ejecting an electron from a material via the photoelectric effect, if your wavelength of light is above a certain threshold (bigger wavelengths are less energetic), then nothing happens no matter how bright the light is.
Scientists pondered this for some time until the early 20th Century when Max Planck and Albert Einstein theorized that electromagnetic waves could only release energy in packets of energy, or photons. These quanta can be approximated as particles, but as [Yoganathan] explains, that’s not exactly what’s happening. Despite taking a few classes in quantum mechanics, I still learned something from this video myself. I definitely appreciate her including a failed experiment as anyone who has worked in a lab knows happens all the time. Science is never as tidy as it’s portrayed on TV.
If you want to do some quantum mechanics experiments at home (hopefully with more luck than [Yoganathan]), then how about trying to measure Planck’s Constant with a multimeter or LEGO? If you’re wondering how you might better explain electromagnetism to others, maybe this museum exhibit will be inspiring.
Getting an Old HVAC System Online
Standardization might sound boring, but it’s really a great underlying strength of modern society. Everyone agreeing on a way that a certain task should be done saves a lot of time, energy, and money. But it does take a certain amount of consensus-building, and at the time [JC]’s HVAC system was built the manufacturers still hadn’t agreed on a standard control scheme for these machines yet. But with a little ingenuity and an Arduino, the old HVAC system can be given a bit of automatic control.
The original plan for this antiquated system, once off-the-shelf solutions were found to be incompatible, was to build an interface for the remote control. But this was going to be overly invasive and complex. Although the unit doesn’t have a standard remote control system, it does have extensive documentation so [JC] was able to build a relay module for it fairly easily with an Arduino Nano Matter to control everything and provide WiFi functionality. It also reports the current status of the unit and interfaces with the home automation system.
While some sleuthing was still needed to trace down some of the circuitry of the board to make sure everything was wired up properly, this was a much more effective and straightforward (not to mention inexpensive) way of bringing his aging HVAC system into the modern connected world even through its non-standardized protocols. And, although agreeing on standards can sometimes be difficult, they can also be powerful tools once we all agree on them.
Cardboard R/C Plane Actually Flies
Many makers start by building mock-ups from cardboard, but [Alex-08] has managed to build an R/C plane that actually flies, out of cardboard.
If you’ve been thinking of building an R/C plane from scratch yourself, this guide is an excellent place to start. [Alex-08] goes through excruciating detail on how he designed and constructed this marvel. The section on building the wings is particularly detailed since that’s the most crucial element in making sure this plane can get airborne.
Some off-the-shelf R/C parts and 3D printed components round out the parts list to complement the large cardboard box used for most of the structural components. The build instructions even go through some tips on getting that vintage aircraft feel and how to adjust everything for a smooth flight.
Need a wind tunnel instead? You can build that out of cardboard too. If paper airplanes are more your thing, how about launching them from space? And if you’re just trying to get a head start on Halloween, why not laser cut an airplane costume from cardboard?
2024 Tiny Games Contest: Pi-O-Scope-Pong
[Aaron Lager]’s Pi-O-Scope-Pong project takes a minimal approach to Pong by drawing on an oscilloscope to generate crisp paddles and ball. A Raspberry Pi takes care of the grunt work of signal generation, and even uses the two joysticks of an Xbox controller (connected to the Pi over Bluetooth) for inputs.
There isn’t any score-keeping or sound, but one thing that it has over the original Pong is a round ball. The ball in the original Pong game was square, but mainly because cost was a concern during design and generating a round ball would have ballooned the part count.
In many ways, Pong itself is a great inspiration for the Tiny Games Challenge, because the simplicity of its gameplay was likely a big part of its success.
youtube.com/embed/WMYsr0fLufo?…
The Atomic Gardener Of Eastbourne
Pity the video team at a large hacker camp, because they have a huge pile of interesting talks in the can but only the limited resources of volunteers to put them online. Thus we often see talks appearing from past camps, and such it is with one from Electromagnetic Field 2022. It’s from [Sarah Angliss], and as its subject it takes the extraordinary work of [Muriel Howorth], a mid-20th-century British proponent of irradiated seeds as a means to solve world hunger.
Today we are used to genetic modification in the context of plants, and while it remains a controversial subject, the science behind it is well known. In the period following the Second World War there was a different approach to improving crops by modifying their genetics: irradiating seeds in a scattergun approach to genetic modification, in the hope that among thousands of duds there might be a mutant with special properties.
To this came Muriel Howorth, at first charged with telling the story of atomic research for the general public. She took irradiated seeds from Oak Ridge in the USA, and turned them into a citizen science program, with an atomic gardening society who would test these seeds and hopefully, find the supercrops within. It’s a wonderfully eccentric tale that might otherwise be the plot of a Wallace and Gromit movie, and but for a few interested historians of popular science it might otherwise have slipped into obscurity. We’re sorry we didn’t catch this one live back when we attended the event.
Programming Ada: Implementing the Lock-Free Ring Buffer
In the previous article we looked at designing a lock-free ring buffer (LFRB) in Ada, contrasting and comparing it with the C++-based version which it is based on, and highlighting the Ada way of doing things. In this article we’ll cover implementing the LFRB, including the data request task that the LFRB will be using to fill the buffer with. Accompanying the LFRB is a test driver, which will allow us to not only demonstrate the usage of the LFRB, but also to verify the correctness of the code.
This test driver is uncomplicated: in the main task it sets up the LFRB with a 20 byte buffer, after which it begins to read 8 byte sections. This will trigger the LFRB to begin requesting data from the data request task, with this data request task setting an end-of-file (EoF) state after writing 100 bytes. The main task will keep reading 8-byte chunks until the LFRB is empty. It will also compare the read byte values with the expected value, being the value range of 0 to 99.
Test Driver
The Ada version of the test driver for the LFRB can be found in the same GitHub project as the C++ version. The file is called test_databuffer.adb and can be found in the ada/reference/ folder. The Makefile to build the reference project is found in the /ada folder, which requires an Ada toolchain to be installed as well as Make. For details on this aspect, see the first article in this series. When running make in the folder, the build files are placed under obj/ and the resulting binary under bin/.
The LFRB package is called LFRingDataBuffer, which we include along with the dataRequest package that contains the data request task. Obviously, since typing out LFRingDataBuffer over and over would be tiresome, we rename the package:
with LFRingDataBuffer;
with dataRequest; use dataRequest;
procedure test_databuffer is
package DB renames LFRingDataBuffer;
[..]
After this we can initialize the LFRB:
initret : Boolean;
[..]
initret := DB.init(20);
if initret = False then
put_line("DB Init failed.");
return;
end if;
Before we start reading from the LFRB, we create the data request task:
drq : DB.drq_access;
[..]
drq := new dataRequestTask;
DB.setDataRequestTask(drq);
This creates a reference to a dataRequestTask instance, which is found in the dataRequest package. We pass this reference to the LFRB so that it can call entries on it, as we will see in a moment.
