גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

ההצעה של אב־גד / צילום: יח''צ

הטרייד־אין של אב-גד חוסך עשרות אלפי שקלים ובעיקר כאב ראש

החברה מציעה לרוכשים למכור עבורם את הדירה הישנה בהפחתה של 6% מהמחיר שיקבע שמאי, ב־14 פרויקטים שהיא משווקת כיום בארץ • למשפרי דיור ההצעה יכולה לחסוך בעיות בתקופה קשה בשוק היד השנייה ● מאחורי המבצעים, מדור חדש

HAVAL H6 של GWM / צילום: יח''צ

קאמבק אירופי ל-GWM: שבעה דגמים חדשים ותחרות מול טוסון

GWM מתכננת חזרה לאירופה ולישראל עם מחירים אגרסיביים והנעות מגוונות ● דגמי קרוס־אובר חדשים מרחיבים את ההיצע בטווח 115–230 אלף שקל ● וגם: המעבר לחשמל בצי הממשלתי עדיין מדשדש ● השבוע בענף הרכב

יו''ר רשות ני''ע ספי זינגר ומנכ''ל הבורסה איתי בן זאב, לצד יו''ר ה-SEC פול אטקינס, בטקס פתיחת המסחר בתל אביב, הבוקר (ו') / צילום: דרור סיתהכל

מסתמן: הישראליות בוול סטריט יוחרגו מההחמרה בדיווחים בארה"ב

יו"ר ה-SEC אמר בביקור בישראל כי ברשות האמריקאית בוחנים את החלת הכללים בצורה שלא תפגע ברוב החברות הישראליות הנסחרות בבורסות בארה"ב, אלא תתמקד בחברות סיניות ● רשות ני״ע פועלת בחודשים האחרונים מול האמריקאים כדי לקדם את ההחרגה

שנה מעולה בפנסיה ובגמל. מה צפוי בשנה החדשה? / אילוסטרציה: טלי בוגדנובסקי

הלקח מטבלת התשואות: אף אחד לא נשאר בצמרת לאורך זמן

חברות הביטוח כבשו את המקומות הראשונים בתשואות הגמל לשנת 2025, בזכות ביצועי השיא של הבורסה בת"א ● עם זאת, במבט ל–3 ו–5 שנים הן עדיין מאחורי בתי ההשקעות ● מדוע זה כך, האם זה ישתנה בקרוב, ומה מנהלי ההשקעות חושבים שכדאי לעשות כעת עם הכסף

צ'לסה רנגר והתמונה המג'ונרטת שלה. רשמה עלייה של 914% בחשיפות / צילום: צילום מסך לינקדאין

זינוק של 700% בטראפיק: המהלך שעשו נשים שלא מצאו עבודה בלינקדאין

טרנד מתפשט בלינקדאין הציג תופעה מדאיגה: נשים ששינו את המגדר בפרופיל דיווחו על זינוק של עד 700% בטראפיק ● ברשת החברתית דוחים את הטענות להטיה של האלגוריתם, ומומחיות בתחום טוענות כי מדובר בלא יותר ממראה לאפליה של החברה ● האם הפתרון הוא לאמץ את המשחק הגברי או דווקא לשחות נגד הזרם?

ההזמנות מ-iHerb גדלו / צילום: Shutterstock

הפטור של סמוטריץ' עובד: הישראלים הגדילו את הרכישות מהאתרים הבינ"ל

מספר ההזמנות באתרים כמו iHerb, אמזון ונקסט עלה בדצמבר בעקבות הגדלת הפטור ממע"מ, אך סך ההזמנות ירד ב-18% לעומת החודש הקודם ● המדד החודשי של רכישות הישראלים באונליין

אילוסטרציה: Shutterstock

המספרים הסופיים הגיעו: מה עשו החסכונות שלכם ב-2025?

