גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

טים קוק, מנכ''ל אפל / צילום: צילום מסך מאתר אפל

דיווח: באפל נערכים לפרישתו של טים קוק כבר בשנה הבאה

 לאחר יותר מ-14 שנה בתפקיד, באפל מגבירים את ההכנות לעידן שאחרי טים קוק, וייתכן שכבר בתחילת השנה תכריז החברה על זהות המנכ"ל הבא, לפי דיווח של "פייננשל טיימס" ● ג'ון טרנוס, ראש תחום הנדסת החומרה, נחשב למועמד המוביל

פטריק דרהי - הוט HOT / צילום: איל יצהר

ברקע המרוץ לרכישת הוט מובייל: מחירי התקשורת עולים, לראשונה זה 14 שנה

הוט מובייל נמצאת על המדף ומושכת הצעות רכישה ממתחרות וממשקיעים חיצוניים ● התחרות על החברה הגיעה לאחרונה לשיא עם הצעה של מעל ל–2 מיליארד שקל ● איך אישור העסקה עשוי להשפיע על השוק ועל המחירים בישראל?

גלולת הקסם של כוכבי הוליווד / צילום: PA - Jordan Strauss, Evan Agostini, Jordan Strauss

הגלולה שמשגעת את אמריקה, הרופאים שידם קלה על ההדק - והביקורת

היא פותחה כדי להפחית לחץ דם וקצב לב, אבל בשנים האחרונות הפכה פרופרנולול לתרופת ההרגעה שהסלבס לא זזים בלעדיה - על השטיח האדום, לפני הופעות וגם בדייטים וחתונות ● אפילו הרופאים כבר לא מהססים, עם זינוק של 28% במספר המרשמים, למרות שב-FDA התכוונו למשהו אחר לגמרי

בובות פאנקו / צילום: Shutterstock

בובות הפופ קרסו כי למעריצים נמאס לקבל עוד מאותו הדבר

פאנקו, יצרנית בובות הפופ שהפכה לסמל הנוסטלגיה של הוליווד, מזהירה מקריסה בעקבות הפסדים כבדים וחוב תופח ● מעבר למשבר העסקי, נפילתה חושפת את העייפות מתרבות השכפולים ומראה כי אי אפשר לתעש רגשות בלי שבסוף גם הם יהפכו למלאי עודף

קרן גידור לכל פועל / צילום: Shutterstock

מכשיר ההשקעה של המיליונרים מוצע עכשיו לכולם, אבל האם הוא מתאים לכם?

לפני כשנתיים וחצי התרחשה מהפכה קטנה בתל אביב, כשאסטרטגיות השקעה שהיו מנת חלקם של בעלי הון נפתחו לציבור הרחב באמצעות קרנות גידור בנאמנות ● הקרנות הצליחו למשוך לקוחות בהיקפים של מיליארדים, וגם הציגו תשואות נאות, אבל האם הן יצדיקו את העלויות לאורך זמן? ● וגם: היתרונות והחסרונות של המוצר שמוצע היום לכולם

אייל פסו, מייסד משותף ומנכ''ל גאוזי / צילום: Photography courtesy of Nasdaq, Inc.

הצרות בצרפת ומשבר החוב: איך ההנפקה הישראלית הנוצצת בוול סטריט הפכה למניה שקורסת ב־84%

ביום שישי איבדה החברה, שפיתחה "זכוכית חכמה", שליש מערכה, לאחר שבית משפט בצרפת הורה על פתיחת הליכי חדלות פירעון נגד חברות בנות ● גאוזי דחתה ברגע האחרון את פרסום הדוחות

מל''ט של חברת בלו בירד / צילום: 2. WonderB UAS (קרדיט: BlueBird Aero Systems )

החברה הישראלית שהחלה לייצר מל"טים מתאבדים במרוקו

בלובירד, החברה הבת של התעשייה האווירית, חנכה מפעל לייצור מל"טים מתאבדים במרוקו ● במבט רחב יותר - בשנים האחרונות המדינה המוסלמית הפכה ליעד פעילות משמעותי של התעשיות הביטחוניות הישראליות ● ואיזו מדינה מפסידה מכל זה?

