<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Sicurezza on Arpokrat</title>
    <link>https://arpokrat.com/it/blog/tags/sicurezza/</link>
    <description>Recent content in Sicurezza on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>it</language><lastBuildDate>Mon, 22 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/it/blog/tags/sicurezza/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Quale sistema operativo per la sicurezza e la privacy? Windows, macOS, Linux, Tails, Whonix e Qubes OS a confronto</title>
      <link>https://arpokrat.com/it/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</link>
      <pubDate>Mon, 22 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/it/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</guid>
      <description>&lt;p&gt;La scelta di un sistema operativo non è solo una questione di preferenza d&amp;rsquo;interfaccia o di compatibilità software. È anche, e sempre più, una decisione che riguarda la sicurezza e la privacy. Ogni OS raccoglie dati in modo diverso, espone superfici d&amp;rsquo;attacco differenti e offre all&amp;rsquo;utente un livello di controllo molto variabile. Questo confronto analizza i principali sistemi sul mercato esclusivamente da questa prospettiva, dai più diffusi ai più specializzati.&lt;/p&gt;
&lt;h2 id=&#34;il-criterio-centrale-chi-controlla-il-vostro-sistema&#34;&gt;Il criterio centrale: chi controlla il vostro sistema?&lt;/h2&gt;
&lt;p&gt;Prima di entrare nel dettaglio di ciascun OS, un principio strutturante: la sicurezza di un sistema operativo dipende fondamentalmente da chi detiene il codice e da quali decisioni architetturali sono state prese in fase di progettazione. Un OS proprietario a codice chiuso (Windows, macOS) delega questa fiducia al proprio editore. Un OS open source delega questa fiducia alla comunità che ne verifica il codice. Un OS progettato per la sicurezza compartimentata (Qubes OS) parte dal presupposto che nessun componente del sistema debba essere considerato completamente affidabile.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;windows-11&#34;&gt;Windows 11&lt;/h2&gt;
&lt;h3 id=&#34;raccolta-dati-e-telemetria&#34;&gt;Raccolta dati e telemetria&lt;/h3&gt;
&lt;p&gt;Windows 11 è il sistema operativo desktop più utilizzato al mondo, e anche uno di quelli che raccoglie più dati per impostazione predefinita. Microsoft suddivide la propria telemetria in due categorie ufficiali:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Dati obbligatori&lt;/strong&gt; (non disattivabili nelle edizioni Home e Pro): configurazione hardware, identificatori del dispositivo, report di errori e stabilità, dati di aggiornamento e driver. Questi dati vengono trasmessi a Microsoft indipendentemente dalle preferenze dell&amp;rsquo;utente.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Dati facoltativi&lt;/strong&gt;: comportamento d&amp;rsquo;uso, interazioni con le applicazioni, dati di personalizzazione. Disattivabili nelle impostazioni, ma riattivati automaticamente durante alcuni aggiornamenti principali.&lt;/p&gt;
&lt;p&gt;Windows 11 24H2 ha introdotto diversi nuovi livelli di raccolta legati all&amp;rsquo;intelligenza artificiale:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Windows Recall&lt;/strong&gt;: scatta uno screenshot ogni cinque secondi per creare una cronologia consultabile di tutto ciò che è stato fatto sulla macchina. Disattivabile, ma attivato per impostazione predefinita e collegato a diritti di accesso estendibili da altre applicazioni&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Copilot&lt;/strong&gt;: ogni richiesta viene trasmessa ai server Microsoft, inclusi screenshot, testo selezionato e contesto delle applicazioni aperte&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Defender Cloud Protection&lt;/strong&gt;: invia hash di file sospetti e dati comportamentali al cloud Microsoft per l&amp;rsquo;analisi&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;La conclusione documentata da numerose fonti tecniche indipendenti è inequivocabile: è impossibile disattivare completamente la telemetria di Windows 11 nelle edizioni Home e Pro. L&amp;rsquo;unico modo per farlo è utilizzare un&amp;rsquo;edizione Enterprise o Education, applicare policy di gruppo specifiche, oppure ricorrere a strumenti di terze parti come O&amp;amp;O ShutUp10++ o WPD, con i rischi di instabilità che ciò può comportare.&lt;/p&gt;
&lt;h3 id=&#34;superficie-dattacco-e-sicurezza&#34;&gt;Superficie d&amp;rsquo;attacco e sicurezza&lt;/h3&gt;
