Spcnet.it

2026-01-25 00:10:14

BitLocker: chiavi fuori dal cloud. Guida alla crittografia di Windows, passo per passo

Dopo il caso Forbes di pochi giorni fa, tra i social si notano discussioni e confusione su come viene gestita la crittografia di Microsoft, con BitLocker, quando si sceglie di proteggere il proprio device. Questa breve guida vuole essere un passo semplice e divulgativo, per risolvere alcuni dubbi che possono emergere in utenti poco esperti su questo aspetto e che si trovano a dover installare un nuovo dispositivo Windows, con applicazione della crittografia. Alcuni semplici accorgimenti che possono proteggere la nostra privacy, perchè spesso, in sistemi come quelli Microsoft, le scelte di default non sono sempre le migliori.
Il caso di Forbes

Cosa è successo e perché è importante

Forbes ha rivelato che, in un’indagine su una frode legata ai fondi Covid a Guam, l’FBI ha chiesto a Microsoft le chiavi di recupero BitLocker di tre laptop; Microsoft le ha fornite perché quelle chiavi erano state salvate nel cloud associato agli account Microsoft degli utenti. L’azienda ha confermato che, quando ha accesso alle chiavi di BitLocker e riceve un’ordinanza valida, le consegna alle autorità, in media una ventina di volte l’anno.

Il motivo tecnico è semplice: nelle installazioni moderne di Windows 11, soprattutto su PC consumer, l’utente viene spinto a usare un account Microsoft online; quando attiva la crittografia del dispositivo o BitLocker, la chiave di recupero viene caricata automaticamente sull’account, “per sicurezza” e per evitare che l’utente la perda. Il risultato è che l’utente crede di avere cifratura forte “contro chiunque”, mentre in realtà ha delegato a Microsoft la custodia di una copia della chiave.

---

La guida a BitLocker, semplificata

Quando un utente installa Windows oggi, spesso non si rende conto di firmare un contratto implicito con Microsoft sulla gestione delle chiavi che cifrano il suo disco. Il recente report di Forbes su un’inchiesta dell’FBI a Guam, in cui Microsoft ha consegnato le chiavi di recupero BitLocker di alcuni laptop, non rivela una backdoor tecnica, ma mette in luce una scelta di design che molti utenti accettano senza capirla: se la chiave di recupero finisce nel cloud dell’account Microsoft, Microsoft può fornirla alle autorità quando riceve un ordine del giudice. Il problema non è BitLocker in sé, che resta un motore di cifratura robusto, ma il fatto che, per comodità, Windows tende a legare la crittografia al proprio account online, trasformando la protezione del dispositivo in un servizio di “surrender as a service” per chiunque abbia accesso legale alle chiavi.

Separare crittografia e account Microsoft

Per chi vuole davvero controllare i propri dati, la strada più coerente è separare due cose che Microsoft spinge a confondere: l’uso dell’account Microsoft per servizi cloud e la crittografia del disco locale. Il punto di partenza è chiaro: se durante la prima installazione di Windows 11 si sceglie subito un account Microsoft online, il sistema può attivare automaticamente la “Device Encryption”, una modalità semplificata che in pratica abilita BitLocker sul disco di sistema e su quelli fissi, con la chiave di recupero salvata nel cloud associato all’account. Questo è il comportamento che ha permesso a Microsoft di fornire le chiavi all’FBI nel caso di Guam, perché in quel contesto la chiave era stata espressamente salvata nel cloud dell’account utente e non solo conservata localmente.

Passo 1: installare Windows con account locale

Per evitare di cadere in questa configurazione “pre‑impostata”, la prima mossa è installare Windows usando un account locale, cioè un profilo creato direttamente sul PC senza passare da Outlook, Hotmail o simili. Su molte installazioni recenti, l’interfaccia cerca di dissuadere da questa scelta, ma è ancora possibile ottenere un account offline disconnettendo il PC da Internet durante la configurazione iniziale o sfruttando le opzioni avanzate che permettono di inserire nome utente e password senza un account Microsoft. L’obiettivo non è demonizzare l’account online, ma semplicemente rimandare la sua introduzione a un momento successivo, dopo aver impostato la crittografia in modo consapevole e aver salvato le chiavi in un luogo sotto il controllo diretto dell’utente.

