Porta dos fundos está aí. Foto: flickr.com/photos/see_el_photo

O Expresso V3, solução de correio eletrônico open source que está sendo implementado no executivo federal por ordem presidencial, terá um backdoor para fins de auditoria.

A existência da porta dos fundos, que em tese permitiria ao governo bisbilhotar as comunicações dos funcionários, foi revelada pelo coordenador Estratégico de Ações Governamentais do Serpro, Marcos Melo, durante o 12º CertForum - Fórum de Certificação Digital, em Brasília.

Segundo relata o site brasiliense Convergência Digital, a informação surgiu a partir de uma pergunta de Paulo Milliet Roque, vice presidente da Abes. A pergunta e a resposta foram registradas em vídeo.

Melo afirma que a chave mestra criptográfica HSM serviria para auditar o banco de dados e identificar autores por eventuais invasões e vazamento de informações sensíveis de governo.

“Uma ação desse tipo aconteceria dentro de um processo de segurança, por meio de um rito do qual participam várias pessoas, em um ambiente de auditoria”, explicou Melo.

Em nota divulgada após às declarações de Melo virem à público, o Serpro afirma que o acesso às informações será realizado unicamente por decisão judicial. A estatal também gravou um novo vídeo com Melo.

A estatal detalha ainda que criptografia será quebrada em quatro segmentos, ficando duas com o Serpro e duas com o cliente. 

Ainda segundo o Serpro, a leitura de qualquer mensagem de e-mail somente poderá ser feita em uma sala, em ambiente seguro, com as quatro chaves reunidas e com a presença de um oficial de justiça.

A nota do Serpro contesta ainda o uso de conceito de backdoor feito nesta matéria. De acordo com o  Serpro, a existência de uma possibilidade de auditoria das comunicações não configura um backdoor, que seria entendido como uma “falha de segurança ou uma iniciativa oculta com o objetivo explícito de obter informações sem o devido processo legal e conhecimento dos usuários”. 

O Serpro afirma que possui relatórios técnicos obtidos por ferramentas especializadas que comprovam a inexistência de tal vulnerabilidade no Expresso, sem informar quais seriam as ferramentas. 

O interesse no assunto da Abes, representante de algumas das maiores empresas de software proprietário do país, incluindo a Microsoft, é claro. A migração do executivo federal representa a perda de milhares de potenciais clientes, e, caso a medida se alastre, pode fechar todo o mercado público para softwares como o Office 365, Google Apps for Business e outros.

Os defensores da adoção de adoção de todo tipo de soluções open source pela administração pública sentiram a mudança no ambiente e nos últimos tempo tem migrado seus argumentos de questões de economia para a proteção da privacidade contra a espionagem, transformando Edward Snowden num herói informal.

A questão agora é saber se o aparato de segurança e checagens do Serpro impediria o novo software seguro de protagonizar uma polêmica como a vista recentemente no Paraná, estado no qual está sediada a estatal estadual de processamento de dados Celepar, responsável pelo desenvolvimento do  software até agora.

Em fevereiro, a Gazeta do Povo, jornal paranaense de maior circulação, afirmou, baseado em parecer técnico da Polícia Científica ao qual teve acesso, que o governo do estado estava espionando os e-mails de funcionários das polícias Científica, Civil e Militar, além da Receita Estadual.

A invasão teria se dado por meio de um backdoor, o “Administrador Expresso Sesp”, sem que os titulares das contas tivessem conhecimento.

A Polícia Científica e a Celepar divulgaram notas reconhecendo a existência do usuário secreto, mas negando que tivesse sido usado para espionagem em qualquer momento.

Independente da guerra de versões, as polícias Civil, Militar e Científica do estado devem abandonar o software de e-mail em favor de uma solução hospedada em seus próprios servidores, enquanto o Ministério Público do Paraná planeja adotar o Google Apps for Business.

O Paraná é um dos maiores usuários do Expresso. O sistema está instalado nas 23 secretarias de estado, Casa Civil, Procuradoria-Geral do Estado, Casa Militar, institutos, autarquias e entidades ligadas a elas, além de 19 prefeituras do estado e o Ministério Público do Paraná.

Colaboraram com esta matéria:
Serpro