Wickr, cos’è e come funziona l’alternativa a WhatsApp a prova di intercettazione - Cyber Security 360

LA GUIDA PRATICA

Wickr, cos’è e come funziona l’alternativa a WhatsApp a prova di intercettazione

Wickr è una app di messaggistica istantanea con un obiettivo ben preciso: garantire la sicurezza e la privacy delle comunicazioni tra i suoi utenti grazie alla crittografia più forte e avanzata tra le applicazioni di questo tipo. Ecco come funziona e come usarla al meglio

15 Feb 2021
Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Scientifico CLUSIT

Sono tantissimi gli utenti che, in seguito all’aggiornamento dei termini d’uso e dell’informativa privacy proposto improvvidamente da WhatsApp e poi rimandato al prossimo 15 maggio 2021 dopo le numerose polemiche suscitate, stanno migrando verso altre piattaforme di messaggistica ritenute a torto o a ragione più sicure, su tutte Signal e Telegram: esistono, tuttavia, altre applicazioni di messaggistica che puntano alla sicurezza e alla privacy: Wickr, Wire e Threema sono le scelte migliori, con Wickr che è quella dotata della crittografia più forte ed avanzata, pur non risultando la più semplice nell’utilizzo.

Wickr: lo strumento di collaborazione più sicuro al mondo

Wickr viene considerata tra le app di messaggistica istantanea più sicure: è utilizzata anche dal dipartimento della difesa degli Stati Uniti e dichiarata dalla National Security Agency come lo “strumento di collaborazione più sicuro al mondo”.

Chris Howell (cofondatore e Chief Technical Officer di Wickr) afferma che “i clienti governativi e aziendali la scelgono perché è la piattaforma di comunicazione con la crittografia end-to-end più sicura al mondo”.

Wickr è disponibile per iPhone e Android ed ha l’applicazione desktop, anche per Linux: non richiede per la registrazione né il numero di telefono, né un’e-mail: è sufficiente impostare un nickname. Ciò può rendere difficile il riconoscimento dell’utente, a meno che non sia lo stesso utente a comunicarci il suo nickname. Per questo, esiste l’opzione – facoltativa – dell’inserimento del proprio numero di telefono, per poter essere trovati più facilmente dagli altri utenti.

La versione Pro di Wickr richiede l’inserimento di un indirizzo e-mail per creare il Wickr Pro ID.

Dopo essere stata criticata per aver mantenuto il proprio codice come closed source, nel 2017 Wickr ha finalmente reso disponibile il proprio codice sorgente su GitHub.

Dal 2017 Wickr viene anche sottoposta ad assessment di sicurezza da parte di NCC Group, azienda inglese specializzata in cyber security.

Bot personalizzati e messaggi a scomparsa

Come Telegram, Wickr permette agli sviluppatori di creare bot personalizzati all’interno della rete Wickr, utilizzando il software di integrazione Wickr IO che è pubblico.

È stata una delle prime app ad implementare i messaggi a scomparsa: si può impostare una durata (da 6 ore a 6 giorni) per i messaggi inviati, che alla scadenza si autodistruggono, senza lasciare traccia. Inoltre, oltre all’Expiration Timer, esiste un’ulteriore opzione definita Burn-On-Read Timer, anche questa da impostare prima dell’invio del messaggio: serve a far cancellare il messaggio dopo che il ricevente l’ha letto. Questo timer, che può essere da 3 secondi a 6 giorni, deve essere sempre minore o uguale all’Expiration Timer.

Wickr: crittografia e sicurezza

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza
Backup

L’applicazione implementa la crittografia E2E anche sulle chiamate, videochiamate e sulla messaggistica vocale. È considerata tra le più sicure perché dotata di una crittografia molto forte: il Wickr Secure Messaging Protocol illustrato con grande dettaglio dalla stessa Wickr.

Usa sia la crittografia simmetrica AES 256 sia quella asimmetrica a curve ellittiche. In pratica, la crittografia utilizzata impedisce a chi dovesse rubare o sequestrare (un’autorità di polizia con un mandato) il dispositivo di leggere i messaggi. Appunto perché Wickr non li conosce (Wickr la definisce “ignorance by design”).

Wickr crea un database di archiviazione crittografato su ogni dispositivo per memorizzare i dati sensibili come le chiavi d’identità, i messaggi e i dati dell’account. Questo database viene decriptato durante le sessioni di accesso attive e il suo contenuto viene utilizzato per le normali operazioni.

Quando l’utente si disconnette, il database viene nuovamente criptato con una chiave che viene rimossa dalla memoria locale. In questo modo, il materiale sensibile è sempre criptato anche quando l’app Wickr non è attiva. I messaggi e le chiavi di crittografia sono disponibili solo nelle applicazioni Wickr e non vengono rivelati in rete o nei server di Wickr.