&lt;p&gt;Windows 11 è il bersaglio della stragrande maggioranza dei malware, ransomware ed exploit disponibili nel mondo, in proporzione alla sua quota di mercato. Microsoft ha introdotto meccanismi di sicurezza significativi (TPM 2.0 obbligatorio, Secure Boot, VBS, Credential Guard), ma questi operano in un modello monolitico: una compromissione del kernel o di un servizio di sistema privilegiato colpisce l&amp;rsquo;intero ambiente.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Verdetto sicurezza/privacy:&lt;/strong&gt; sistema più esposto del confronto, telemetria non completamente disattivabile, modello di fiducia interamente delegato a Microsoft e alla giurisdizione statunitense.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;macos&#34;&gt;macOS&lt;/h2&gt;
&lt;h3 id=&#34;raccolta-dati-e-telemetria-1&#34;&gt;Raccolta dati e telemetria&lt;/h3&gt;
&lt;p&gt;Apple ha costruito parte della propria immagine di marketing sulla riservatezza. La realtà tecnica è più sfumata.&lt;/p&gt;
&lt;p&gt;macOS raccoglie molti meno dati di Windows per impostazione predefinita, ma la raccolta rimane reale e parzialmente non disattivabile:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Gatekeeper e verifica OCSP&lt;/strong&gt;: a ogni apertura di un&amp;rsquo;applicazione, macOS esegue una verifica online sui server Apple per confermare che l&amp;rsquo;applicazione non sia stata revocata. Questa richiesta trasmette informazioni sull&amp;rsquo;applicazione aperta e l&amp;rsquo;indirizzo IP del dispositivo. Nessuna impostazione nativa consente di disattivare queste verifiche senza interrompere la catena di sicurezza&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Analytics macOS&lt;/strong&gt;: raccolta di dati sull&amp;rsquo;utilizzo del sistema, disattivabile in Preferenze di Sistema &amp;gt; Privacy &amp;gt; Analisi&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Telemetria delle applicazioni Apple&lt;/strong&gt;: Maps, Siri, App Store e le altre applicazioni Apple integrate mantengono ciascuna la propria raccolta, con identificatori rotativi, indipendentemente dall&amp;rsquo;impostazione di analisi del sistema&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Per approfondire, gli esperti di sicurezza raccomandano l&amp;rsquo;utilizzo di un firewall applicativo (Little Snitch o LuLu, open source e gratuito) per monitorare e bloccare le connessioni in uscita applicazione per applicazione.&lt;/p&gt;
&lt;h3 id=&#34;superficie-dattacco-e-sicurezza-1&#34;&gt;Superficie d&amp;rsquo;attacco e sicurezza&lt;/h3&gt;
&lt;p&gt;macOS beneficia di diversi solidi meccanismi di sicurezza: System Integrity Protection (SIP) che protegge i file di sistema in sola lettura, Kernel Integrity Protection a livello hardware sui chip Apple Silicon, sandboxing delle applicazioni dell&amp;rsquo;App Store e Secure Enclave sulle macchine recenti. Il collegamento con un Apple ID è il principale vettore di raccolta dei dati personali.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Verdetto sicurezza/privacy:&lt;/strong&gt; migliore di Windows sulla telemetria predefinita, ma ancora soggetto alle verifiche OCSP non disattivabili, alla giurisdizione statunitense e al modello chiuso di Apple. Difficile da verificare in modo indipendente.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;linux-distribuzioni-generaliste&#34;&gt;Linux (distribuzioni generaliste)&lt;/h2&gt;
&lt;p&gt;Linux non è un unico sistema operativo, ma un kernel su cui vengono costruite distribuzioni molto diverse tra loro. Dal punto di vista della sicurezza e della privacy, condividono una base comune ma divergono su diversi punti.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Ubuntu&lt;/strong&gt; è la distribuzione più popolare per i principianti. Nel 2012 ha scatenato una controversia inviando le ricerche locali ai server Amazon, comportamento successivamente rimosso. Ubuntu mantiene una propria raccolta di dati d&amp;rsquo;uso (whoopsie, ubuntu-report), disattivabile, e integra strettamente i propri repository Snap controllati da Canonical Ltd.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Debian&lt;/strong&gt; è la base su cui è costruito Ubuntu, senza i livelli aggiuntivi di Canonical. Governata da un progetto comunitario senza scopo di lucro, con un impegno rigoroso verso il software libero, non raccoglie alcuna telemetria per impostazione predefinita. La sua politica di aggiornamenti conservativa è generalmente preferibile in termini di superficie d&amp;rsquo;attacco.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Fedora&lt;/strong&gt;, sponsorizzata da Red Hat (filiale di IBM), è tecnicamente moderna con un ciclo di aggiornamenti rapido. Nessuna telemetria per impostazione predefinita, ma il rapporto con Red Hat/IBM introduce una dipendenza aziendale da tenere in considerazione.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Linux Mint&lt;/strong&gt;, derivata da Ubuntu, è progettata per gli utenti provenienti da Windows. Ha rimosso i componenti più controversi di Ubuntu (Snap è assente per impostazione predefinita) e non introduce telemetria propria.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Arch Linux&lt;/strong&gt; si rivolge agli utenti avanzati con una filosofia minimalista: l&amp;rsquo;utente installa solo ciò di cui ha bisogno. Nessuna telemetria, aggiornamenti continui (rolling release), totale libertà di personalizzazione.&lt;/p&gt;