מייקל רפפורט / צילום: Charles SykesBravo via Gettyimages

מייקל רפפורט שילם מחיר על תמיכתו בישראל, אבל מתעקש: "אני לא קורבן"

השחקן מייקל רפפורט התבלט במלחמה כאקטיביסט פרו–ישראלי ● "תמיד הייתי יהודי גאה", הוא אומר בראיון לקראת השתתפותו בוועידת ישראל לעסקים של גלובס שתיערך ביום ראשון הבא, אבל יש לזה מחיר: "איבדתי חברים, עבודה" ● עכשיו הוא שוב מושך אש: "ממדאני נבחר לראשות ניו יורק כי אנשים הוזנו במידע שגוי"

איגור טוצ'ינסקי (רביעי מימין) ובכירי בית החולים איכילוב / צילום: יח''צ

התרומה החדשה לבתי החולים איכילוב והדסה

איגור טולצ'ינסקי, מייסד ומנכ"ל חברת ההשקעות WorldQuant, תרם 5 מיליון שקל למרכזי פוסט-טראומה בשני בתי חולים ● בכירי ענף הפינטק נפגשו עם הנשיא הרצוג, והפקולטה לניהול של אוניברסיטת תל אביב ניצבת בשורה אחת עם המוסדות האקדמיים המובילים בעולם ● אירועים ומינויים

ביל ומלינדה גייטס / צילום: ap, Seth Wenig

קרן ביל ומלינדה גייטס קיצצה ב-65% את החזקותיה במיקרוסופט

רשות ניירות הערך האמריקאית דיווחה כי ברבעון האחרון קיצצה הקרן הפילנתרופית של ביל ומלינדה גייטס בעשרות אחוזים את ההחזקות שלה במיקרוסופט ● המהלך מעורר שאלות משום שמיקרוסופט שימשה זמן רב כנתח המרכזי של תיק ההשקעות של הקרן

איזה אצטדיון כדורגל בארץ הוא היחיד הקרוי על שם אישה? / צילום: Shutterstock

איזה אצטדיון כדורגל בארץ הוא היחיד הקרוי על שם אישה?

כיצד נוהגים האופוסומים להתגונן מטורפים, באיזה שיר של אהוד בנאי מוזכרות כבשים, ובמטבח המולקולרי, איך נקראת השיטה להכנת כדורים קטנים ממיצים? ● הטריוויה השבועית

גבינות בסופרמרקט / צילום: שירה ספיר

מחירי הגבינות יירדו? האוצר יגדיל את היבוא פי שלושה

משרד האוצר יפרסם השבוע להערות הציבור החלטה להגדיל דרמטית את מכסות היבוא על גבינות צהובות, קשות ופרימיום - ממכסה שנתית של 6,500 טונות בלבד, למכסה של 19.5 אלף טונות ● הרחבת המכסות תהיה בהוראת שעה לשנתיים ותיכנס לתוקף בתחילת 2026

צילום: Shutterstock, Pixels Hunter

המניות שיירדו היום, הדוחות שכולם מצפים להם וההשקעה החדשה של באפט

על רקע נתוני האינפלציה ביום שישי, מתגברת ההערכה שהורדת הריבית בישראל בעוד שבוע מתקרבת ● בינתיים, במהלך השבוע הקרוב, ידווחו הבנקים הגדולים ומניות רבות נוספות ● בוול סטריט, תדווח החברה הגדולה בעולם – אנבידיה ● וגם: המניה החדשה של וורן באפט, והאם אפל מתכוננת לפרישה של המנכ"ל טים קוק?