I messaggi sono cifrati con crittografia simmetrica usando chiavi generate casualmente. Le chiavi simmetriche casuali del messaggio vengono trasmesse ai destinatari usando una crittografia asimmetrica. Per decifrare i messaggi, i riceventi invertono il processo, usando la crittografia asimmetrica per estrarre le chiavi casuali e poi le chiavi casuali per decifrare il testo cifrato.

Crittografia end-to-end anche nelle chat di gruppo

La messaggistica di gruppo è supportata nello stesso modo, criptando un messaggio, criptando la chiave di quel messaggio più volte (per più nodi), impacchettando e inviando un singolo messaggio a più nodi.

Il Wickr Secure Message Protocol può essere inteso come una comunicazione da nodo a nodo piuttosto che da utente a utente. Un utente Wickr può avere più dispositivi associati, ognuno dei quali è considerato un nodo nel protocollo.

Consideriamo, per esempio, un utente con due dispositivi che invia un messaggio ad un utente con tre dispositivi. In questo caso, il nodo iniziatore invia un messaggio criptato a quattro nodi: i tre nodi dei dispositivi associati all’altro utente, e il nodo del secondo dispositivo dell’utente che invia. La nozione di identità dell’utente è importante (le chiavi di identità pubbliche dei nodi dispositivo sono verificate come fidate dall’identità dell’utente di destinazione) ma sono il nodo e le sue chiavi di identità associate gli attori principali in questo protocollo.

Secure Shredder, per impedire il recupero dei file cancellati

Wickr ha anche la funzione di Rilevamento degli screenshot e la funzionalità Secure Shredder per impedire che i file già eliminati siano recuperabili con strumenti o tecnologie particolari. Secure Shredder viene eseguito ogni volta l’app Wickr è in esecuzione. L’obiettivo è quello sovrascrivere i dati Wickr cancellati. Nella versione Wickr Pro questa funzione è potenziata per una sovrascrittura dei dati ancora più profonda e granulare.

Inoltre, Wickr consente di bloccare le tastiere di terze parti, ma solo in iOS. Questa funzionalità (disponibile in Setting-Privacy & Safety) è utile per proteggere le informazioni impedendo a tastiere di terze parti di registrare nomi utente, password e altri dati digitati nell’app.

Massima attenzione alla privacy degli utenti

Esaminando l’etichetta privacy di Wickr, esposta nell’App Store di iOS, abbiamo conferma che si tratta di un’applicazione molto “discreta” (al pari di Signal): vediamo solo la presenza di “Dati non collegati a te”.

Per le sue caratteristiche Wickr è considerata tra le app di messaggistica una delle più sicure e proprio per questo viene scelta da chi ha particolarmente a cuore la privacy.

Nel 2015, ad esempio, è saltato fuori che alcuni politici australiani di altissimo livello, compreso il Ministro delle Telecomunicazioni Malcom Turnbull, stavano usando Wickr per scambiarsi messaggi segreti.

Sul Dark Web Wickr è apprezzata sin dalla sua nascita ed è usata per comunicazioni di attività illegali, quali acquisto di droga ed armi.

Tutte le versioni dell’app di messaggistica

Si può provare nella forma gratuita, ma offre diverse soluzioni, anche a pagamento:

  • Wickr Me: versione per uso personale gratuita
  • Wickr Pro: versioni per professionisti e aziende, a pagamento, con costi che vanno da 4,99 $/utente/mese per la versione Silver, 9,99 $/utente/mese per la Gold, fino a 25,00 $/utente/mese per la Platinum. In queste soluzioni vengono offerte opzioni aggiuntive quali: fino a 5 GB per il trasferimento dei file, integrazione con sistemi MDM (Mobile Device Management), autenticazione 2FA ecc.;
  • Wickr Enterprise: prezzi su richiesta. Utile per creare una rete aziendale privata ed autogestita on-premise, con possibilità di organizzare un sistema di controlli e privilegi da parte dell’amministratore di sistema. Permette di comunicare privatamente con i colleghi, effettuare chiamate criptate e tenere videoconferenze fino a 70 persone, con condivisione di file e schermo. Possibile anche inviare file criptati fino a 5 GB (con storage illimitato) e creare stanze sicure per i team di lavoro, archiviazione centralizzata dei messaggi.

Vantaggi e svantaggi nell’uso di Wickr

PRO

  • Crittografia tra le più sicure
  • Messaggi a scomparsa con scadenza definita dall’utente
  • Disponibili chiamate e videochiamate con crittografia E2E
  • Funzione Secure Shredder per la cancellazione sicura dei messaggi
  • BOT personalizzati
  • Non richiede il numero di telefono per la registrazione
  • Il codice sorgente è open source
  • Versione gratuita, ma con funzionalità limitate
  • Ha l’applicazione desktop

CONTRO

  • Poco diffusa
  • Interfaccia solo in inglese e meno semplice rispetto ad altre applicazioni di IM
  • Le funzioni più importanti sono solo nelle versioni a pagamento
WHITEPAPER
Privacy dei dati: i vantaggi della tecnologia eDiscover
Privacy
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 5