&lt;h3 id=&#34;ciò-che-linux-apporta-fondamentalmente&#34;&gt;Ciò che Linux apporta fondamentalmente&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Codice sorgente aperto e verificabile&lt;/strong&gt;: qualsiasi ricercatore di sicurezza può ispezionare il codice del kernel e dei componenti principali&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Assenza di telemetria imposta&lt;/strong&gt;: nessuna distribuzione principale forza una raccolta di dati non disattivabile&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Modello di permessi più rigoroso&lt;/strong&gt; per impostazione predefinita: utilizzo di un account root separato dalle attività quotidiane&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Superficie d&amp;rsquo;attacco ridotta&lt;/strong&gt;: Linux è meno preso di mira dai malware di massa&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;Verdetto sicurezza/privacy:&lt;/strong&gt; nettamente superiore a Windows e macOS sulla raccolta dati. Nessuna distribuzione generalista protegge dalla compromissione di un&amp;rsquo;applicazione che si estende all&amp;rsquo;intero sistema.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;tails-os&#34;&gt;Tails OS&lt;/h2&gt;
&lt;h3 id=&#34;filosofia-lamnesia-come-protezione&#34;&gt;Filosofia: l&amp;rsquo;amnesia come protezione&lt;/h3&gt;
&lt;p&gt;Tails, acronimo di &lt;em&gt;The Amnesic Incognito Live System&lt;/em&gt;, è un sistema operativo basato su Debian che nel 2024 si è fuso con il Tor Project. La sua filosofia è radicalmente diversa da tutti gli altri OS: piuttosto che tentare di proteggere un ambiente persistente, elimina qualsiasi persistenza per impostazione predefinita. &lt;strong&gt;Tails esiste solo per la durata di una sessione.&lt;/strong&gt;&lt;/p&gt;
&lt;h3 id=&#34;architettura-tecnica&#34;&gt;Architettura tecnica&lt;/h3&gt;
&lt;p&gt;Tails si esegue interamente da una chiavetta USB (minimo 8 GB) e gira completamente in RAM. Quando lo si spegne, non rimane alcuna traccia sulla macchina host: né file temporanei, né cronologia, né credenziali, né artefatti forensici sul disco rigido del PC utilizzato. Non importa se quel PC è compromesso a livello software: Tails non scrive mai sul suo disco.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Tor per impostazione predefinita e senza eccezioni&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Tutto il traffico di rete di Tails viene sistematicamente instradato attraverso la rete Tor. Se un&amp;rsquo;applicazione tenta di stabilire una connessione diretta aggirando Tor, Tails la blocca. Non è possibile utilizzare Tails per navigare senza Tor, nemmeno per errore.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Lo storage persistente cifrato (opzionale)&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Per impostazione predefinita, Tails dimentica tutto a ogni spegnimento. Per gli utenti che necessitano di conservare alcuni dati tra le sessioni, Tails offre uno &lt;strong&gt;Persistent Storage&lt;/strong&gt;: un volume cifrato (LUKS) creato sulla chiavetta USB stessa, protetto da una passphrase. L&amp;rsquo;utente sceglie con precisione cosa vi viene memorizzato: alcuni file, configurazioni di applicazioni, chiavi PGP, ecc. Questo storage persistente non modifica la natura amnesica di Tails nei confronti della macchina host; riguarda solo ciò che viene conservato sulla chiavetta USB tra due sessioni.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Strumenti preinstallati&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Tails viene fornito con un insieme di strumenti preconfigurati: Tor Browser, client di messaggistica cifrata, strumento di cifratura dei file (Kleopatra/GnuPG), client di messaggistica sicura e LibreOffice per la produttività. Non è necessario installare software aggiuntivo per un utilizzo quotidiano ad alta sicurezza.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Nota tecnica 2026:&lt;/strong&gt; Tails 7.7 ha aggiunto una notifica per i certificati Secure Boot obsoleti, poiché le chiavi Microsoft del 2011 iniziano a scadere a giugno 2026. Gli utenti il cui firmware UEFI non è aggiornato rischiano di non poter più avviare Tails su alcune macchine.&lt;/p&gt;
&lt;h3 id=&#34;cosa-tails-protegge-e-cosa-no&#34;&gt;Cosa Tails protegge e cosa no&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Minaccia&lt;/th&gt;
					&lt;th&gt;Protezione Tails&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Analisi forense del disco host dopo sequestro&lt;/td&gt;