Passo 2: abilitare BitLocker sulle unità disco

Una volta dentro con un account locale amministratore, è il momento di affrontare BitLocker “vero”, non la versione semplificata di Device Encryption. Su Windows 11 Pro o Enterprise, BitLocker è accessibile dal Pannello di controllo, sotto Sistema e sicurezza → Crittografia unità BitLocker, oppure dalle Impostazioni di sicurezza, dove appare come funzione distinta dalla generica crittografia del dispositivo. Qui l’utente può scegliere di cifrare esplicitamente l’unità di sistema e, se vuole, anche altri dischi interni o esterni, con BitLocker To Go per le chiavette USB. Questa granularità è importante perché permette di decidere esattamente quali volumi cifrare e come gestire le chiavi, anziché affidarsi a un wrapper automatico che si attiva e si nasconde da solo.

Durante l’attivazione di BitLocker, Windows chiede come proteggere il disco all’avvio: la modalità più comune su PC moderni è quella che usa il TPM (Trusted Platform Module), un chip dedicato che custodisce la chiave principale e permette al sistema di avviarsi senza chiedere alcun codice, a patto che l’ambiente di boot non sia stato alterato. È possibile però innalzare il livello di sicurezza richiedendo un PIN pre‑boot o una chiave su USB, scelte che rendono più difficile l’accesso a chiunque abbia solo il disco fisico in mano. La guida può spiegare che il TPM non è una backdoor, ma un componente hardware progettato per proteggere le chiavi da estrazione diretta, e che la vera vulnerabilità nasce quando una copia della chiave viene esposta a terzi, come nel caso del backup nel cloud.

Passo 3: salvare le chiavi di recupero offline

Il momento decisivo è la schermata “Come vuoi eseguire il backup della chiave di ripristino?”, che appare sia durante l’attivazione di BitLocker sia quando si chiede un backup a posteriori. Le opzioni tipiche sono: salvare la chiave in un file, stamparla su carta, salvarla su un’unità USB oppure, se si è loggati con un account Microsoft, caricarla nel cloud associato all’account. È proprio questa ultima opzione che trasforma la crittografia in un sistema in cui Microsoft può diventare un punto di accesso legale, perché la chiave diventa un dato che l’azienda può consegnare quando riceve un ordine del giudice.

La strategia che conviene adottare è semplice ma richiede disciplina: ignorare l’opzione “Salva nel tuo account Microsoft” e scegliere invece una o più soluzioni offline. Un file su una chiavetta USB dedicata, una stampa su carta conservata in un luogo sicuro, magari una copia in un archivio di password protetto da una passphrase forte, ma mai lasciata sul disco cifrato stesso. È utile spiegare ai lettori che la chiave di recupero è l’equivalente digitale di un master key: se la si perde, i dati possono diventare irrecuperabili, ma se la si lascia in giro o nel cloud, si annulla gran parte del valore della cifratura. Per ogni unità cifrata, BitLocker genera una chiave distinta, che va etichettata e archiviata con cura, ad esempio “Notebook‑Ufficio‑C:” o “SSD‑Backup‑E:”, per evitare confusione in caso di emergenza.

Passo 4: solo dopo, associare l’account Microsoft

Solo dopo aver completato questo passaggio, con tutte le unità crittografate e le chiavi di recupero al sicuro in forma offline, l’utente può decidere se associare il PC al proprio account Microsoft per sfruttare OneDrive, Store e altri servizi. Questa operazione, che può avvenire trasformando l’account locale in account Microsoft o aggiungendone uno come account aggiuntivo, non modifica retroattivamente il metodo con cui sono state salvate le chiavi di BitLocker. La guida può sottolineare che, a quel punto, l’account online serve per la sincronizzazione e l’accesso ai servizi, non per la custodia delle chiavi di cifratura del disco.

Per chi vuole spingere il livello di privacy ancora oltre, è possibile mantenere un profilo di sola cifratura locale, usando l’account Microsoft solo via browser o app dedicate, senza mai legarlo direttamente al profilo di sistema. In ogni caso, è consigliabile verificare periodicamente la pagina online dove Microsoft elenca le chiavi BitLocker associate all’account, per assicurarsi che non compaiano recuperi inattesi per dispositivi che si ritenevano “air‑gapped” dal punto di vista delle chiavi. Questo controllo è particolarmente importante dopo un aggiornamento di Windows o un cambio di hardware, che potrebbero innescare nuovi salvataggi automatici se non si presta attenzione.

---

Dal punto di vista teorico, la lezione da estrarre da questa storia è che la cifratura è solo una parte del problema; l’altra parte è la gestione delle chiavi. BitLocker, come sistema crittografico, non è stato compromesso, ma il suo modello di backup “conveniente” nel cloud ha creato un punto di accesso che le autorità possono sfruttare. La differenza tra password di accesso a Windows e chiave di recupero BitLocker è cruciale: la prima è solo un lucchetto all’account, mentre la seconda è ciò che consente di decifrare materialmente il contenuto del disco, rendendola un obiettivo privilegiato per chiunque voglia accedere ai dati.