After this we can start reading data from the LFRB in a while loop:
bytes : DB.buff_array (0..7);
read : Unsigned_32;
emptied : Boolean;
[..]
emptied := False;
while emptied = False loop
read := DB.read(8, bytes);
[..]
if DB.isEoF then
emptied := DB.isEmpty;
end if;
end loop;
As we know what the value of each byte we read has to be, we can validate it and also print it out to give the user something to look at:
idx : Unsigned_32 := 0;
[..]
idx := 0;
for i in 0 .. Integer(read - 1) loop
put(Unsigned_8'Image(bytes(idx)) & " ");
if expected /= bytes(idx) then
aborted := True;
end if;
idx:= idx + 1;
expected := expected + 1;
end loop;
Of note here is that put() from the Ada.Text_IO package is similar to the put_line() procedure except that it doesn’t add a newline. We also see here how to get the string representation of an integer variable, using the 'Image attribute. For Ada 2012 we can use it in this fashion, though since 2016 and in Ada 2022 we can also use it directly on a variable, e.g.:
put(bytes(idx)'Image & " ");
Finally, we end the loop by checking both whether EoF is set and whether the buffer is empty:
if DB.isEoF then
emptied := DB.isEmpty;
end if;
With the test driver in place, we can finally look at the LFRB implementation.
Initialization
Moving on to the LFRB’s implementation file (lfringdatabuffer.adb), we can in the init procedure see a number of items which we covered in the previous article already, specifically the buffer type and its allocation, as well as the unchecked deallocation procedure. All of the relevant variables are set to their appropriate value, which is zero except for the number of free bytes (since the buffer is empty) and the last index (capacity – 1).
Flags like EoF (False) are also set to their starting value. If we call init with an existing buffer we first delete it before creating a new one with the requested capacity.
Reading
Moving our attention to the read function, we know that the buffer is still empty, so nothing can be read from the buffer. This means that the first thing we have to do is request more data to fill the buffer with. This is the first check in the read function:
if eof = false and len > unread then
put_line("Requesting data...");
requestData;
end if;
Here len is the requested number of bytes that we intend to read, with unread being the number of unread bytes in the buffer. Since len will always be more than zero (unless you are trying to read zero bytes, of course…), this means that we will call the requestData procedure. Since it has no parameters we omit the parentheses.
This procedure calls an entry on the data request task before waiting for data to arrive:
dataRequestPending := True;
readT.fetch;
while dataRequestPending = True loop
delay 0.1; -- delay 100 ms.
end loop;
We set the atomic variable dataRequestPending which will be toggled upon a write action, before calling the fetch entry on the data request task reference which got passed in from the test driver earlier. After this we loop with a 100 ms wait until the data has arrived. Depending on the context, having a time-out here might be desirable.
We can now finally look at the data request task. This is found in the reference folder, with the specification ([url=https://github.com/MayaPosch/LockFreeRingBuffer/blob/master/ada/reference/dataRequest.ads]dataRequest.ads[/url]) giving a good idea of what the Ada rendezvous synchronization mechanism looks like:
package dataRequest is
task type dataRequestTask is
entry fetch;
end dataRequestTask;
end dataRequest;
Unlike an Ada task, which is auto-started with the master task to which the subtask belongs, a task type can be instantiated and started at will. To communicate with the task we use the rendezvous mechanism, which presents an interface (entries) to other tasks that are effectively like procedures, including the passing of parameters. Here we have defined just one entry called fetch, for hopefully obvious reasons.
The task body is found in [url=https://github.com/MayaPosch/LockFreeRingBuffer/blob/master/ada/reference/dataRequest.adb]dataRequest.adb[/url], which demonstrates the rendezvous select loop:
task body dataRequestTask is
[..]
begin
loop
select
accept fetch do
[..]
end fetch;
or
terminate;
end select;
end loop;
end dataRequestTask;
To make sure that the task doesn’t just exit after handling one call, we use a loop around the select block. By using or we can handle more than one call, with each entry handler (accept) getting its own section so that we can theoretically handle an infinite number of entries with one task. Since we only have one entry this may seem redundant, but to make sure that the task does exit when the application terminates we add an or block with the terminate keyword.
With this structure in place we got a basic rendezvous-enabled task that can handle fetch calls from the LFRB and write into the buffer. Summarized this looks like the following:
data : DB.buff_array (0..9);
wrote : Unsigned_32;
[..]
wrote := DB.write(data);
put_line("Wrote " & Unsigned_32'Image(wrote) & HT & "- ");
Here we can also see the way that special ASCII characters are handled in Ada’s Text_IO procedures, using the [url=https://en.wikibooks.org/wiki/Ada_Programming/Libraries/Ada.Characters.Latin_1?useskin=vector]Ada.Characters.Latin_1[/url] package. In this case we concatenate the horizontal tab (HT) character.
Skipping ahead a bit to where the data is now written into the LFRB’s buffer, we can read it by first checking how many bytes can be read until the end of the buffer (comparing the read index with the buffer end index). This can result in a number of of outcomes: either we can read everything in one go, or we may need to read part from the front of the buffer, or we have fewer bytes left unread than requested. These states should be fairly obvious so I won’t cover them here in detail, but feel free to put in a request.
To take the basic example of reading all of the requested bytes in a single chunk, we have to read the relevant indices of the buffer into the bytes array that was passed as a bidirectional parameter to the read function:
function read(len: Unsigned_32; bytes: in out buff_array) return Unsigned_32 is
This is done with a single copy action and an array slice on the (dereferenced) buffer array:
readback := (read_index + len) - 1;
bytes := buffer.all(read_index .. readback);
We’re copying into the entire range of the target array, so no slice is necessary here. On the buffer array, we start at the first unread byte (read_index), with that index plus the number of bytes we intend to read as the last byte. Minus one due to us starting the array with zero instead of 1. This would be a handy optimization, but since we’re a stickler for tradition, this is what we have to live with.
Writing
Writing into the buffer is easier than reading, as we only have to concern ourselves with the data that is in the buffer. Even so it is quite similar, just with a focus on free bytes rather than unread ones. Hence we start with looking at how many bytes we can write:
locfree : Unsigned_32;
bytesSingleWrite: Unsigned_32;
[..]
locfree := free;
bytesSingleWrite := free;
if (buff_last - data_back) < bytesSingleWrite then
bytesSingleWrite := buff_last - data_back + 1;
end if;
We then have to test for the different scenarios, same as with reading. For example with a straight write:
if data'Length <= bytesSingleWrite then
writeback := (data_back + data'Length) - 1;
buffer.all(data_back .. writeback) := data;
elsif
[..]
end if;
Of note here is that we can obtain the size of a regular array with the 'Length attribute. Since we can write the whole chunk in one go, we set the slice on the target (the dereferenced buffer) from the write index (data_back) to (and including) the size of the data we’re writing (minus one, because tradition). If we have to do partial copying of the data we need to use array slices here as well, but here it is only needed on the buffer.
Finally, we have two more items to take care of in the write function. The first is letting the data request procedure know that data has arrived by setting dataRequestPending to false. The other is to check whether we can request more data if there is space in the buffer:
if eof = true then
null;
elsif free > 204799 then
readT.fetch;
end if;
There are a few notable things in this code. The first is that Ada does not allow you to have empty blocks, but requires you to mark those with null. The other is that magic numbers can be problematic. Originally the fixed data request block size in NymphCast was 200 kB before it became configurable. If we were to change the magic number here to e.g. 10 (bytes), we’d call the fetch entry on the data request task again on the first read request, getting us a full buffer.