					&lt;td&gt;Totale: il disco host non viene mai toccato&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Sorveglianza di rete (IP, siti visitati)&lt;/td&gt;
					&lt;td&gt;Forte tramite Tor, ma dipende dalla robustezza di Tor&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Malware persistente sulla macchina host&lt;/td&gt;
					&lt;td&gt;Aggirata: Tails non utilizza il sistema installato&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Malware BIOS/UEFI (firmware compromesso)&lt;/td&gt;
					&lt;td&gt;Nulla: Tails non può proteggere contro il firmware della macchina utilizzata&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Errore umano (accesso a un account personale)&lt;/td&gt;
					&lt;td&gt;Nulla: se ci si connette a Gmail sotto Tails, si de-anonimizza la sessione&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Compromissione di un software nella sessione&lt;/td&gt;
					&lt;td&gt;Limitata alla sessione corrente, distrutta allo spegnimento&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;limiti-onesti&#34;&gt;Limiti onesti&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;Tails non è adatto a un uso quotidiano: l&amp;rsquo;assenza di persistenza implica di riconfigurare l&amp;rsquo;ambiente a ogni avvio&lt;/li&gt;
&lt;li&gt;Un malware di tipo BIOS o firmware (come un impianto a livello UEFI) può potenzialmente compromettere una sessione Tails, poiché Tails non controlla il livello firmware della macchina su cui gira&lt;/li&gt;
&lt;li&gt;Accedere a un account personale (email, social network) annulla l&amp;rsquo;anonimato della sessione, indipendentemente da Tor&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;per-chi&#34;&gt;Per chi?&lt;/h3&gt;
&lt;p&gt;Giornalisti che lavorano con fonti tramite SecureDrop, attivisti sotto sorveglianza in regimi repressivi, chiunque abbia bisogno di una sessione occasionale ad alta sensibilità su hardware non controllato. Utilizzato da Glenn Greenwald e Laura Poitras per trattare i documenti Snowden, raccomandato dall&amp;rsquo;EFF, dalla Freedom of the Press Foundation e dal Tor Project.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Verdetto:&lt;/strong&gt; strumento di prima scelta per le sessioni occasionali ad alta sensibilità. Non un OS principale per uso quotidiano.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;whonix&#34;&gt;Whonix&lt;/h2&gt;
&lt;h3 id=&#34;filosofia-lanonimato-strutturale-tramite-isolamento-di-rete&#34;&gt;Filosofia: l&amp;rsquo;anonimato strutturale tramite isolamento di rete&lt;/h3&gt;
&lt;p&gt;Whonix risponde a una domanda diversa rispetto a Tails: piuttosto che eliminare ogni traccia dopo la sessione, si assicura che un malware in esecuzione nell&amp;rsquo;ambiente di lavoro &lt;strong&gt;non possa strutturalmente conoscere il vero indirizzo IP dell&amp;rsquo;utente&lt;/strong&gt;, anche se dispone dei diritti root sulla macchina virtuale di lavoro.&lt;/p&gt;
&lt;p&gt;Whonix è basato su Debian (tramite KickSecure, una versione rafforzata di Debian sviluppata dallo stesso team) e funziona all&amp;rsquo;interno di un hypervisor di tipo 2 (VirtualBox, KVM) su qualsiasi OS host, oppure nativamente in Qubes OS come tipo 1.&lt;/p&gt;
&lt;h3 id=&#34;larchitettura-a-due-vm&#34;&gt;L&amp;rsquo;architettura a due VM&lt;/h3&gt;
&lt;p&gt;Il principio centrale di Whonix è una &lt;strong&gt;separazione rigorosa tra il livello di rete e il livello applicativo&lt;/strong&gt;, implementata tramite due macchine virtuali distinte:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Gateway&lt;/strong&gt; è la prima VM. Esegue il demone Tor e funge esclusivamente da gateway di rete. È l&amp;rsquo;unica VM ad avere accesso a Internet. Non contiene alcuna applicazione utente. Il suo unico ruolo è intercettare tutto il traffico di rete in entrata e in uscita e forzarlo a transitare attraverso Tor.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Workstation&lt;/strong&gt; è la seconda VM. È l&amp;rsquo;ambiente di lavoro: browser, messaggistica, elaborazione di file, sviluppo. È connessa a Internet solo tramite la rete virtuale interna che punta verso Whonix-Gateway. Non ha alcun accesso diretto a Internet, nessuna capacità di connessione che aggiri il Gateway.&lt;/p&gt;
&lt;p&gt;Ecco cosa accade durante una richiesta di rete dalla Workstation:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;L&amp;rsquo;applicazione emette una richiesta di rete&lt;/li&gt;
&lt;li&gt;La Workstation la trasmette tramite la propria interfaccia di rete interna verso il Gateway&lt;/li&gt;
&lt;li&gt;Il Gateway intercetta la richiesta e la reindirizza attraverso Tor (tre relay successivi)&lt;/li&gt;
&lt;li&gt;La risposta ritorna attraverso lo stesso percorso in senso inverso&lt;/li&gt;