כלל ומנורה מבטחים חולקות ביניהן את המקומות הראשון והשני במסלולים הכלליים והמנייתיים, עם תשואה שנתית של יותר מ-16% כל אחת בכללי וכמעט 28% במנייתי ● התשואה לחוסכים בשנת 2025 היא הטובה ביותר מאז שנת 2009 ● בתחתית נמצאים אלטשולר שחם וילין לפידות, כשבדצמבר אלטשולר שחם כמעט לא הניב תשואה לחוסכים

קריית שמונה / צילום: אייל מרגולין

כרטיס אשראי מיוחד לקריית שמונה: האוצר הודיע על מענקים חודשיים לתושבי העיר

על פי הודעת משרד האוצר, תושבי קריית שמונה יקבלו מענק חודשי בסך 1,000 שקל עד 2,500 שקל, שניתן יהיה לממש רק בעסקים בעיר ● התקציב לתוכנית צפוי להגיע מתוך התוכנית לשיקום הצפון, שתוקצבה במקור ב-15 מיליארד שקל ונוצלו מתוכה עד כה כ-9 מיליארד שקל

ימים לפני תחילת המחאות: "ההסכם הסודי" בין איראן וישראל

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל • והפעם: לפי דיווח של וושינגטון פוסט, ישראל העבירה מסרים דרך הרוסים לאיראן לאי-תקיפה הדדית, למה גרמניה עדיין סוחרת עם איראן, וסערת הקצין הבריטי שמנע מאוהדי מכבי ת"א להגיע למשחק לא נרגעת • כותרות העיתונים בעולם

מומחים מנתחים את עדכון הרווח היזמי והשפעתו על השוק / צילום: Shutterstock

השינוי בתקן 21: המומחים מנתחים את עדכון הרווח היזמי והשפעתו על השוק

השמאי הממשלתי פרסם הנחיות חדשות לבדיקת כדאיות כלכלית בהתחדשות עירונית. מומחים מסבירים מה משמעות השינויים

מחאת תמיכה באיראנים, לונדון השבוע / צילום: Reuters, Seiya Tanase

המשטר האיראני ניתק 90 מיליון איש מהרשת. אז איך התוצאה שקיבל הייתה הפוכה לגמרי?

בניסיון לחנוק את המחאה, המשטר האיראני ניתק כ־90 מיליון איש מהרשת, אך התוצאה הפוכה מהצפוי ● בעזרת עשרות אלפי טרמינלים של סטארלינק שהוברחו למדינה, שימוש ב־VPN ושירותים מוצפנים, המפגינים מצליחים לעקוף את ההחשכה ולהציף את העולם בתיעודים מהשטח

הובלת דשנים, כיל חיפה / צילום: יח''צ כיל

יצואני הדשנים חוששים: עד כמה אירופה תכיר במס הפחמן הישראלי?

ישראל הקדימה וקבעה מס פחמן לקראת כניסתו לתוקף של מס חדש שיחול על סחורות מיובאות באירופה לפי הפליטות שנוצרו בייצורן ● אך האיחוד טרם הכריע אם יכיר במס המקומי, ויצואני הדשנים עלולים לשלם פעמיים

הממונה על התחרות מיכל כהן ושר הכלכלה ניר ברקת / צילום: כדיה לוי, אוליביה פיטוסי - ''הארץ''

בג"ץ יקיים דיון נוסף בהליך להדחת הממונה על התחרות

נשיא העליון עמית קיבל את בקשת היועמ"שית ונציב שירות המדינה לקיים דיון נוסף בפסק הדין מיולי האחרון, שאישר לכנס את ועדת המינויים כדי לדון בבקשתו של שר הכלכלה ברקת להדיח את מיכל כהן ● עמית: "השלכות רחבות על הליכי הפסקת כהונתם של נושאי משרה בכירים בשירות הציבורי"

קרן מור (''כוכבה שביט'') בקמפיין של קופ''ח לאומית / צילום: פיגמנט

כוכבה עוברת לסגול: קופ"ח לאומית משנה את המיתוג, וזו הסיבה

לאחר שנת שיא עם תוספת של יותר מ-10,000 לקוחות, ובהמשך למיקוד בבריאות האישה, קופת החולים לאומית מחליפה מיתוג ● המהלך כולל התאמה לחברה החרדית והערבית וילווה בקמפיין חדש

שליח של GetPackage / צילום: באדיבות GetPackage

באיזו עיר בארץ מזמינים הכי הרבה משלוחים, ומתי?

