גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

בורסת נאסד''ק בניו יורק / צילום: Shutterstock, Lucky-photographer

הירידות בוול סטריט החריפו לקראת הנעילה: ברודקום צללה 11%, השקל נחלש

נעילה שלילית באירופה ● מניות הקנאביס קפצו בעקבות כוונת טראמפ להקל על הרגולציה ● הסקפטיות סביב תחום ה-AI נמשכת: אורקל נפלה במעל 10% בעקבות הדוחות, ברודקום צנחה על אף שפרסמה תוצאות חזקות ● מחיר הנפט עלה לשיא של מעל שבעה שבועות ● הביטקוין נסחר סביב 90 אלף דולר

מבלים בפסטיבל הבירה ''הופי'' / צילום: עידן עטייה

למה בוטל פסטיבל הבירה שעשה לישראל יופי של הסברה?

פסטיבל הבירה הבינלאומי "הופי" נערך בתל אביב 4 שנים, הביא הנה נציגי מבשלות בירה מחו"ל ואף שבר חרמות בזמן המלחמה ● השנה הוא לא יתקיים בשל רגולציה מחמירה: "הדרישה אבסורדית, עלות הבדיקה הנדרשת עולה על שווי הסחורה"

טסלה, אקספנג וטויוטה. ''דגמי בסיס'' מוזלים / צילום: יח''צ

הדגמים המוזלים של טסלה והחשמלית החדשה של טויוטה מגיעים לישראל. כמה הם יעלו?

יצרניות הרכב החשמלי החלו להשיק "דגמי בסיס" חדשים ומוזלים שפונים לקהל יעד רחב יותר ● חברת טלקאר החלה לשווק את הטנדר החשמלי החדש של חברת KMG ● "שגריר" מכניסה לישראל מסחריות חשמליות ● ומותג הרכב השלישי במספר בישראל של קבוצת צ'רי הסינית הושק רשמית ● השבוע בענף הרכב

רובע שדה דב / צילום: גיא יחיאלי

היתר בנייה ראשון לפרויקט דיור להשכרה בשדה דב

שיכון ובינוי מזנקת קדימה בשדה דב עם היתר בנייה ראשון ל־324 דירות להשכרה ארוכת-טווח, כשברקע ירידות ערך מתמשכות בסקטור זה ● בקיבוץ האון הסכם פשרה עם רמ"י מחזיר את פרויקט הבנייה למסלול; בין הזוכים במגרשים ששווקו - עשרות חיילי מילואים ● וקרן ספיר של רובי קפיטל משלימה מכירת קרקע בחולון ברווח של עשרות מיליוני שקלים, לאחר השבחה משמעותית ● חדשות השבוע בנדל"ן

נגיד בנק ישראל, פרופ' אמיר ירון / צילום: לע''מ

בנק ישראל נגד חוק הגיוס: "לוקה בחסר ולא יביא לגיוס החרדים הנדרש"

הבנק המרכזי מזהיר כי הנוסח הנוכחי של חוק הגיוס "לוקה בחסר", וזאת משום שהיעדים שקבעה הצעת החוק הם נמוכים, והתמריצים הכלכליים בעלי אפקטיביות נמוכה ● "העברת החוק במתכונתו הנוכחית עלולה לא להביא לשינוי משמעותי בהיקף הגיוס, ובכך לשמר את הנטל הכלכלי האישי והמשקי הנובע מהשימוש הנרחב באנשי מילואים"

לנה הידי ב''המופקרים''. הגבולות מיטשטשים / צילום: באדיבות נטפליקס

קורט סאטר חוזר להלך על התפר בין פשע להפקרות, הפעם במערב הפרוע

גם ב"מופקרים", הדרמה החדשה של יוצר "ילדי האנרכיה", לא חסרים דם, אלימות ופשע. רק שהפעם הזירה היא המערב הפרוע ● במרכז העלילה ניצבות שתי משפחות יריבות: האחת ענייה ונטולת מעמד, השנייה עשירה ומבוססת, ובחזית עומדות נשים חזקות שמובילות את הסיפור