L’invito qui è quello di trattare la crittografia come un processo consapevole, non come un’opzione che si accende e si dimentica. Installare Windows con un account locale, cifrare esplicitamente le unità con BitLocker, salvare le chiavi di recupero offline e solo dopo associare l’account Microsoft è un flusso che preserva sia la comodità dei servizi cloud sia il controllo effettivo sui dati.

In un mondo in cui le chiavi possono essere richieste a un terzo da un tribunale, la vera sicurezza sta nel decidere chi, oltre a noi, può avere accesso a quelle chiavi, e nel fare in modo che quella lista sia il più breve possibile.

Microsoft will reportedly provide your Windows PC's BitLocker encryption recovery keys under valid legal orders

According to a Forbes report, Microsoft will provide BitLocker encryption recovery keys stored in the cloud to law enforcement if presented with a valid legal order, such as a court-issued warrant.

^{Suraj Bhowal (Tech Sportskeeda)}

(in)sicurezza digitale

2026-01-22 11:07:45

Lo stato dell’arte sul rischio spyware in Europa

Si parla di:
Toggle

• La diffusione incontrollata
• Il ruolo di EDRi e il document pool
• Implicazioni tecniche e politiche

Il mercato europeo dello spionaggio digitale continua a prosperare nell’ombra, con software spyware che infettano smartphone e trasformano dispositivi personali in strumenti di sorveglianza totale, nonostante scandali ripetuti in numerosi paesi dell’Unione Europea. Queste tecnologie, spesso vendute a governi e agenzie private senza alcun controllo significativo, sfruttano vulnerabilità zero-day per ottenere accesso completo: lettura di messaggi, attivazione di microfoni e fotocamere, estrazione di dati sensibili, il tutto in modo invisibile e persistente, aggirando protezioni native come sandboxing e crittografia end-to-end.

La diffusione incontrollata

Programmi come Pegasus o tool di RCS Lab penetrano nei sistemi operativi mobili attraverso catene di exploit complessi, che iniziano con link malevoli in SMS o app legittime e culminano con l’installazione di rootkit kernel-level capaci di sopravvivere a reboot e aggiornamenti. Casi documentati riguardano Spagna, Polonia, Ungheria, Grecia, Italia, Slovacchia e Serbia, dove giornalisti, attivisti per i diritti umani, politici e oppositori sono stati presi di mira da agenzie statali, con operazioni che violano sistematicamente la proporzionalità e la necessità richieste dalle norme sui diritti fondamentali. L’assenza di “linee rosse” a livello UE permette a vendor commerciali di operare con impunità, ricevendo persino fondi pubblici europei, mentre le vittime rimangono prive di notifiche o rimedi legali efficaci.

Il ruolo di EDRi e il document pool

European Digital Rights (EDRi) ha lanciato un “spyware document pool”, una repository pubblica che aggrega analisi, indagini giornalistiche, valutazioni sui diritti umani e documenti ufficiali, inclusi i rapporti del comitato PEGA del Parlamento Europeo del 2023, per tracciare abusi e spingere verso un divieto totale. Questa risorsa centralizza evidenze frammentate: da report su scandali nazionali a ricerche tecniche su exploit, evidenziando come lo spyware comprometta l’integrità dei dispositivi e esponga dati massivi senza possibilità di oversight giudiziario adeguato. EDRi richiede un bando completo su produzione, vendita e uso di spyware commerciale, sanzioni mirate ai venditori, stop agli appalti pubblici e accesso prioritario a forensics digitali per le vittime.

Implicazioni tecniche e politiche

Dal punto di vista tecnico, questi malware evadono EDR aziendali e protezioni OS attraverso tecniche di offuscamento dinamico, iniezione di processi legittimi e persistence via meccanismi come launch daemons su iOS o servizi system su Android, rendendo la rilevazione forense un’impresa ardua che richiede analisi reverse engineering avanzata. Politicamente, la Commissione Europea non ha risposto alle raccomandazioni PEGA con legislazione vincolante, lasciando i vendor liberi di proliferare minacce transnazionali che erodono la fiducia democratica. Coalizioni di ONG e giornalisti insistono su riforme strutturali, inclusa la accountability politica e rimedi transfrontalieri per cause legali.