&lt;li&gt;La Workstation riceve la risposta senza aver mai avuto conoscenza del vero indirizzo IP di uscita&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;strong&gt;La garanzia fondamentale&lt;/strong&gt;: anche se un malware compromette la Workstation con diritti root, non può conoscere il vero indirizzo IP dell&amp;rsquo;utente, perché la Workstation stessa non vi ha mai accesso. La Workstation vede solo l&amp;rsquo;indirizzo IP interno del Gateway.&lt;/p&gt;
&lt;h3 id=&#34;i-meccanismi-di-sicurezza-aggiuntivi&#34;&gt;I meccanismi di sicurezza aggiuntivi&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Stream isolation&lt;/strong&gt;: Whonix utilizza circuiti Tor distinti per diverse applicazioni (il browser non utilizza lo stesso circuito del client email, ecc.), il che impedisce la correlazione del traffico tra diverse attività.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Boot clock randomization&lt;/strong&gt;: l&amp;rsquo;orologio di sistema della Workstation viene leggermente sfasato in modo casuale a ogni avvio per prevenire attacchi di timing basati sull&amp;rsquo;ora esatta del sistema.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;sdwdate&lt;/strong&gt;: Whonix utilizza il proprio demone di sincronizzazione dell&amp;rsquo;ora (sdwdate) che recupera l&amp;rsquo;ora tramite Tor da server onion, invece del classico NTP che potrebbe far trapelare l&amp;rsquo;indirizzo IP.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;AppArmor&lt;/strong&gt;: profili AppArmor rafforzano il sandboxing delle applicazioni critiche come Tor Browser a livello di sistema.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;VM usa e getta&lt;/strong&gt;: Whonix supporta Workstation usa e getta (&lt;em&gt;Whonix-Workstation DispVM&lt;/em&gt; in Qubes-Whonix) per compiti occasionali senza persistenza, simili all&amp;rsquo;approccio Tails ma in un ambiente altrimenti persistente.&lt;/p&gt;
&lt;h3 id=&#34;le-tre-modalità-di-distribuzione&#34;&gt;Le tre modalità di distribuzione&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Whonix su VirtualBox o KVM (Tipo 2)&lt;/strong&gt;: la modalità più accessibile. Le due VM girano su un OS host esistente (Windows, Linux, macOS). Pratico, ma introduce un ulteriore livello di fiducia nell&amp;rsquo;OS host: se l&amp;rsquo;host è compromesso, la protezione di Whonix può essere aggirata.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Qubes-Whonix (Tipo 1, raccomandato)&lt;/strong&gt;: Whonix è integrato nativamente in Qubes OS come template. Il Gateway diventa un ProxyVM (sys-whonix) e la Workstation un AppQube (anon-whonix). È la configurazione più robusta perché l&amp;rsquo;isolamento si basa sull&amp;rsquo;hypervisor Xen bare-metal piuttosto che su un hypervisor di tipo 2 in esecuzione su un OS host potenzialmente vulnerabile. È la combinazione raccomandata da entrambi i progetti.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Isolamento fisico (modalità avanzata)&lt;/strong&gt;: il Gateway e la Workstation girano su due macchine fisiche distinte, collegate da un cavo Ethernet. La Workstation non ha alcuna scheda di rete tranne quella collegata al Gateway. Questa modalità riduce drasticamente la base di fiducia, ma richiede due macchine dedicate.&lt;/p&gt;
&lt;h3 id=&#34;cosa-whonix-protegge-e-cosa-no&#34;&gt;Cosa Whonix protegge e cosa no&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Minaccia&lt;/th&gt;
					&lt;th&gt;Protezione Whonix&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Perdita dell&amp;rsquo;indirizzo IP dalla Workstation&lt;/td&gt;
					&lt;td&gt;Strutturalmente impossibile per architettura&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;DNS leak&lt;/td&gt;
					&lt;td&gt;Impossibile: tutto il DNS passa per Tor tramite il Gateway&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Malware root sulla Workstation che cerca l&amp;rsquo;IP reale&lt;/td&gt;
					&lt;td&gt;Nulla: non lo troverà&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Compromissione del Gateway stesso&lt;/td&gt;
					&lt;td&gt;Parziale: se il Gateway è compromesso, l&amp;rsquo;IP può trapelare&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Compromissione dell&amp;rsquo;OS host (in modalità Tipo 2)&lt;/td&gt;
					&lt;td&gt;Nulla: un host compromesso può osservare entrambe le VM&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;De-anonimizzazione per comportamento dell&amp;rsquo;utente&lt;/td&gt;
					&lt;td&gt;Nulla: Whonix non protegge dagli errori umani&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Analisi forense del disco dopo sequestro&lt;/td&gt;