ח'אן יונס / צילום: ap, Jehad Alshrafi

קצה חוט חדש: ישראל בודקת שטח שבו ייתכן שנקבר החטוף החלל רן גואילי

בישראל חוששים להישאר באפלה לקראת שלב ב' של הפסקת האש ברצועת עזה, אליו חותרת ארה"ב, ומתנים את תחילתו בהשבת החלל החטוף האחרון רן גואילי ● טראמפ מתכנן למנות גנרל אמריקני לפקד על הכוח הבינלאומי בעזה ● לפי מקורות בביירות, השליחה האמריקאית הזהירה כי ישראל תבצע תקיפות גדולות ומשמעותיות נגד חיזבאללה  ● חברת הסייבר פאלו אלטו: חשפנו קמפיין ריגול מתקדם של חמאס ● מגעים חשאיים בבית הנשיא להקמת ועדת חקירה ממלכתית ● עדכונים שוטפים

מימין: יובל כספית, עומר לוי ונועה טקה / צילום: צילום מסך יוטיוב

20 המשפיעניות המצליחות ביותר בישראל, ולמה אין ברשימה גברים

שוק המשפיענים מגלגל בארץ כמעט 400 מיליון שקל בשנה, ולצד טיפוח ואופנה מתחזק בקטגוריות כמו פיננסים ובריאות, בעוד מותגי הרכב והגיימינג עדיין חלשים בתחום ● בחברת יומנז, המתמחה בכלכלת יוצרים, מצביעים גם על היציאה מהסושיאל לעבר שילוט חוצות וטלוויזיה

האירוע שקיימה ניקוסיה עם סטארט-אפ ניישן סנטרל / צילום: Startup Nation Central

אחת הידידות הקרובות של ישראל שואפת להעמיק עוד יותר את הקשרים

קפריסין קיימה יחד עם סטארט-אפ ניישן סנטרל את אירוע Tech Horizons of the Mediterranean ● מאות מנהלי ועובדי פלאפון ו-yes לקחו חלק בשבוע מעורבות חברתית ● התערוכה שמוצגת במודיעין בהשתתפות אמנים מכל אירופה ● וזה המנכ"ל החדש של אקוואריוס ● אירועים ומינויים

נתון בשבוע / איור: גיל ג'יבלי

איך השקל הפך לאחד המטבעות החזקים השנה מול הדולר, ומי ניצח אותו?

למרות אי־הוודאות הביטחונית שהייתה מנת חלקנו, השקל התחזק מתחילת 2025 בכ־11% ● מתי התרחשה נקודת המפנה שהביא לתיסוף הדרגתי של המטבע הישראלי, מי הם השחקנים בשוק שאחראים למהלך, ואיך נראה העתיד? ● נתון בשבוע

אודי כגן בקמפיין ביטוח 9 / צילום: צילום מסך יוטיוב

ענף הפיננסים משתלט על הפסקת הפרסומות: דיסקונט הזכורה ביותר, ביטוח 9 האהובה

הפרסומת של דיסקונט היא הזכורה ביותר זה השבוע השלישי, כך עולה מדירוג הפרסומות הזכורות והאהובות של גלובס וגיאוקרטוגרפיה● ביטוח 9 מחזירים לאוויר פרסומת ישנה לרגל סוף השנה ● וחברת התקשורת פרטנר מתברגת גבוה כבר בשבוע הראשון באוויר

עומרי כספי / צילום: Ilya Melnikov

עולה ליגה: עומרי כספי גייס 100 מיליון דולר לקרן ההון סיכון שלו

משקיע ההון סיכון וכוכב הכדורסל לשעבר גייס 100 מיליון דולר נוספים לקרן ההון סיכון, סוויש קפיטל ● הקרן החדשה תאפשר לסוויש להמשיך ולשמור על החזקותיה גם בשלבי גיוס מאוחרים יותר לחברות ● ויש לו גם מסר מעודד: "המשקיעים שלנו מאוד אופטימיים לגבי ישראל"

השטח שעליו תוקם תחנת הכוח ''קסם'' / צילום: דין שמואל אלמס

תחנת הכוח "קסם" סגרה פיננסית ותקבל תגמול מוגדל מרשת החשמל

ההלוואה מבנק הפועלים עומדת על 1.1 מיליארד אירו ועוד 300 מיליון שקל - ובסך-הכול כ-4.5 מיליארד שקל ● בכך הבטיחה "קסם" את הקמתה ואת "תשלום הזמינות" הגבוה שתקבל מרשת החשמל - זאת מכיוון שמדובר בתחנה קריטית לאספקת חשמל באזור צפון גוש דן