EoF
With all of the preceding, we now have a functioning, lock-free ring buffer in Ada. Obviously we have only touched on the core parts of what makes it tick, and skimmed over the variables involved in keeping track of where what is going and where it should not be, not to mention how much. Much of this should be easily pieced together from the linked source files, but can be expanded upon, if desired.
Although we have a basic LFRB now, the observing among us may have noticed that most of the functions and procedures in the Ada version of the LFRB as located on GitHub are currently stubs, and that the C++ version does a lot more. Much of this functionality involves seeking in the buffer and a number of other tasks that make a lot of sense when combined with a media player like in NymphCast. These features will continue to be added over time as the LFRB project finds more use, but probably aren’t very interesting to cover.
Feel free to sound off in the comments on what more you may want to see involving the LFRB.
Programming Tiny Blinkenlight Projects with Light
[mitxela] has a tiny problem, literally: some of his projects are so small as to defy easy programming. While most of us would probably solve the problem of having no physical space on a board to mount a connector with WiFi or Bluetooth, he took a different path and gave this clever light-based programming interface a go.
Part of the impetus for this approach comes from some of the LED-centric projects [mitxela] has tackled lately, particularly wearables such as his LED matrix earrings or these blinky industrial piercings. Since LEDs can serve as light sensors, albeit imperfect ones, he explored exactly how to make the scheme work.
For initial experiments he wisely chose his larger but still diminutive LED matrix badge, which sports a CH32V003 microcontroller, an 8×8 array of SMD LEDs, and not much else. The video below is a brief summary of the effort, while the link above provides a much more detailed account of the proceedings, which involved a couple of false starts and a lot of prototyping that eventually led to dividing the matrix in two and ganging all the LEDs in each half into separate sensors. This allows [mitxela] to connect each side of the array to the two inputs of an op-amp built into the CH32V003, making a differential sensor that’s less prone to interference from room light. A smartphone app alternately flashes two rectangles on and off with the matrix lying directly on the screen to send data to the badge — at a low bitrate, to be sure, but it’s more than enough to program the badge in a reasonable amount of time.
We find this to be an extremely clever way to leverage what’s already available and make a project even better than it was. Here’s hoping it spurs new and even smaller LED projects in the future.
La Relazione 2023 del Garante privacy commentata riga per riga Parte III: GDPR e sanità.
Il terzo audio della neonata (ed estiva...) serie video di commento "riga per riga" alla Relazione annuale 2023 del Garante per la Protezione dei Dati italiano riguarda il capitolo su GDPR, Codice Privacy, protezione dei dati e sanità.
SI tratta di una parte interessantissima: FSE, dossier sanitario, piattaforma nazionale di telemedicina, cimitero dei feti, ransomware e attacchi alle strutture sanitarie, errori di comunicazione causati da pazienti omonimi, e-mail inviate con tutti gli indirizzi visibili in cc, VPN e doppio fattore di autenticazione, profili di autorizzazione errati, e tanto altro.
zerodays.podbean.com/e/la-rela…
La Relazione del Garante per la Protezione dei Dati 2023 commentata riga per riga (Parte II - GDPR e PA)
L'audio del video che ho preparato su YouTube per commentare la relazione 2023 del Garante per la Protezione dei Dati Personali italiano.
Per vedere la versione con il documento e le mie evidenziazioni, è opportuno collegarsi al canale YouTube e vedere il video.
Questa è la seconda parte (GDPR e Pubblica Amministrazione)
zerodays.podbean.com/e/la-rela…
La Relazione del Garante Privacy 2023 commentata riga per riga (Parte I)
L'audio del video che ho preparato su YouTube per commentare la relazione 2023 del Garante per la Protezione dei Dati Personali italiano.
Per vedere la versione con il documento e le mie evidenziazioni, è opportuno collegarsi al canale YouTube e vedere il video.
zerodays.podbean.com/e/la-rela…
L’AI avanza in matematica e ragionamento logico
Se le Intelligenze Artificiali sono diventate di moda con i Large Language Model come ChatGPT e simili, diverso è per le intelligenze che si cimentano nella risoluzione di problemi matematici dove sino a poco tempo fa non vi erano grandi risultati.
Eppure qualcosa sta cambiando grazie a due nuovi sistemi: AlphaProof e AlphaGeometry 2, i due sistemi, lavorando assieme, sono riusciti a risolvere quattro su sei problemi delle Olimpiadi Internazionali di Matematica.
I due sistemi appartengono a Google DeepMind e hanno così raggiunto un ottimo livello, paragonabile ad una medaglia d’argento.
I sei problemi sono stati tradotti in linguaggio matematico e sottoposti ai due sistemi di Google DeepMind che hanno impiegato circa tre giorni a risolverli.I problemi riguardavano l’algebra, la teoria dei numeri e due problemi di calcolo combinatorio, gli ultimi due rimasti irrisolti dealle AI. Hanno fatto meglio 58 concorrenti umani su 609 partecipanti.
AlphaProof è un sistema autoaddestrato alla verifica di costrutti matematici con l’uso del linguaggio formale Lean, accoppiato con un modello di linguaggio preaddestrato attraverso l’algoritmo AlphaZero autoaddestrato su alcuni giochi come gli scachi, Shogi e Go.
AlphaGeometry 2 invece è un sistema ibrido neuro-simbolico basato su un modello di linguaggio chiamato Gemini.
Lo sviluppo di sistemi di AI come AlphaProof, AlphaGeometry 2 e Gemini si preannuncia molto promettente, vedremo l’anno prossimo cosa accadrà alle Olimpiadi Internazionali di Matematica.
Nel mentre ci resta solo da esprimere un pensiero riguardo l’importanza che avrà in futuro, dal punto di vista geopolitico, avere la primazia nello specifico settore della AI matematica.
Lo stato, o meglio, gli stati contendenti non sono tanti: Stati Uniti e Cina davanti a tutti!
L'articolo L’AI avanza in matematica e ragionamento logico proviene da il blog della sicurezza informatica.
L’Incredibile Storia del fondatore di Telegram: Oltre 100 Figli e una Iniziativa per il Suo DNA
Il fondatore di Telegram , Pavel Durov, ha affermato di avere più di 100 figli biologici e prevede di aprire l’accesso al suo DNA per aiutarli a trovarlo. Durov ha condiviso questa notizia sul suo canale Telegram.
Quindici anni fa, un amico chiese a Durov di donare lo sperma ad una clinica a causa di problemi di concepimento. Secondo Durov, il direttore della clinica ha affermato che mancava “materiale di qualità per i donatori” e ha suggerito di aiutare in modo anonimo più coppie. Questa proposta gli sembrò piuttosto interessante e accettò.
Quindici anni fa, un mio amico mi ha avvicinato con una strana richiesta. Mi disse che lui e sua moglie non potevano avere figli a causa di un problema di fertilità e mi chiese di donare lo sperma in una clinica per avere un bambino. Mi sono messo a ridere a crepapelle prima di rendermi conto che era molto serio.
