Una bomba a orologeria nascosta in Windows: Cos'è lo stato "Pre-crypted" e perché il BitLocker disattivato è un azzardo totale con i vostri dati

Acquistate un nuovo computer, aprite il Pannello di controllo per sicurezza, controllate lo stato della protezione e vedete una scritta inequivocabile: BitLocker: Disattivato. Fate un respiro profondo, pensando che i vostri dati siano al sicuro, il file system sia pulito e voi abbiate il pieno controllo del vostro hardware. Ma Microsoft sta giocando a un nascondino estremamente pericoloso con gli utenti. Sullo sfondo, infatti, ticca una minaccia digitale chiamata stato Pre-crypted (pre-crittografato).

Questo semilavorato dei moderni Windows rappresenta un azzardo silenzioso con i dati degli utenti, capace di privare un utente comune o un amministratore aziendale di tutti i propri file da un giorno all'altro, senza alcuna possibilità di recupero.

L'anatomia della trappola: Quando la serratura si trova accanto alla chiave (Clear Key)

Quando i produttori di hardware (come ASUS, Dell o HP) spediscono i nuovi dispositivi, attivano la cosiddetta Crittografia dispositivo (Device Encryption) per soddisfare le specifiche Microsoft. Immediatamente dopo l'installazione, Windows crittografa fisicamente il 100% della capacità del disco in background utilizzando l'algoritmo XTS-AES 128 o 256.

Tuttavia, per consentire all'utente di accedere per la prima volta e permettere al sistema di avviarsi normalmente senza fastidiose richieste di password, viene utilizzato un meccanismo chiamato Clear Key (chiave in chiaro). In questo stato:

• La chiave di ripristino reale e univoca a 48 cifre (protector) non esiste fisicamente affatto.
• La chiave di decrittografia si trova completamente non protetta e leggibile direttamente nei metadati sul disco stesso.
• Il comando manage-bde -status riporta: Protection Status: Protection Off, ma allo stesso tempo Percentage Encrypted: 100%.

Il Pannello di controllo mostra fiero "Disattivato" perché il sistema è in attesa. Aspetta il momento in cui l'utente accederà a un qualsiasi account cloud di Microsoft (ad esempio attivando MS Office, Teams o OneDrive). In quel preciso istante, Windows genera segretamente un codice di ripristino reale a 48 cifre, lo carica sul cloud Microsoft, cancella la Clear Key locale e blocca definitivamente la crittografia nel chip hardware TPM.

Se invece si rimane con un account locale, il disco resta in questo stato intermedio schizofrenico. Per i sistemi operativi alternativi (ad esempio quando si tenta di installare Linux Mint in configurazione dual-boot), il disco viene rilevato come danneggiato, bloccato o illeggibile.

Aggiornamenti del firmware: Il detonatore della bomba a orologeria

Perché si tratta di un vero e azzardato gioco con i dati? Questo intero meccanismo si affida all'assoluta integrità della scheda madre e del chip TPM. Eppure, la storia degli aggiornamenti di Windows è piena di fallimenti fatali in questo ambito.

Casi di studio e incidenti reali (come il famigerato aggiornamento KB5012170 per Secure Boot DBX, o i diffusi aggiornamenti firmware recenti sui laptop ASUS) mostrano lo stesso scenario:

1. Il computer esegue un aggiornamento automatico del BIOS/UEFI o un aggiornamento del microcodice del chip TPM.
2. Al riavvio successivo, il chip TPM rileva una modifica nell'integrità del sistema (registri PCR modificati) e si rifiuta di rilasciare la chiave per sbloccare il disco.
3. Windows crasha immediatamente in una schermata blu di Ripristino BitLocker, richiedendo tassativamente la chiave di ripristino a 48 cifre.

E qui sta la tragedia. Poiché il sistema si trovava in uno stato Pre-crypted, questa chiave a 48 cifre non è mai stata creata. Non esiste sulla carta, non esiste su nessun account Microsoft, non esiste da nessuna parte nell'universo. In quel momento, i dati sul disco sono matematicamente inviolabili. L'unica opzione è la completa distruzione della tabella delle partizioni (inizializzazione del disco tramite GParted in Linux) e una reinstallazione pulita. Tutti i dati vanno perduti.

Igiene digitale: Backup, backup e ancora backup

Questo dilettantismo sistemico dimostra chiaramente che affidarsi ai meccanismi interni di un singolo sistema operativo è una strada verso il disastro. L'unica vera difesa è una strategia di backup intransigente. Le basi dell'autodifesa digitale le trovate anche nel mio e-book "Autodifesa informatica nell'era dell'IA".

Opzioni per un backup sicuro:

• Backup locali isolati (Regola 3-2-1): Conservate almeno 3 copie dei dati, su 2 diversi tipi di supporti, con 1 copia situata fuori sede. Eseguite regolarmente il backup su dischi esterni che vengono scollegati fisicamente dal computer una volta completato il processo (proteggendo sia dai ransomware che dal collasso del sistema).
• Storage di rete (NAS) con versionamento: Utilizzate un sistema di storage NAS domestico o aziendale che supporti il file system Btrfs o ZFS, in grado di creare snapshot immutabili. Anche se Windows fallisce o si crittografa da solo, i dati possono essere ripristinati da uno snapshot NAS nel giro di pochi minuti.
• Backup cloud crittografati di terze parti: Se utilizzate il cloud, evitate l'integrazione forzata di OneDrive, che è strettamente legata all'ecosistema del sistema operativo. Utilizzate strumenti open-source (come Rclone o BorgBackup) per inviare backup crittografati e incrementali a provider di cloud storage indipendenti.

Come controllare e ripulire il disco adesso

Se il vostro sistema è ancora in funzione, ignorate il Pannello di controllo. Aprite il Prompt dei comandi come amministratore e digitate:

manage-bde -status C:

Se vedete Percentage Encrypted: 100.0% e Protection Off, inserite immediatamente il comando per decrittografarlo realmente:

manage-bde -off C:

Attendete fino a quando lo stato scende a 0.0%. Successivamente, disattivate l'Avvio rapido con il comando:

powercfg /h off

Solo allora il vostro hardware sarà veramente vostro e i vostri dati non saranno più ostaggio di un semilavorato aziendale.