Wire: cos’è e come funziona l’alternativa a WhatsApp per chiamate sicure e di qualità - Cyber Security 360

LA GUIDA COMPLETA

Wire: cos’è e come funziona l’alternativa a WhatsApp per chiamate sicure e di qualità

Wire è un’app di messaggistica istantanea che, oltre a un’elevata sicurezza delle chat, offre anche un’interfaccia grafica curata e un’ottima qualità delle chiamate, oltre ad un’attenta gestione della privacy per ogni client registrato sulla piattaforma. Ecco come funziona e come usarla al meglio

15 Mar 2021
Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Scientifico CLUSIT

Nelle chat di WhatsApp, in questi giorni, è comparso di nuovo il messaggio che informa gli utenti in merito all’aggiornamento dei termini d’uso e dell’informativa privacy, che avverrà il prossimo 15 maggio 2021, e questo ha spinto numerosi utenti a cercare una valida alternativa tra le app di messaggistica istantanea ritenute, a torto o a ragione, più sicure: Telegram, Signal, Wickr, Threema oppure Wire, che offre funzioni di sicurezza avanzate, un’interfaccia particolarmente curata e un’elevata qualità delle chiamate.

Wire, l’alternativa a WhatsApp che sfida Skype

Wire è stata sviluppata nel 2014 in Svizzera da tre soci: Jonathan Christensen, Alan Duric e Priidu Zilmer, con la collaborazione di Janus Friis (co-fondatore di Skype). La casa madre dell’app, quindi, ha (o aveva?) la sede in Svizzera e dichiara di rispettare le leggi europee sulla privacy (quindi il GDPR) e il California Consumer Privacy Act (CCPA).

INFOGRAFICA
Il tuo CEO non capisce la necessità di modernizzare le applicazioni? Convincilo in 3 step!
Digital Transformation
Cloud Application

In realtà, dalla fine del 2019, Wire è stata acquisita da una società statunitense, quindi sebbene gran parte del business di Wire continuerà ad essere gestito dalla sede svizzera, con la nuova proprietà statunitense non è del tutto chiaro quanta giurisdizione gli Stati Uniti avranno sui dati gestiti da Wire. Questo è preoccupante perché una società con sede in USA è sottoposta alle leggi nazionali in materia di sorveglianza (CLOUD Act, FISA-702, in precedenza l’USA Patriot Act). Ed è noto che Wire memorizza alcuni metadati non criptati per ogni utente.

Nella versione base, Wire è gratuita e disponibile anche in versione desktop (per Windows, macOS e Linux). Fornisce, inoltre, le estensioni per i principali browser: Google Chrome, Mozilla Firefox, Opera o Microsoft Edge. Non esiste al momento l’estensione per Safari. Ha anche versioni Pro, Ent e Red a pagamento con funzionalità aggiuntive.

Un account permette l’uso simultaneo su un massimo di otto dispositivi, collegati allo stesso account (funzione disponibile solo nelle versioni Pro e Ent). I messaggi sono criptati per ogni dispositivo.

La registrazione richiede un indirizzo e-mail oppure il numero di telefono, oltre che una password. Il server verifica la password usando scrypt (algoritmo di hash) e rilascia un nuovo token di accesso.

Per l’identificazione può essere impostato un nickname, con il quale saremo visti dai nostri contatti.

Con la registrazione, Wire crea una fingerprint esadecimale univoca per ogni dispositivo e un’altra per la chiave crittografica. Se due utenti possono confrontare le impronte digitali delle chiavi dei rispettivi dispositivi, possono verifica il dispositivo dell’altro: dopo aver fatto questo passaggio, un’icona a forma di scudo blu viene visualizzata a fianco del nome del contatto, in quanto verificato.

Chi desidera mettersi in contatto con un utente, dovrà essere preventivamente autorizzato dall’utente stesso, prima di potergli inviare un messaggio.

Le funzioni di Wire: messaggi effimeri e backup delle chat

Si possono inviare messaggi temporanei (effimeri) con timer di scadenza impostato dall’utente (da dieci secondi a quattro settimane).

A differenza delle maggior parte delle applicazioni di questo tipo, Wire permette anche di formattare i testi dei messaggi: si può quindi usare grassetto, corsivo, elenchi puntati e numerati. Si possono inviare sia video che file audio o immagini, oltre a schizzi (eseguibili all’interno della piccola suite grafica dell’applicazione) e GIF (derivate dal sito Giphy.com per un peso massimo di 5MB).