Il capo della clinica mi ha detto che "il materiale dei donatori di alta qualità" scarseggiava e che era mio dovere civico donare più sperma per aiutare anonimamente più coppie. Sembrava abbastanza folle da indurmi a iscrivermi alla donazione di sperma.
Nel 2024, la mia attività di donazione passata ha aiutato più di cento coppie in 12 Paesi ad avere figli. Inoltre, molti anni dopo aver smesso di essere un donatore, almeno una clinica di fecondazione assistita ha ancora il mio sperma congelato disponibile per l'uso anonimo da parte di famiglie che vogliono avere figli.
Ora ho intenzione di rendere disponibile il mio DNA in modo che i miei figli biologici possano trovarsi più facilmente. Naturalmente ci sono dei rischi, ma non mi pento di essere stato un donatore. La carenza di sperma sano è diventata un problema sempre più grave in tutto il mondo, e sono orgoglioso di aver fatto la mia parte per contribuire ad alleviarlo.
Voglio anche contribuire a destigmatizzare l'intero concetto di donazione di sperma e incentivare più uomini sani a farlo, in modo che le famiglie che lottano per avere figli possano avere più opzioni. Sfidare le convenzioni - ridefinire la norma!
Dopo 15 anni si è saputo che il suo materiale donato aveva aiutato più di 100 famiglie in 12 paesi diversi. Lo sperma di Durov è ancora conservato in una delle cliniche IVF di Mosca. Ora Durov intende aprire l’accesso al suo DNA in modo che i suoi figli biologici possano ritrovarsi.
Durov ha sottolineato che non si pente della sua decisione di diventare donatore, nonostante i possibili rischi. Ha sottolineato che il problema della carenza di sperma sano sta diventando sempre più acuto in tutto il mondo ed ha espresso orgoglio per aver contribuito a risolvere questo problema.
Inoltre, il fondatore di Telegram vuole contribuire a ridurre lo stigma associato alla donazione di sperma e incoraggiare gli uomini più sani a diventare donatori, in modo che le famiglie che hanno difficoltà a concepire abbiano più opzioni.
Nel mondo moderno, il tema della riduzione del tasso di natalità e della diffusione dei propri geni è diventato popolare tra le élite. Promettendo di “scoprire il proprio DNA”, Durov offre un nuovo approccio per gli individui facoltosi che desiderano lasciare il segno nel futuro.
Questa notizia, come lo stesso post di Durov, ha suscitato un’ampia risonanza e opinioni diverse, riflettendo il complesso atteggiamento della società nei confronti delle questioni relative alla donazione e ai valori della famiglia.
L'articolo L’Incredibile Storia del fondatore di Telegram: Oltre 100 Figli e una Iniziativa per il Suo DNA proviene da il blog della sicurezza informatica.
L’uccisione di Ismail Haniyeh: le conseguenze e le teorie di tracciamento che non reggono
A seguito dell’assassinio del capo politico di Hamas Ismail Haniyeh (rieletto nel 2021) nella capitale iraniana Teheran, è stato convocato ieri il Consiglio di Sicurezza: tra i membri si teme una seria e pericolosa escalation e non si è potuto che evidenziare la grave cirisi in atto, gli attacchi nel Golan occupato da Isreale, gli intensi scambi attravrso la Linea Blu che separa le forze armate di Libano e Isarele, lo sfollamento del 90% della popolazione dalla Striscia di Gaza e l’uccisione di 39.400 vittime, 91.000 feriti a Gaza dall’ottobre 2023, compresi la morte di civili israeliani e gli ostaggi israeliani, uccisi o morti sotto i bombardamenti, a cui si aggiungono le vittime delle regioni interessate sotto l’attacco mortale di droni armati, missili, “atroci crimini di guerra ed enormi violazioni dei diritti umani”.
L’appello è quello di una risoluzione diplomatica rapida ed efficace ma la riacutizzazione delle ostilità è evidente. Il momento è “estremamente delicato” ha ribadito il Segretario generale delle Nazioni Unite António Guterres, “la moderazione da sola non è sufficiente”. Nel frattempo gli Stati Uniti ribadiscono il sostegno ad Israele ma affermano di non volere in alcun modo un’escalation. Per quanto riguarda l’Iran probabilmente “ritiene di non avere altra scelta se non quella di rispondere per scoraggiare ulteriori attacchi israeliani, proteggere la propria sovranità e mantenere la propria credibilità presso i partner regionali”, ha affermato Ali Vaez, direttore iraniano dell’International Crisis Group secondo Israel Hayom.
Ismail Haniyeh: la teoria del rintracciamento tramite Whatssap regge poco
“È interessante notare” evidenzia intelligentemente la Duhaime “che i riciclatori di denaro e la criminalità organizzata sanno di essere geolocalizzati se usano WhatsApp ma non Hamas”. _ Christine Duhaimem, Fusion Intelligence
Iniziano a correre le voci sull’assasinio di Ismail Haniyeh nel territorio iraniano e una tra queste è quella del giornalista libanese Elijah J. Magnier che evidenzia l’alto livello di intelligence e di successo operativo nell’uccisione non solo del leader politico di Hamas nel cuore di Teheran, ma anche quella di Hajj Mohsen-Fouad Shukr – assistente del capo del Consiglio della Jihad di Hezbollah Sayyed Hassan Nasrallah – ucciso al settimo piano della casa che occupava.
Noi non siamo assolutamente a conoscenza di come Haniyeh sia stato intercettato ci limitiamo in questo capitolo a presentare la teoria del rintracciamento dell’uomo tramite l’applicazione di messaggistica whatsapp, teoria apparsa su Reddit e X che sembra al momento fare parte di una “teoria del complotto” per prendere di mira Israele e di conseguenza il co-fondatore di Whatssap, Yan Borysovych Koum che però ha lasciato – annunciandolo – la compagnia nel 2018.
Secondo una fonte citata da Magnier, Israele avrebbe piazzato un sofisticato spyware – simile a Pegasus della NSO – tramite un messaggio WhatsApp inviato ad Ismail Haniyeh: questo avrebbe permesso di localizzare la sua posizione esatta all’interno del suo appartamento in seguito ad una conversazione avuta con suo figlio. L’utilizzo di questi software, secondo Magnier, sottolineerebbero non solo ancora una volta l’utilizzo di tattiche di guerra informatica nelle operazioni di intelligence, per la raccolta di informazioni, le uccisioni mirate e l’esecuzione di attacchi strategici ma notevoli preoccupazioni sulla privacy e l’uso improprio di questi software sbarcati anche sul mercato nero.
Il precedente, ha sottolineato Christine Duhaime di Fusion Intelligence, c’è, Si tratta di una tecnologia venuta alla luce la prima volta a Vancouver (Canada) nel 2017, quando la Cina stava cercando dei criminali fuggiti dal paese con centinaia di milioni di dollari, “È interessante notare” evidenzia intelligentemente la Duhaime “che i riciclatori di denaro e la criminalità organizzata sanno di essere geolocalizzati se usano WhatsApp ma non Hamas”. Questo ci dovrebbe far capire che la teoria whatsapp non regge moltissimo, soprattutto se esternata prima che le indagini ufficiali vengano compiute. Le informazioni vanno controllate e verificate.