זום גלובלי / צילום: Shutterstock

המכסים החדשים על סין, והבלונים שגרמו למצב חירום

ברקע האיומים של טראמפ להטיל מכסים על מקסיקו, האחרונה נוקטת צעדים נגד סין ● בליטא הכריזו על מצב חירום. הסיבה: בלונים ● ואיך פרסומת אחת עוררה זעם בהולנד - עד שנאלצה לרדת מהמסך? ● זום גלובלי, מדור חדש 

ג'נסן האונג, מנכ''ל ומייסד אנבידיה, ועמית קריג, מנהל מרכז הפיתוח בישראל, במפגש עם אבינתן אור ונועה ארגמני

שורד השבי אבינתן אור נפגש עם מנכ"ל אנבידיה במטה החברה בארה"ב

המפגש התקיים במהלך ביקור של צמרת ההנהלה הישראלית במטה החברה בקליפורניה, כאשר אבינתן הגיע למקום בליווי בת זוגו, נועה ארגמני, שנחטפה עמו מהנובה ● ערב חטיפתו לפני יותר משנתיים, עבד אבינתן בצוות פיתוח הספקטרום של כרטיס התקשורת של אנבידיה

עץ האשוח בכיכר המעיין בנצרת / צילום: יזיד חמיס

מסעדת שף, יקב משפחתי ועץ אשוח: היישוב בגליל שמציע חוויית כריסמס שלמה

שוק לילה במלון מיתולוגי, מאפייה מטריפה, ארוחה אותנטית בבית אבן עתיק, מסעדת שף וגם יקב ● ביקרנו בשלושה יישובים נוצריים בגליל שיציינו בשבוע הבא את חג המולד ● חגית אברון תופרת יום

אזור המשרדים של בני ברק. מה קורה ליתרון התחרותי במציאות? / צילום: Shutterstock

30 קומות שוממות מתוך 40: מגדלי המשרדים החדשים מוכנים, אבל השוכרים לא באים

הכתבה הזו היתה הנצפית ביותר השבוע בגלובס ועל כן אנחנו מפרסמים אותה מחדש כשירות לקוראינו ● למרות הסטנדרט הגבוה והנגישות התחבורתית, שיעורי התפוסה בערים שמחוץ לתל אביב בירידה ● הנסיעות הארוכות, האווירה אינה מושכת צעירים וההיצע הגדול מרחיקים את השוכרים

מערכת החיסון נלחמת חזרה / צילום: Shutterstock

מערכת החיסון נלחמת חזרה: 3 מחקרים שיעזרו למנוע את מחלות העתיד

פרופ' יפעת מרבל, שנבחרה השבוע על ידי כתב העת Nature לאחת המשפיעות במדע, גילתה אוצר של אנטיביוטיקות פוטנציאליות ומתקדמת לשלב הבא במחקר ● פרופ' פמלה ביורקמן, כלת פרס וולף, עובדת על חיסון אחד למחלות שעוד לא נולדו ● ופרופ' רון דיסקין מכין מלכודות משוכללות לווירוסים ● כשהמגפה הבאה אורבת בפינה ומחקרי חיסונים מקוצצים, שלושה חוקרים נותנים סיבה לאופטימיות

מפעל של יצרנית הרכב צ'רי בווהו, סין / צילום: Reuters, Xiao Benxiang/VCG

בתעשיות הביטחוניות כבר מודאגים: האם הגיע הזמן לחשוב מחדש על הרכבים הסיניים?

כלי הרכב החכמים תוצרת סין מצוידים במצלמות, חיישנים ומערכות מקושרות לרשת, ומסוגלים לאסוף כמויות עצומות של מידע לאורך זמן ● בעוד שגופי הביטחון בישראל הולכים אחרי ארה"ב ומטילים מגבלות שימוש, כרבע מיליון כלי רכב סיניים כבר נוסעים בכבישי ישראל ● האם אובדן הפרטיות הוא מחיר סביר לנוחות טכנולוגית, או שמא מדובר בסיכון ביטחוני?

לארי אליסון, מייסד אורקל / צילום: Reuters, Noah Berger

אורקל צוללת: "במקום להרגיע את החששות, ההנהלה מגמגמת"

ענקית שירותי הענן והתוכנה אורקל פספסה את תחזית ההכנסות של האנליסטים ודיווחה על הכנסות של 16.06 מיליארד דולר ברבעון השלישי, ובעקבות זאת צנחה במסחר ● מה בדיוק הרתיע את המשקיעים?