Come per Threema, è possibile fare il backup delle chat, per conservarne la cronologia. Il backup è compresso e crittografato, ma non è automatico: deve essere attivato nelle Impostazioni e protetto con una password impostata dall’utente e conosciuta solo da questi.

Wire si distingue per l’ottima qualità delle chiamate vocali e video.

Il codice sorgente è open source, disponibile su GitHub.

Wire: crittografia e sicurezza

I modelli crittografici utilizzati da Wire sono dettagliatamente spiegati nel Wire Security Whitepaper ed è importante notare che la crittografia E2E dei messaggi è stata implementata nel 2016.

Wire utilizza il protocollo crittografico Proteus, che è un’implementazione indipendente del protocollo Axolotl/Double Ratchet ed è basato sul Signal Protocol. Proteus è disponibile open source su GitHub.

Proteus utilizza le primitive crittografiche: ChaCha20 stream cipher, HMAC-SHA256, Elliptic curve Diffie-Hellman per lo cambio di chiavi (Curve25519).

La derivazione delle chiavi è fatta usando HKDF (HMAC-based Extract-and-Expand Key Derivation Function).

La crittografia anche nelle chiamate 1:1

Per le chiamate 1:1 viene invece impiegato l’algoritmo di crittografia SRTP (Secure Real-Time Transport Protocol), un protocollo molto utilizzato nelle comunicazioni VoIP per garantire l’autenticazione dei messaggi, la riservatezza e la protezione contro la riproduzione.

Le chiamate in conferenza si basano sullo standard WebRTC (Web Real Time Communication) per stabilire connessioni tra i client ed il server. Tutti i dati sono poi criptati allo stesso modo delle chiamate 1:1.

Wire viene sottoposta ad audit di sicurezza da terze parti. Gli audit più recenti sono stati fatti nel 2018 da parte di Kudelski Security di Ginevra.

La gestione privacy in Wire

In merito alla gestione dei metadati, c’è da segnalare che in Wire vengono salvati sui server solo i seguenti (non criptati) per ogni client appena registrato:

  • il timestamp UTC quando il client è stato registrato;
  • la posizione, cioè le coordinate geografiche dell’indirizzo IP usato per registrare il client.

Wire dichiara che queste informazioni sono raccolte solo per “rendere le notifiche sulle nuove registrazioni più significative”. Possiamo vedere anche dall’etichetta privacy che i dati raccolti da Wire sono abbastanza pochi (vedere figura sottostante).

Tutte le versioni dell’app di messaggistica

Si può provare Wire nella forma gratuita, ma per aver a disposizione tutte le funzionalità è necessario passare alle versioni a pagamento:

  • Wire Pro: versioni per professionisti e aziende con costo di 5,83 $/utente/mese. In questa versione vengono offerte opzioni aggiuntive quali: video Conferenze con un massimo di 12 partecipanti, chiamate audio fino a 25 partecipanti, condivisione di file, messaggi e file a scomparsa, Guest room (la funzione delle “stanze degli ospiti sicure” di Wire estende la crittografia end-to-end alle conversazioni con le parti esterne senza richiedere loro di registrarsi) e tanto altro.
  • Wire Ent: costo di 9,50 $/utente/mese. Oltre alle funzioni presenti in Wire Pro si aggiungono: gestione su cloud privato o on-premises, soluzioni per la conservazione dei dati, branding personalizzato, integrazioni SAML 2.0, Single sign-on, Wire API per integrazioni di servizi (bot).
  • Wire Red: prezzi a richiesta. Garantisce la continuità delle comunicazioni aziendali e il recupero veloce quando la rete è compromessa o non disponibile.

Vantaggi e svantaggi nell’uso di Wire

PRO

  • Crittografia sicura
  • App in italiano
  • Interfaccia semplice
  • Ha l’applicazione desktop per macOS, Windows e Linux
  • Ha le estensioni per i principali browser (escluso Safari)
  • Messaggi effimeri con scadenza definita dall’utente
  • Disponibili chiamate e videochiamate con crittografia e qualità elevata
  • Non richiede il numero di telefono per la registrazione
  • Il codice sorgente è open source
  • Versione gratuita, ma con funzionalità limitate

CONTRO

  • Poco diffusa
  • Non è chiaro se con il nuovo assetto societario sia sottoposta alla giurisdizione USA
  • Alcune funzioni importanti sono solo nelle versioni a pagamento.

WEBINAR, 23 giugno
Oracle Cloud + Oracle Autonomous DW = Massima adattabilità dei workload.
Big Data
Cloud
@RIPRODUZIONE RISERVATA

Articolo 1 di 5