Dall’altra parte però indagine di Forbes (2022) viene evidenziato invece come le agenzie federali statunitensi utilizzino “una legge americana sulla sorveglianza vecchia di 35 anni per tracciare segretamente gli utenti di WhatsApp senza alcuna spiegazione del perché e senza sapere chi stanno prendendo di mira”. Nel gennaio del 2022 in Ohio, è emerso che nel novembre del 2021 gli investigatori della DEA avevano chiesto alla società di messaggistica di proprietà di Facebook di tracciare sette utenti con sede in Cina e Macao, monitorando i loro indirizzi IP ei numeri con cui comunicavano.
Consiglio di Sicurezza, Iran: l’omicidio è un atto di terrore
Nelle prime ore di mercoledì 31 luglio, Hamas Ismail Haniyeh e le sue guardie di sicurezza sono stati uccisi a Teheran, Iran, dove si trovavano per partecipare alla cerimonia di insediamento del nuovo presidente iraniano Masoud Pezeshkian. Un razzo li ha colpiti in modo diretto: i media statali iraniani IRNA, hanno avvisato che un “proiettile guidato aviotrasportato” aveva preso di mira l’edificio alle due di notte. Il gruppo palestinese Hamas ha emesso immediatamente una dichiarazione di cordoglio, “A Dio apparteniamo e a Lui ritorneremo. Ed è una lotta, una vittoria o un martirio”, accusando Israele. Tuttavia Israele non ha ancora confermato né smentito il suo coinvolgimento. L’ambasciatore degli Stati Uniti, Robert Wood e il vice rappresentante, hanno sottolineato il diritto di autodifesa di Israele, affermando che non è in alcun modo coinvolto negli attacchi al Libano o “nell’apparente” morte del leader di Hamas Ismail Haniyeh. Che fosse un target – insieme a Mohammed Deif (comandante dell’ala militare di Hamas, Brigate Izz el-Deen al-Qassam la cui morte è stata annunciata oggi), Marwan Issa, Yahya Sinwar o Khaled Meshaal – però è risaputo e secondo il canale televisivo France 24 Inoltre Haniyeh figurava dal 2018 nella lista americana dei terroristi globali appositamente designati (SDGT).
Questo è e rimane un evento significativo del conflitto attuale in Medio Oriente che ha portato ripercussioni su tutta la regione e su Teheran che innalzato la bandiera rossa: non a caso ieri la missione dell’Iran alle Nazioni Unite ha sollecitato l’urgente riunione del Consiglio di Sicurezza per “condannare in modo inequivocabile e forte gli atti di aggressione e gli attacchi terroristici da parte del regime israeliano alla sovranità e all’integrità territoriale dell’Iran”.
Nella lettera che chiedeva l’urgente convocazione l’Iran ha precisato: “Questo atto” non sarebbe potuto avvenire senza l’autorizzazione e il supporto dell’intelligence degli Stati Uniti”, come alleato strategico e sottolineava l’attacco all’integrità del territorio iraniano., chiedendo al consiglio di punire questo atto con sanzioni per punire le ennesime violazioni del diritto internazionale. Parole che al Conisglio di Sicurezza sono state interpretate come ipocrite dall’ambasciatore israeliano Brett Jonathan Miller, poiché l’incontro è stato chiamato dallo “sponsor numero uno al mondo del terrorismo”.
Morte sembra richiamare morte all’infinito. Questa volta l’unione delle forze della regione sembra compatta. Iran, Iraq, Siria, Libano e Palestina hanno condannato l’assassinio di Ismail Haniyeh. Per quanto riguarda il grave crimine commesso nel Golan dove sono morti 12 bambini innocenti, l’ambasciatore siriano Koussay Aldahhak ha affermato che l’entità occupante israeliana “ha commesso un grave crimine” a Majdal Shams sulle alture di Golan occupate da Israele, che “è ed è sempre stato” territorio siriano sottolineando che una potenza occupante “non può affermare di difendersi ai sensi dell’articolo 51 della Carta delle Nazioni Unite”. L’ambasciatore del Libano, Hadi Hachem, invece ha affermato di non volere la guerra ma la fine dell’occupazione israeliana delle terre arabe è essenziale per ritornare alla stabilità. “La storia non risparmierà nessuno; ciò che inizia in Medio Oriente si diffonderà in tutto il mondo”, ha avvertito, invitando il Consiglio a prendere posizione “prima che sia troppo tardi”.
Se l’Asse non risponde – scrive oggi il giornalista libanese Elijah J. Magnier – è probabile che Israele aumenti i suoi attacchi e i suoi omicidi, ignorando tutte le linee rosse. Gli Stati Uniti puntano al cessate il fuoco per prevenire una guerra regionale più ampia.
L'articolo L’uccisione di Ismail Haniyeh: le conseguenze e le teorie di tracciamento che non reggono proviene da il blog della sicurezza informatica.
Multiplayer.it finisce su Have i Been Pwned
Il 14 aprile 2024, un attore di minacce noto con il nickname jacka113 ha rilasciato un database che sosteneva appartenere al sito Multiplayer.it.
Da quanto riportato dal criminale informatico, la violazione aveva compromesso i dati di 509.000 utenti, sollevando preoccupazioni significative sulla sicurezza informatica e sulla protezione dei dati personali.
Oggi il servizio “Have i been pwned” riporta l’addizione del breach di multiplayer.it all’interno del suo database dove riporta che le informazioni compromesse sono email, indirizzo e password.
I presunti dati compromessi
Secondo quanto riportato da jacka113 sul forum BreachForums, i dati compromessi includono:
- ID
- Nome utente
- Indirizzo email
- Hash delle password
- Salt utilizzato per l’hashing delle password
La Prova della presunta Violazione
Nel post del forum, jacka113 ha fornito un campione dei dati compromessi per dimostrare la veridicità delle sue affermazioni.
Implicazioni per la Sicurezza
Se confermata, questa violazione rappresenterebbe una grave minaccia per la sicurezza dei dati personali degli utenti di Multiplayer.it. Gli utenti interessati potrebbero essere esposti a una serie di rischi, tra cui:
- Phishing: Gli attaccanti potrebbero utilizzare gli indirizzi email compromessi per inviare email fraudolente, ingannando gli utenti affinché forniscano ulteriori informazioni personali o finanziarie.
- Accesso non autorizzato: Gli hash delle password, se decifrati, potrebbero consentire agli attaccanti di accedere agli account degli utenti su Multiplayer.it e su altri siti web dove potrebbero aver riutilizzato le stesse credenziali.
- Furto d’identità: Le informazioni personali compromesse potrebbero essere utilizzate per attività di furto d’identità, causando danni finanziari e reputazionali agli utenti colpiti.
Raccomandazioni per gli Utenti
In attesa di una conferma ufficiale da parte di Multiplayer.it, è consigliabile che gli utenti adottino misure preventive per proteggere i propri dati:
- Cambiamento delle Password: Gli utenti dovrebbero cambiare immediatamente le loro password su Multiplayer.it e su qualsiasi altro sito web dove potrebbero aver utilizzato le stesse credenziali.