					&lt;td&gt;Parziale: Whonix è persistente per impostazione predefinita, tranne le VM usa e getta&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;limiti-onesti-1&#34;&gt;Limiti onesti&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;Whonix non elimina le tracce sul disco: è persistente per impostazione predefinita (a differenza di Tails). Se la macchina viene sequestrata e la cifratura del disco host è assente o debole, i dati delle VM sono recuperabili&lt;/li&gt;
&lt;li&gt;In modalità Tipo 2 (VirtualBox/KVM su un OS host), la sicurezza di Whonix è limitata dalla sicurezza dell&amp;rsquo;OS host. Un host compromesso può potenzialmente osservare il traffico tra le due VM&lt;/li&gt;
&lt;li&gt;Le prestazioni sono influenzate dalla doppia virtualizzazione e dall&amp;rsquo;instradamento tramite Tor: le connessioni sono lente, i download voluminosi difficili nel quotidiano&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;per-chi-1&#34;&gt;Per chi?&lt;/h3&gt;
&lt;p&gt;Chiunque abbia bisogno di un ambiente di lavoro persistente con anonimato di rete strutturale: sviluppo di software sensibile, ricerca sotto pseudonimo prolungato, gestione di più identità digitali distinte, server onion. La combinazione Qubes-Whonix è considerata da molti esperti di sicurezza come l&amp;rsquo;ambiente di lavoro anonimo più robusto attualmente disponibile per un uso quotidiano.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Verdetto:&lt;/strong&gt; l&amp;rsquo;OS di riferimento per l&amp;rsquo;anonimato di rete strutturale in un ambiente persistente. Complementare a Tails (che gestisce le sessioni occasionali), non concorrente.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;qubes-os&#34;&gt;Qubes OS&lt;/h2&gt;
&lt;h3 id=&#34;filosofia-la-sicurezza-attraverso-la-compartimentazione&#34;&gt;Filosofia: la sicurezza attraverso la compartimentazione&lt;/h3&gt;
&lt;p&gt;Qubes OS rappresenta un approccio fondamentalmente diverso da tutti i sistemi precedenti. Mentre gli altri OS tentano di prevenire le compromissioni, Qubes parte da un postulato radicalmente diverso: &lt;strong&gt;la compromissione di alcuni componenti è inevitabile. L&amp;rsquo;obiettivo è garantire che non possa propagarsi.&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Creato nel 2012 dalla ricercatrice di sicurezza Joanna Rutkowska, Qubes OS è raccomandato pubblicamente da Edward Snowden, tra gli altri professionisti della sicurezza.&lt;/p&gt;
&lt;h3 id=&#34;larchitettura-tecnica&#34;&gt;L&amp;rsquo;architettura tecnica&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;L&amp;rsquo;hypervisor Xen come livello di base&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Qubes non è una distribuzione Linux nel senso classico. Utilizza l&amp;rsquo;&lt;strong&gt;hypervisor Xen&lt;/strong&gt;, un software di virtualizzazione bare-metal che viene eseguito direttamente sull&amp;rsquo;hardware, senza OS host intermedio, per creare macchine virtuali leggere chiamate &lt;strong&gt;qubes&lt;/strong&gt;. L&amp;rsquo;isolamento tra i qubes è applicato a livello hardware, tramite le tecnologie &lt;strong&gt;Intel VT-x/VT-d&lt;/strong&gt; e &lt;strong&gt;AMD-Vi (IOMMU)&lt;/strong&gt;, che impediscono alle VM di accedere alla memoria o ai dispositivi delle altre VM senza esplicita autorizzazione.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;dom0: il dominio di massima fiducia&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Al vertice della gerarchia si trova &lt;strong&gt;dom0&lt;/strong&gt;, un dominio privilegiato da cui viene eseguito il gestore del desktop. dom0 gestisce la visualizzazione di tutte le finestre degli altri qubes. Per sicurezza, dom0 non ha &lt;strong&gt;alcuna connessione di rete&lt;/strong&gt; e non esegue alcuna applicazione utente. Serve solo per orchestrare la visualizzazione e la gestione dei domini.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;I qubes: compartimenti stagni&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;L&amp;rsquo;utente definisce quanti qubes ritiene necessari, ciascuno corrispondente a un contesto di fiducia:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Un qube &lt;strong&gt;&amp;ldquo;lavoro&amp;rdquo;&lt;/strong&gt; per le applicazioni professionali&lt;/li&gt;
&lt;li&gt;Un qube &lt;strong&gt;&amp;ldquo;personale&amp;rdquo;&lt;/strong&gt; per email e social network&lt;/li&gt;
&lt;li&gt;Un qube &lt;strong&gt;&amp;ldquo;banca&amp;rdquo;&lt;/strong&gt; dedicato esclusivamente alle transazioni finanziarie&lt;/li&gt;