ישראל גורט / צילום: אייל מרילוס

הוא הפתיע את גוגל ופייסבוק כשאיתר אצלן פרצות אבטחה. בכסף שקיבל ייסד סטארט-אפ

"בעוד עשר שנים הייתי רוצה לחיות במציאות שבה אף אחד לא יסתכל עליי, יזם הייטק חרדי בחליפה שחורה וכובע, כמשהו חריג" ● שיחה קצרה עם ישראל גורט, מייסד-שותף ו-CTO בחברת הסייבר Reflectiz

מחשוב קוונטי / צילום: AP

כולם מסכימים שזו תהיה המהפכה הטכנולוגית הבאה. אבל מי תהיה ה"אנבידיה" של התחום?

מחשוב קוונטי הולך ומתברר בתור המהפכה הטכנולוגית שצפויה לקחת את המחשוב המתקדם בעולם לשלב הבא ● גם בשוק ההון מזהים את הפוטנציאל, והמניות בתחום הציגו תשואות פנומנליות בשנה האחרונה ● אבל עליות של אלפי אחוזים מביאות גם ירידות חדות, ויש מי שמשוכנעים: הדבר הגדול הבא יגיע מהשוק הפרטי או מענקיות הטכנולוגיה

נדל''ן בתל אביב / צילום: Shutterstock

שוק הנדל"ן התל אביבי חזר 4 שנים לאחור

נתוני הלמ"ס מראים כי לא רק שמחירי הדירות יורדים: הציבור מחפש היום דירות זולות ● זאת בעוד שבשוק, במיוחד במרכז הארץ, יש היצע דירות יקרות ● חוסר איזון כזה לא יכול להיגמר טוב

איך בני 80 שומרים על מוח צעיר / צילום: Shutterstock

במכון ויצמן עשו מחקר ענק על הזדקנות, והממצאים מפתיעים

פרופ' מרסל משולם מאוניברסיטת נורת'ווסטרן חקר במשך שנים אלצהיימר ואז החליט לשנות כיוון ולחקור דווקא את הסוד של הסופר־אייג'רים ● פרופ' אורי אלון ממכון ויצמן חיפש את "צוק ההזדקנות" של נשים והופתע בעצמו מהממצאים ● ופרופ' ודים גלדישב, מבית החולים של הרווארד, גילה מה קורה כשמחברים בין איברים של עכבר צעיר ועכבר זקן ● שלושה חוקרי הזדקנות מספרים לגלובס על הממצאים המטלטלים והמשמעות שלהם לעתיד, וגם עונים על השאלה איך אפשר להאט הזדקנות כבר היום

המאבק בהון השחור. מימין: מנהל רשות המסים שי אהרונוביץ' ומנהל רשות המסים לשעבר ערן יעקב / צילום: איל יצהר, שחר עזרן

מנהל רשות המסים לשעבר: "איזה אדם נורמטיבי מחזיק 300 אלף שקל במזומן?"

הון עתק נעלם מדי שנה בכלכלת הצללים, אך רק בשנה האחרונה הצליחה המדינה לחשוף חלק קטן מההון השחור - בעיקר דרך רפורמות בחשבוניות ובמזומן ● ראש רשות המסים לשעבר: "המפתח הוא לזהות עסקאות לא לגיטימיות בזמן אמת ולמנוע אותן; אנחנו נעזרים ב־AI"

וורן באפט / צילום: ap, Nati Harnik

וורן באפט חושף את ההשקעה החדשה שלו

ברקשייר האת'ווי חשפה השקעה חדשה במניות אלפאבית בשווי 4.3 מיליארד דולר ● ההשקעה בחברת האם של גוגל מפתיעה לאור התנגדותיו של באפט בעבר להשקיע במניות צמיחה בתחום הטכנולוגיה ● במקביל, האורקל מאומהה ממשיך לצמצם את ההחזקה במניית אפל

דירה במגדל בר''ג נמכרה ב־15% מעל מחיר השוק / צילום: Shutterstock

בכמה נמכרה דירת שני חדרים במגדל סיטי טאואר ברמת גן?

המגדל היוקרתי מציע מבחר גדול של דגמי דירות, ורמת המחירים בו יציבה בשנתיים האחרונות ● הדירה, עם שני חדרים בשטח של 51 מ"ר, נמכרה ב-2.23 מיליון שקל