- Monitoraggio degli Account: È importante monitorare attentamente gli account bancari e di posta elettronica per individuare eventuali attività sospette.
- Abilitazione dell’Autenticazione a Due Fattori (2FA): L’abilitazione della 2FA aggiunge un ulteriore livello di sicurezza agli account online, rendendo più difficile per gli attaccanti accedere senza autorizzazione.
Conclusione
La presunta violazione del database di Multiplayer.it da parte di jacka113 rappresenta una potenziale minaccia significativa per la sicurezza dei dati di 509.000 utenti. Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
L'articolo Multiplayer.it finisce su Have i Been Pwned proviene da il blog della sicurezza informatica.
Un Bug di VMware ESXi è Sfruttato attivamente da Attori Malevoli
Una vulnerabilità in VMware ESXi permetterebbe ad attori malintenzionati di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.
Panoramica della vulnerabilità
VMWare ha predisposto delle azioni di mitigazione atte a contrastare la vulnerabilità identificata con CVE-2024-37085 avente CVSS3 pari a 6.8 che permetterebbe agli attaccanti di elevare i propri privilegi da un accesso limitato ad un controllo amministrativo completo dell’hypervisor.
Dalle informazioni di threath intelligence tale vulnerabilità è attivamente sfruttata in rete ed è stata utilizzata da APT come Storm-0506, Storm-1175, Octo Tempest e Manatee Tempest per installare software dannoso sui sistemi vulnerabili.
Lo sfruttamento di tale vulnerabilità risulta semplice e impattante, basterebbe infatti la creazione di un nuovo gruppo di dominio chiamato “ESX Admins” e la creazione di un qualsiasi utente facente parte del medesimo dominio per conferire i privilegi di amministratore dell’hypervisor.
Tipologia
- Data Manipulation
- Denial of Service
- Security Restrictions Bypass
- Authentication Bypass
Prodotti e versioni affette
- Esxi 8.0 precedente alla versione 8.0 U3
- Esxi 7.0 Tutte le versioni
CVE di riferimento:
Patch & Mitigazione
In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza.
Si riportano di seguito le versioni vulnerabili e relativa Fix release
Come dalla matrice cui sopra , attualmente, per la versione 7.0.x di ESXi non è stata ancora pianificata una patch ma è disponibile un workaround .
Considerazioni
Questo tipo di vulnerabilità ci rendono consapevoli dell’importanza del processo di patch management sui sistemi in quanto anche un solo sistema, facente parte di un ecosistema di servizi, potrebbe essere sfruttato e compromettere l’intera infrastruttura. Pertanto mantenere i sistemi aggiornati aiuta sensibilmente a ridurre la superficie d’attacco.
L'articolo Un Bug di VMware ESXi è Sfruttato attivamente da Attori Malevoli proviene da il blog della sicurezza informatica.
MFA in Pericolo! Migliaia di Bot Telegram rubano password monouso da 600 servizi
Gli specialisti di Zimperium hanno scoperto una campagna dannosa che prende di mira i dispositivi Android in tutto il mondo. Gli aggressori utilizzano migliaia di bot di Telegram per infettare i dispositivi con malware che rubano SMS e password monouso per l’autenticazione a due fattori da oltre 600 servizi.
I ricercatori affermano che stanno monitorando questa attività fino a febbraio 2022. Secondo loro, a questa campagna sarebbero associati almeno 107.000 diversi campioni di malware. La maggior parte delle vittime si trova in India e Russia, ma molte vittime sono state trovate anche in Brasile, Messico e Stati Uniti. In totale, gli utenti di 113 paesi in tutto il mondo sono stati colpiti da questa minaccia.
A quanto pare, gli operatori di malware perseguono guadagni finanziari e utilizzano i dispositivi infetti come relè per l’autenticazione e l’anonimizzazione. Il malware per il furto di SMS viene distribuito tramite pubblicità dannosa o tramite bot di Telegram che automatizzano la comunicazione con l’utente.
Quindi, nel primo caso, le vittime seguono link pubblicitari a pagine che imitano il Google Play Store, dove vedono un numero gonfiato di download dell’applicazione, il che dovrebbe creare l’apparenza della sua legittimità e sicurezza.
Nel secondo caso, i bot di Telegram promettono di fornire alle vittime un’app Android piratata, ma chiedono il loro numero di telefono prima di condividere il file APK. Di conseguenza, il bot utilizza il numero ricevuto per creare un nuovo APK, che gli consente di tracciare personalmente l’utente ed effettuare altri attacchi.
Sul dispositivo della vittima, il malware richiede l’autorizzazione per accedere agli SMS, che gli consentono di intercettare le password monouso necessarie per la registrazione dell’account e l’autenticazione a due fattori.
In totale vengono utilizzati circa 2.600 bot di Telegram per promuovere diversi APK, controllati da 13 server di controllo.
I ricercatori hanno scoperto che il malware finisce per trasmettere i messaggi SMS intercettati a uno specifico endpoint API sul sito web fastsms[.]su.
Questo sito offre ai visitatori la possibilità di acquistare l’accesso a numeri di telefono virtuali in paesi stranieri. Tali numeri possono essere utilizzati per l’anonimizzazione e l’autenticazione su varie piattaforme e servizi online. Di conseguenza Zimperium è giunto alla conclusione che i dispositivi infetti vengono utilizzati da questo servizio all’insaputa dei loro proprietari.
L'articolo MFA in Pericolo! Migliaia di Bot Telegram rubano password monouso da 600 servizi proviene da il blog della sicurezza informatica.
Le APP dei Giochi Olimpici di Parigi 2024 spiano gli utenti
I ricercatori hanno scoperto una tendenza allarmante: le app mobili create per i Giochi Olimpici di Parigi del 2024 raccolgono molte più informazioni personali degli utenti di quanto dichiarato ufficialmente. Gli esperti hanno studiato attentamente 12 applicazioni Android che sono popolari tra gli ospiti olimpici e hanno identificato una serie di fatti allarmanti.
L’app ufficiale dei Giochi Olimpici di Parigi, già installata più di 10 milioni di volte, si posiziona come uno strumento indispensabile per gli appassionati. Fornisce il calendario delle gare, le ultime notizie, i risultati delle medaglie e molte altre informazioni utili.
Ma c’è una sfumatura. Il programma tiene traccia della posizione esatta dell’utente, utilizza la fotocamera, registra l’audio, legge e modifica i file multimediali sul dispositivo. Inoltre, è in grado di analizzare la cronologia delle ricerche web e di trasmettere queste informazioni agli inserzionisti.
Il Comitato Olimpico Internazionale (CIO) ammette apertamente di raccogliere dati personali per creare profili utente. Queste informazioni vengono poi condivise con colossi come Facebook, Google, Apple e X (ex Twitter).
Tuttavia, l’app ufficiale delle Olimpiadi non è l’unica a destare preoccupazioni. Bonjour RATP, un’app di navigazione parigina con oltre 10 milioni di installazioni, era la più affamata di dati. Raccoglie 18 dei 38 possibili tipi di informazioni e ne condivide la maggior parte con terze parti.