&lt;li&gt;Un qube &lt;strong&gt;&amp;ldquo;non fidato&amp;rdquo;&lt;/strong&gt; per aprire allegati sospetti&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Qubes usa e getta&lt;/strong&gt; che scompaiono integralmente alla chiusura&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Ogni qube dispone del proprio stack di rete, del proprio spazio di memoria e dei propri processi. Un malware che compromette il qube &amp;ldquo;non fidato&amp;rdquo; è confinato a quel qube. Non può accedere ai file del qube &amp;ldquo;lavoro&amp;rdquo;, né attraversare verso altri domini.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Il codice colore visivo&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Ogni finestra mostra un bordo colorato corrispondente al dominio di fiducia del proprio qube: rosso per i domini non fidati, verde per i domini isolati ad alta sicurezza, giallo per i domini semi-fidati. Questo semplice sistema visivo consente di sapere in qualsiasi momento in quale contesto si sta operando.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;I template e la gestione centralizzata&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;I qubes non contengono la propria installazione completa di OS: condividono dei &lt;strong&gt;template&lt;/strong&gt; (Fedora, Debian e Whonix per impostazione predefinita). Gli aggiornamenti di sicurezza vengono applicati al template, e tutti i qubes basati su quel template ne beneficiano automaticamente.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;PCI passthrough e isolamento hardware&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Mentre gli OS classici fanno funzionare i driver hardware nello stesso spazio delle applicazioni utente, Qubes assegna ogni dispositivo fisico (scheda di rete, controller USB) a un qube dedicato tramite PCI passthrough. Un driver di rete compromesso non può accedere ai dati degli altri qubes.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Integrazione Whonix&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Qubes integra nativamente Whonix come template, consentendo di instradare il traffico di qualsiasi qube attraverso Tor in modo trasparente. È la configurazione Qubes-Whonix descritta nella sezione precedente.&lt;/p&gt;
&lt;h3 id=&#34;cosa-qubes-protegge-realmente&#34;&gt;Cosa Qubes protegge realmente&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Scenario d&amp;rsquo;attacco&lt;/th&gt;
					&lt;th&gt;OS classico&lt;/th&gt;
					&lt;th&gt;Qubes OS&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Malware in un allegato PDF&lt;/td&gt;
					&lt;td&gt;Accesso potenziale all&amp;rsquo;intero sistema&lt;/td&gt;
					&lt;td&gt;Confinato al qube &amp;ldquo;non fidato&amp;rdquo;, distrutto alla chiusura&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Sfruttamento di un browser web&lt;/td&gt;
					&lt;td&gt;Accesso al profilo utente, ai file&lt;/td&gt;
					&lt;td&gt;Confinato al qube browser&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Compromissione di un driver di rete&lt;/td&gt;
					&lt;td&gt;Accesso alla memoria di sistema&lt;/td&gt;
					&lt;td&gt;Confinato al qube di rete tramite PCI passthrough&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Chiave PGP rubata&lt;/td&gt;
					&lt;td&gt;Se il software di firma è compromesso, sì&lt;/td&gt;
					&lt;td&gt;No, se la chiave è in un qube dedicato senza rete&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Perdita tra applicazioni&lt;/td&gt;
					&lt;td&gt;Possibile tramite IPC, memoria condivisa&lt;/td&gt;
					&lt;td&gt;Impossibile tra qubes distinti&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;limiti-onesti-2&#34;&gt;Limiti onesti&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Qubes non protegge contro una compromissione di dom0&lt;/strong&gt;: se l&amp;rsquo;hypervisor Xen stesso viene compromesso, l&amp;rsquo;isolamento può essere violato (bollettino QSB-115 del 9 giugno 2026, relativo a una vulnerabilità XSA-491)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Nessun isolamento all&amp;rsquo;interno dello stesso qube&lt;/strong&gt;: due applicazioni nello stesso qube non sono isolate l&amp;rsquo;una dall&amp;rsquo;altra&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Requisiti hardware significativi&lt;/strong&gt;: processore con supporto VT-x/VT-d, minimo 16 GB di RAM (32 GB raccomandati), 32 GB di storage. Le macchine Apple Silicon non sono supportate&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Curva di apprendimento reale&lt;/strong&gt;: il copia-incolla tra qubes richiede un&amp;rsquo;azione consapevole, l&amp;rsquo;installazione di software passa attraverso i template&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;per-chi-2&#34;&gt;Per chi?&lt;/h3&gt;
&lt;p&gt;Qubes OS è progettato per profili il cui modello di minaccia include avversari seri: giornalisti che lavorano con fonti sensibili, avvocati che gestiscono fascicoli riservati, ricercatori di sicurezza, professionisti che trattano segreti industriali o diplomatici.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Verdetto:&lt;/strong&gt; lo standard di riferimento per la sicurezza di una postazione di lavoro personale contro avversari capaci. La combinazione Qubes + Whonix è considerata come l&amp;rsquo;ambiente più robusto attualmente disponibile.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;come-questi-sistemi-si-combinano&#34;&gt;Come questi sistemi si combinano&lt;/h2&gt;