@sicurezza

Lo stato dell'arte sul rischio spyware in Europa - (in)sicurezza digitale

Il mercato europeo dello spionaggio digitale continua a prosperare nell'ombra, con software spyware che infettano smartphone e trasformano dispositivi

^{Dario Fadda (inSicurezzaDigitale.com)}

La Quadrature du Net

2026-01-20 11:04:44

La CNAF utilise depuis 15 ans un algorithme de scoring pour noter ses allocataires et cibler ses contrôles. En pratique, les personnes les plus précaires reçoivent un score « de suspicion » plus élevé et se retrouvent plus souvent contrôlées à cause de cet algorithme. On l'a donc attaqué en 2024 avec 14 autres associations. Aujourd'hui, on est fier·es de vous annoncer que 10 autres organisations rejoignent la lutte.

laquadrature.net/2026/01/20/al…

Algorithme discriminatoire de notation de la CNAF : 10 nouvelles organisations se joignent à l'affaire devant le Conseil d’État

Il y a un peu plus d'un an, 15 organisations de la société civile ont contesté l'algorithme d'évaluation des risques utilisé par la Caisse nationale d'allocations familiales (CNAF), la branche familiale du système français de protection sociale.

^{La Quadrature du Net}

(in)sicurezza digitale

2026-01-16 10:07:49

Origin-mo: il trucco pigro che ha aperto 40.000 siti WordPress agli hacker

Si parla di:
Toggle

• La vulnerabilità CVE-2026-23550
• Il trucco con l’header Origin
• Impatto e risposta

I ricercatori hanno scoperto una vulnerabilità critica nel plugin Modular DS per WordPress che ha permesso a hacker di compromettere oltre 40.000 siti con un metodo sorprendentemente semplice.

La vulnerabilità CVE-2026-23550

Il plugin Modular DS, installato su decine di migliaia di siti WordPress, presentava una falla di privilege escalation classificata con un punteggio CVSS di 10.0, il massimo livello di severità. Questa debolezza, identificata come CVE-2026-23550 e catalogata nel database di Positive Technologies, riguardava le versioni 2.5.1 e 2.5.2 e derivava da una mancanza di autenticazione adeguata nell’endpoint API /apimodular-connector/login. Gli attaccanti potevano inviare una richiesta GET a questo endpoint senza credenziali, sfruttando parametri come login, server-information e manager per elevare i privilegi e ottenere accesso amministrativo completo, inclusi moduli per il login, la gestione del server e i backup.

Patchstack ha rilevato le prime exploitation il 13 gennaio 2026 alle 02:00 UTC, con richieste anomale provenienti da IP come 45.11.89.19 e 185.196.0.11, che puntavano proprio a quell’endpoint vulnerabile. La tecnica non richiedeva payload complessi né exploit zero-day elaborati: bastava una semplice chiamata HTTP per bypassare i controlli e iniettare un account amministratore, permettendo l’esecuzione di comandi arbitrari sul server sottostante.

Il trucco con l’header Origin

Gli hacker hanno affinato l’attacco aggiungendo un header HTTP "Origin: mo.", una stringa apparentemente innocua che il plugin Modular DS interpretava come indicatore di una richiesta legittima proveniente dal dominio “originmo”. Questo header, combinato con la mancanza di validazione sull’API apimodular-connector, convinceva il sistema a trattare la chiamata come interna, eludendo ulteriori verifiche di sicurezza. In pratica, l’attaccante simulava una richiesta dal pannello di controllo del plugin stesso, ottenendo accesso istantaneo a funzionalità sensibili come la gestione dei backup e le informazioni sul server.

Tale approccio, definito il “metodo più pigro” dagli analisti, ha colpito siti vulnerabili in modo massivo perché non necessitava di scansioni personalizzate o tool avanzati: una semplice modifica all’header in una richiesta GET standard era sufficiente per compromettere l’intero ambiente WordPress. Positive Technologies ha dettagliato come questo meccanismo permettesse non solo l’elevazione di privilegi ma anche l’inserimento di backdoor persistenti, con potenziali ramificazioni su database e file system.

Impatto e risposta

L’exploit ha interessato circa 40.000 installazioni attive del plugin, esponendo siti a rischi di defacement, furto dati e ulteriore propagazione di malware tramite i manager di backup integrati. Patchstack ha rilasciato una patch urgente nella versione 2.5.2, che introduce validazioni rigorose sugli header Origin e sull’autenticazione API, bloccando richieste non autorizzate attraverso controlli nonce e verifica IP whitelisting.

Gli amministratori di WordPress devono verificare immediatamente la presenza del plugin Modular DS, aggiornarlo alla versione corretta e monitorare i log di accesso per endpoint sospetti come /apimodular-connector/.

Questa discussione è aperta anche su Feddit in @informatica

Origin-mo: il trucco pigro che ha aperto 40.000 siti WordPress agli hacker - (in)sicurezza digitale

^{Dario Fadda (inSicurezzaDigitale.com)}