TheFork, la piattaforma di prenotazione di ristoranti leader in Europa, raccoglie 15 tipi di dati. Citymapper, altra app di trasporti urbani da più di 10 milioni di download – 14 tipologie (anche se in questo caso tra le finalità dichiarate non viene menzionata la pubblicità).
Secondo gli esperti di Cybernews, alcuni servizi richiedono autorizzazioni potenzialmente pericolose, anche se affermano di non raccogliere alcun dato. Ad esempio, Stakeholder Experience & Access Tool (SEAT) richiede l’autorizzazione per leggere e scrivere su dispositivi di archiviazione esterni, lavorare con contatti e calendario. Anche PinQuest, un gioco per testare la conoscenza delle Olimpiadi, per qualche motivo richiede l’accesso alla fotocamera e ai file.
I ricercatori avvertono che se tutte le 12 app analizzate fossero installate, sarebbero in grado di ottenere 24 tipi di dati su 38 possibili. Secondo gli sviluppatori, i programmi non raccolgono informazioni su salute, razza ed etnia, convinzioni politiche o religiose, orientamento sessuale, SMS, foto o registrazioni audio, file, contatti e altre categorie simili.
Tuttavia, la realtà risulta essere diversa. I ricercatori hanno trovato altre tre app che richiedono il permesso per determinare la latitudine e la longitudine esatte.
Il ricercatore Mantas Kasiliauskis spiega: “I dati sulla posizione sono davvero necessari per funzioni come la navigazione delle sedi olimpiche, le informazioni sulla posizione degli eventi e i consigli personalizzati. Possono rimanere solo sul dispositivo. Tuttavia, se l’app venisse violata, gli utenti potrebbero essere esposti a minacce sia digitali che fisiche”.
Gli esperti consigliano ai fan di fare attenzione ai permessi richiesti, di fornire solo il minimo indispensabile e di controllare regolarmente le impostazioni di privacy sui propri dispositivi. Si consiglia inoltre di rimuovere le applicazioni non utilizzate per ridurre al minimo il rischio di perdite.
L'articolo Le APP dei Giochi Olimpici di Parigi 2024 spiano gli utenti proviene da il blog della sicurezza informatica.
330 Milioni di Email violate da Socradar? L’Inquietante Offerta di USDoD sul Dark Web
Con un recente post su Breached Forum, il threat actor USDoD ha dichiarato di aver raccolto oltre 330 milioni di indirizzi email, sostenendo di averli ottenuti attraverso lo scraping di Socradar[.]io, una piattaforma nota per il suo ruolo di cyber intelligence. Questa enorme raccolta di dati è ora disponibile per l’acquisto al prezzo di 7.000 dollari.
Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.
Dettagli vendita
Secondo l’annuncio di USDoD, il processo di raccolta dei dati ha richiesto tre giorni interi, durante i quali sono stati eseguiti scraping, parsing e rimozione dei duplicati. Il risultato è un file di 14,4 GB, fornito in formato CSV, messo in vendita per 7.000 dollari.
Questo prezzo sottolinea l’alto valore attribuito ai dati contenenti questo tipo di informazione. Nel post, USDoD non fornisce dettagli specifici o esempi dei dati disponibili, lasciando in sospeso la verifica dell’autenticità e della qualità del database.
Immagine del post rinvenuta nel Dark Web
Il threat actor in questione, USDoD, è stato recentemente intervistato, rivelando ulteriori dettagli sul suo background e sulle sue attività. Durante un’intervista (usdod.io/contact.txt), USDoD ha descritto il processo tecnico dietro l’operazione di scraping e ha discusso delle motivazioni che lo hanno spinto a entrare nel mondo del cyber crimine. Questo offre una rara opportunità di comprendere la mentalità di un individuo coinvolto in attività illecite di questo tipo.
Socradar.io e la Sicurezza dei Dati
Socradar.io è ampiamente riconosciuta per la sua capacità di identificare e prevenire minacce informatiche, e dunque nota per il suo lavoro in ambito CTI. Tuttavia, il presunto successo di USDoD nel raccogliere dati da questa piattaforma evidenzia potenziali falle nei sistemi di sicurezza delle informazioni, mettendo in discussione l’efficacia delle misure protettive adottate.
La presunta vendita di un database così vasto ha implicazioni significative:
- Rischi di phishing e spam: Con un numero così elevato di email a disposizione, i malintenzionati possono lanciare campagne di phishing mirate, aumentando i rischi per gli utenti.
- Integrità della sicurezza informatica: La possibilità di violare una piattaforma come Socradar.io solleva domande su come le aziende proteggono i dati sensibili e su quanto siano preparate a fronteggiare attacchi sofisticati.
- Conseguenze legali: Nonostante la vendita di questi dati violi le leggi internazionali sulla privacy, l’anonimato di chi frequenta i forum underground rende difficile perseguire legalmente i colpevoli.
Conclusione
L’annuncio di USDoD su Breached Forum è un ulteriore promemoria della necessità di rafforzare la sicurezza dei dati e l’importanza di una vigilanza continua contro le minacce informatiche. La collaborazione tra esperti e forze dell’ordine è fondamentale per affrontare queste sfide e garantire la sicurezza degli utenti a livello globale.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
L'articolo 330 Milioni di Email violate da Socradar? L’Inquietante Offerta di USDoD sul Dark Web proviene da il blog della sicurezza informatica.
Digita Crime: Addestramento ad attività con finalità di terrorismo realizzata anche attraverso le tecnologie dell’informazione
Art.270- quinquies c.p.:
Chiunque, al di fuori dei casi di cui all'articolo 270 bis, addestra o comunque fornisce istruzioni sulla preparazione o sull'uso di materiali esplosivi, di armi da fuoco o di altre armi, di sostanze chimiche o batteriologiche nocive o pericolose, nonché di ogni altra tecnica o metodo per il compimento di atti di violenza ovvero di sabotaggio di servizi pubblici essenziali, con finalità di terrorismo, anche se rivolti contro uno Stato estero, un'istituzione o un organismo internazionale, è punito con la reclusione da cinque a dieci anni.
La stessa pena si applica nei confronti della persona addestrata, nonché della persona che avendo acquisito, anche autonomamente, le istruzioni per il compimento degli atti di cui al primo periodo, pone in essere comportamenti univocamente finalizzati alla commissione delle condotte di cui all'articolo 270 sexies.
Le pene previste dal presente articolo sono aumentate se il fatto di chi addestra o istruisce è commesso attraverso strumenti informatici o telematici.>>
Il contenuto della norma
L’articolo 270 quinquies c.p. riguarda l’addestramento ad attività con finalità di terrorismo, anche internazionale. Questo articolo è stato introdotto con il decreto legge 27 luglio 2005, n. 144, convertito con modificazioni nella legge 31 luglio 2005 n. 155, ed è stato poi modificato dall’art. 1, comma 3, lett. a), D.L. 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla L. 17 aprile 2015, n. 43.