&lt;p&gt;È importante capire che questi OS non sono esclusivamente alternativi: rispondono a esigenze diverse e spesso si combinano.&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Qubes + Whonix&lt;/strong&gt;: la combinazione più robusta per un uso quotidiano ad alta sicurezza. Qubes gestisce la compartimentazione, Whonix gestisce l&amp;rsquo;anonimato di rete all&amp;rsquo;interno di alcuni qubes&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Qubes + Tails&lt;/strong&gt;: alcuni utenti avanzati utilizzano Qubes come OS principale e avviano Tails da un qube dedicato per sessioni occasionali particolarmente sensibili&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Linux + Whonix in VM&lt;/strong&gt;: un punto d&amp;rsquo;ingresso accessibile all&amp;rsquo;anonimato di rete strutturale senza la complessità completa di Qubes&lt;/li&gt;
&lt;/ul&gt;
&lt;hr&gt;
&lt;h2 id=&#34;tabella-riepilogativa&#34;&gt;Tabella riepilogativa&lt;/h2&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Criterio&lt;/th&gt;
					&lt;th&gt;Windows 11&lt;/th&gt;
					&lt;th&gt;macOS&lt;/th&gt;
					&lt;th&gt;Linux (Debian)&lt;/th&gt;
					&lt;th&gt;Tails&lt;/th&gt;
					&lt;th&gt;Whonix&lt;/th&gt;
					&lt;th&gt;Qubes OS&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Telemetria predefinita&lt;/td&gt;
					&lt;td&gt;Importante, non completamente disattivabile&lt;/td&gt;
					&lt;td&gt;Moderata, parzialmente non disattivabile&lt;/td&gt;
					&lt;td&gt;Nulla&lt;/td&gt;
					&lt;td&gt;Nulla&lt;/td&gt;
					&lt;td&gt;Nulla&lt;/td&gt;
					&lt;td&gt;Nulla&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Codice sorgente verificabile&lt;/td&gt;
					&lt;td&gt;No&lt;/td&gt;
					&lt;td&gt;No&lt;/td&gt;
					&lt;td&gt;Sì&lt;/td&gt;
					&lt;td&gt;Sì&lt;/td&gt;
					&lt;td&gt;Sì&lt;/td&gt;
					&lt;td&gt;Sì&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Persistenza dei dati&lt;/td&gt;
					&lt;td&gt;Permanente&lt;/td&gt;
					&lt;td&gt;Permanente&lt;/td&gt;
					&lt;td&gt;Permanente&lt;/td&gt;
					&lt;td&gt;Nulla per impostazione predefinita&lt;/td&gt;
					&lt;td&gt;Permanente (VM)&lt;/td&gt;
					&lt;td&gt;Permanente per qube&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Anonimato di rete&lt;/td&gt;
					&lt;td&gt;Nessuno&lt;/td&gt;
					&lt;td&gt;Nessuno&lt;/td&gt;
					&lt;td&gt;Nessuno&lt;/td&gt;
					&lt;td&gt;Forte (Tor forzato)&lt;/td&gt;
					&lt;td&gt;Strutturale (Tor forzato)&lt;/td&gt;
					&lt;td&gt;Tramite integrazione Whonix&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Isolamento tra applicazioni&lt;/td&gt;
					&lt;td&gt;Debole&lt;/td&gt;
					&lt;td&gt;Moderato&lt;/td&gt;
					&lt;td&gt;Debole&lt;/td&gt;
					&lt;td&gt;Moderato&lt;/td&gt;
					&lt;td&gt;Moderato&lt;/td&gt;
					&lt;td&gt;Forte (hypervisor)&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Resistenza alla compromissione&lt;/td&gt;
					&lt;td&gt;Debole&lt;/td&gt;
					&lt;td&gt;Moderata&lt;/td&gt;
					&lt;td&gt;Moderata&lt;/td&gt;
					&lt;td&gt;Elevata (amnesica)&lt;/td&gt;
					&lt;td&gt;Elevata (isolamento di rete)&lt;/td&gt;
					&lt;td&gt;Elevata (compartimentazione)&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Facilità d&amp;rsquo;uso&lt;/td&gt;
					&lt;td&gt;Elevata&lt;/td&gt;
					&lt;td&gt;Elevata&lt;/td&gt;
					&lt;td&gt;Media&lt;/td&gt;
					&lt;td&gt;Media&lt;/td&gt;
					&lt;td&gt;Da bassa a media&lt;/td&gt;
					&lt;td&gt;Bassa&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Hardware richiesto&lt;/td&gt;
					&lt;td&gt;Standard&lt;/td&gt;
					&lt;td&gt;Solo Mac&lt;/td&gt;
					&lt;td&gt;Standard&lt;/td&gt;
					&lt;td&gt;Standard + USB&lt;/td&gt;
					&lt;td&gt;Standard + RAM&lt;/td&gt;
					&lt;td&gt;x86-64 con VT-d, 16+ GB RAM&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Profilo adatto&lt;/td&gt;
					&lt;td&gt;Uso generale&lt;/td&gt;
					&lt;td&gt;Uso generale&lt;/td&gt;
					&lt;td&gt;Profilo intermedio&lt;/td&gt;
					&lt;td&gt;Sessioni occasionali sensibili&lt;/td&gt;
					&lt;td&gt;Anonimato di rete persistente&lt;/td&gt;
					&lt;td&gt;Alta sicurezza quotidiana&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;hr&gt;
&lt;p&gt;La scelta di un OS in funzione della sicurezza non è una decisione binaria. È un allineamento tra un modello di minaccia reale e i compromessi accettabili in termini di compatibilità e comodità d&amp;rsquo;uso. Per la grande maggioranza degli utenti, una distribuzione Linux ben configurata offre già un livello di protezione radicalmente superiore a Windows 11 o macOS. Per i profili ad alta sensibilità&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>