הערים המובילות בהיקף המשלוחים הן תל אביב עם 11.5%, חיפה עם 9.5% ופתח תקווה עם 7%, כך עולה מנתונים של חברת השליחויות Get Package המסכמים את שנת 2025● תקציב הפרסום בדיגיטל של הביטוח הלאומי עובר ל–Funia, וקרן אדמונד דה רוטשילד מעניקה פרסים בהיקף של כרבע מיליון שקל למעצבי אופנה ● אירועים ומינויים

ירושלים / צילום: Shutterstock

המחירים חזרו לעלות? זה הנתון שיותר מדאיג בשוק הדיור

מחירי הדירות רשמו בחודשים אוקטובר-נובמבר עלייה של 0.7%, לאחר שמונה חודשים רצופים של ירידות ● אך הנתונים היותר מדאיגים מגיעים דווקא משוק השכירות: מדד הדיור רשם בחודש דצמבר עלייה של קרוב לאחוז - השיעור הגבוה ביותר מכל מדדי דצמבר ב-15 השנים האחרונות

מתוך קמפיין מזרחי טפחות / צילום: צילום מסך

שבוע שלישי ברציפות: שגיא דקל חן מוביל את מזרחי טפחות למקום הראשון בזכירות

הפרסומת האהובה ביותר שייכת לביטוח 9, וחברות הביטוח תופסות מחצית מדירוג הפרסומות הזכורות והאהובות השבועי של גלובס וגיאוקרטוגרפיה ● ההשקעה הגדולה ביותר השבוע שייכת לפלטפורמת הסטרימינג free TV והקמפיין בכיכובו של ארז טל

לוחם בכוחות המשטרה האיראניים, טהרן / צילום: Reuters, Stringer/WANA

השבר האיראני: מומחים משרטטים את התרחישים האפשריים

כלכלה מרוסקת, אינפלציה של 50% ואיום תקיפה אמריקאי מוחשי: איראן ניצבת בפני הצומת הגורלי בתולדותיה ● בעוד המטבע המקומי צולל והמחאות ברחובות מחריפות, מומחים מזהירים כי נפילת המשטר עשויה לטלטל את המזרח התיכון כולו ● האם אנחנו בדרך ל"אביב ערבי" שני ולדמוקרטיה פרסית, או שהעולם יתעורר לוואקום שלטוני מסוכן?

''אין ודאות שנפילת המשטר תביא לאיראן טובה יותר''. כרזה עם תמונת חמינאי בטהרן / צילום: Reuters, Morteza Nikoubazl

ההערכה בישראל: טראמפ עדיין לא קיבל את ההחלטה על תקיפה באיראן

דיווח: ראש הממשלה ביקש לדחות את התקיפה באיראן - הסיבה: חוסר מוכנות ● בכירים אמריקאים: הנשיא דחה בשלב זה את ההחלטה על התקיפה באיראן, אך היא עדיין על השולחן ● הניו יורק טיימס: "בפנטגון נערכים להחזיר את הכוחות שפונו מבסיסים באזור" ● שר החוץ של טורקיה: אנקרה אינה מקבלת אפשרות של שימוש בכוח נגד איראן ● שר החוץ של איראן: "אין כוונה לתלות אנשים" ● עדכונים שוטפים

אמיר השמטפור / צילום: shore&wave

המולטי-מיליונר האיראני שרוצה לפתח תרופה לסרטן בישראל

אמיר השמטפור, מוסלמי יוצא איראן, הוא משקיע ותיק שעשה את הונו מהשבחת חברות ביוטק בשוק האמריקאי ● עכשיו הוא מגיע לישראל עם NeOnc, שמפתחת תרופה לסרטן המוח הניתנת דרך האף ● בראיון הוא מספר על הפגישה עם נתניהו שהקימה לו אויבים, הזיכרונות מארץ הולדתו וגם האמונה ששתי המדינות ינהיגו יחד את המזרח התיכון