La norma tutela l’integrità dello Stato e l’ordine pubblico contro la minaccia terroristica. Si tratta di reato di pericolo concreto, caratterizzato, sotto il profilo dell’elemento soggettivo, da un duplice dolo specifico, costituito dalla volontà del soggetto agente di perseguire sia la finalità, intermedia, di addestrare altri o di conseguire, anche autonomamente, l’apprendimento di capacità all’uso di armi, di materiali esplosivi o di sostanze chimiche o batteriologiche, strumentali al compimento di atti di violenza o di sabotaggio di servizi pubblici essenziali, sia quella di terrorismo, anche internazionale, come definita dall’art. 270-sexies cod. pen.
Cosa dice la giurisprudenza
Il delitto di addestramento o di auto-addestramento ad attività con finalità di terrorismo, anche internazionale, di cui all’art. 270-quinquies, ultima parte, cod. pen., è reato di pericolo concreto, caratterizzato, sotto il profilo dell’elemento soggettivo, da un duplice dolo specifico, costituito dalla volontà del soggetto agente di perseguire sia la finalità, intermedia, di addestrare altri o di conseguire, anche autonomamente, l’apprendimento di capacità all’uso di armi, di materiali esplosivi o di sostanze chimiche o batteriologiche, strumentali al compimento di atti di violenza o di sabotaggio di servizi pubblici essenziali, sia quella di terrorismo, anche internazionale, come definita dall’art. 270-sexies cod. pen.(Cass., Sez. II, sent. n. 14885/22).
Ai fini della configurabilità del reato di addestramento ad attività con finalità di terrorismo anche internazionale, commesso dalla persona che abbia acquisito autonomamente informazioni strumentali al compimento di atti con la suddetta finalità, è comunque necessario che il soggetto agente ponga in essere comportamenti significativi sul piano materiale, univocamente diretti alla commissione delle condotte di cui all’art. 270-sexies cod. pen., senza limitarsi ad una mera attività di raccolta di dati informativi o a manifestare le proprie scelte ideologiche (Cass. Sez. I, sent. n. 7898/19 ).
In tema di addestramento ad attività con finalità di terrorismo anche internazionale di cui all’art. 270-quinquies c.p., le due figure soggettive dell’addestratore e dell’informatore si differenziano per la diversa qualità e intensità delle condotte, entrambe divulgative e implicanti l’esistenza di destinatari, in quanto solo la prima si connota di una idoneità formativa, che mira all’obiettivo di far acquisire non solo istruzioni e notizie tecniche, specie d’ordine bellico e militare, quanto di realizzare, in coloro che si giovano dell’addestramento, la capacità di porre in essere le condotte di tipo terroristico; l’informatore, invece, si limita a trasmettere istruzioni tecniche, senza curarsi se il destinatario sia nelle condizioni di recepirle, elaborarle e quindi sfruttarle in azioni di tipo terroristico (Cass., Sez. I, sent. n. 15089/19).
Ai fini della configurabilità del reato di addestramento ad attività con finalità di terrorismo anche internazionale, commesso dalla persona che abbia acquisito autonomamente informazioni strumentali al compimento di atti con la suddetta finalità, è comunque necessario che il soggetto agente ponga in essere comportamenti significativi sul piano materiale, univocamente diretti alla commissione delle condotte di cui all’art. 270- sexies cod. pen., senza limitarsi ad una mera attività di raccolta di dati informativi o a manifestare le proprie scelte ideologiche (fattispecie in cui la Corte ha ritenuto configurabile in sede cautelare il reato di cui all’art. 270 – quinquies cod. pen. sulla base di molteplici indici fattuali concreti, tra i quali il possesso da parte dell’imputato di video ed immagini riconducibili alla propaganda terroristica per lo Stato islamico o illustrativi di tecniche per la preparazione di un ordigno, scaricati con elevata frequenza nell’arco di un significativo periodo di tempo, nonché l’avere in rubrica telefonica un’utenza collegata ad altra in uso a soggetto poi arrestato per detenzione di armi ed esplosivi, Cass. Sez. V, sent. n. 6061/17).
L'articolo Digita Crime: Addestramento ad attività con finalità di terrorismo realizzata anche attraverso le tecnologie dell’informazione proviene da il blog della sicurezza informatica.
Attacco alla Supply-Chain del sangue! Fino dove si spingerà il Cybercrime?
Un attacco informatico ha colpito un’organizzazione no-profit per la donazione del sangue che fornisce servizi a centinaia di ospedali nel sud-est degli Stati Uniti riporta la CNN.
L’attacco informatico ha sollevato preoccupazioni circa i possibili effetti sui servizi forniti da OneBlood ad alcuni ospedali. Secondo quanto affermato da diverse fonti a conoscenza della questione l’incidente dovrebbe essere opera di un ransomware.
L’attacco sta influenzando la capacità dell’organizzazione non-profit di spedire “prodotti sanguigni” agli ospedali in Florida, secondo un avviso inviato ai fornitori di servizi sanitari dall’Health Information Sharing and Analysis Center, un gruppo di condivisione di minacce informatiche.
OneBlood serve ospedali in Alabama, Florida, Georgia e Carolina del Nord e del Sud, secondo il suo sito web. In una dichiarazione, l’organizzazione non-profit ha riconosciuto l’attacco ransomware e ha affermato di aver lavorato a stretto contatto con esperti di sicurezza informatica e con le forze dell’ordine. L’organizzazione sta “operando a una capacità notevolmente ridotta”.
“Abbiamo implementato processi e procedure manuali per rimanere operativi. I processi manuali richiedono molto più tempo per essere eseguiti e hanno un impatto sulla disponibilità dell’inventario. Nel tentativo di gestire ulteriormente la fornitura di sangue, abbiamo chiesto agli oltre 250 ospedali che serviamo di attivare i loro protocolli critici di carenza di sangue e di rimanere in quello stato per il momento”, ha affermato Susan Forbes, portavoce dell’organizzazione non-profit.
La domanda che sorge spontanea è: le sacche di sangue che non arriveranno a destinazione, quali rischi per le persone potranno portare?
Siamo purtroppo arrivati al punto che la digitalizzazione è tutta attorno a noi e colpisce anche la vita delle persone. Un ascensore interconnesso, una macchina a guida autonoma o una azienda che supporta gli ospedali per fornire il sangue per i malati.
Fino a dove il cybercrime si spingerà in futuro? Purtroppo la risposta la sappiamo.
L'articolo Attacco alla Supply-Chain del sangue! Fino dove si spingerà il Cybercrime? proviene da il blog della sicurezza informatica.
New Noyb lawsuit says Hamburg data watchdog acted as lawyer for German newspaper
Noyb sued the Hamburg data protection authority on 1 August in a bid to overturn its recent decision that German newspaper Der Spiegel "pay or okay" model was lawful.
Russia vs Ukraine: the biggest war of the fake news era
Disinformation and propaganda, long mainstays of war, have been digitally supercharged in the battle for Ukraine, the biggest conflict the world has seen since the advent of smartphones and social media.
Telecoms stakeholders urge Breton to reconsider some stances in light of Commission appointment
Telecom industry stakeholders have called on incumbent Commissioner for the Internal Market, Thierry Breton, to reconsider some of his previous stances in light of his potential reappointment for the 2024-2029 term.