גלובס - עיתון העסקים של ישראלאתר נגיש

לאתר הרגיל | פורטל פיננסי | | |

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'

האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב.

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט.

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי".

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

צילומים: AP/Dimitar dilkof, Andy Wong, Ludovic Marin, עיבוד: טלי בוגדנובסקי

מלחמת היין ופרשת גרינלנד: טראמפ מחריף את הטון מול אירופה, והשווקים מגיבים

הנשיא האמריקאי מגביר את הלחץ לקראת הגעתו לפורום דאבוס: איים במכסי ענק על צרפת, חשף הודעות פרטיות ממקרון וביקר את בריטניה על נסיגתה מאיי צ'אגוס ● בעוד דנמרק מחרימה את הכינוס, השווקים מגיבים בבריחה מהדולר לעבר הזהב ● המסחר בוול סטריט נפתח בירידות

אסף רפפורט, מנכ''ל ומייסד שותף Wiz / צילום: עומר הכהן

מתקרבים לחתימה: קבוצה בראשות אסף רפפורט בדרך לרכישת רשת 13

בעל השליטה ברשת 13 במגעים מתקדמים עם קבוצת יזמי הייטק למכירתה ● הערכות: יזרימו כ-100 מיליון דולר בשלוש השנים הראשונות, ולגלובס נודע כי הושלמה בדיקת הנאותות

חומרי בנייה, משאית הובלה בקירור של Trane Technologies, גם טכנולוגיות ביטחוניות של BAE SYSTEMS ברשימה / צילום: ap, Business Wire

חוששים מבועה, תגדרו עם השקעה: בנק אוף אמריקה עם המלצות AI "אחרות"

סקירה שפרסם האסטרטג הגלובלי הראשי של הבנק, מציעה לבחון השקעות בפריפריה של תחום הבינה המלאכותית, כגידור לחששות מבועה במניות המובילות בטרנד ● בבנק הרכיבו רשימה של קרוב ל-30 מניות, שהקורלציה שלהן למניות ה-AI "הטהורות" היא פחות מ-50%

נשיא ארה''ב, דונלד טראמפ / צילום: Reuters, Lev Radin/Si

טראמפ מתקפל? הסיר את המכסים החדשים על אירופה ודיווח על "מסגרת להסכמה" על גרינלנד

אחרי איומים בסיפוח גרינלנד ובהטלת מכסים על מדינות אירופה ככל שאלו ימנעו זאת בעדו, טראמפ הודיע על הקפאת הצעדים והציג "מסגרת לעסקה עתידית" עם נאט"ו ● מוקדם יותר היום הפרלמנט האירופי עצר את אישור הסכם הסחר עם ארה"ב, בטענה שהמכסים החדשים עשויים להפר אותו

אופטימיות זהירה בשוק האג''ח / עיבוד: טלי בוגדנובסקי

בורסה ללא הסדרי חוב: האופוריה בשוק האג"ח שוברת שיאים

מרווח התשואות בין אג"ח ממשלתיות לקונצרניות צנח לרמת שפל, ובשוק מתריעים: "הפיצוי שמקבלים משקיעים בגין תוספת הסיכון הצטמצם דרמטית" ● במקביל, הסדרי החוב נעלמו כמעט לחלוטין ואג"ח זבל מהוות פחות מ–1% מהשוק — לעומת חמישית ממנו עם פרוץ המלחמה

אחרי עשור: סמנכ"לית הטלוויזיה של התאגיד טל פרייפלד מסיימת את תפקידה

טל פרייפלד הייתה ממקימי תאגיד השידור הציבורי, ובמסגרת תפקידה הייתה אחראית על "כאן 11", "כאן חינוכית" ו"מכאן" והובילה את התכנים הפופולריים של הערוץ - ובהם "קופה ראשית", "בואו לאכול איתי", "כראמל" ו"טהרן"

שבע המופלאות / צילומים: shutterstock, עיבוד: טלי בוגדנובסקי

הן היו כוח שמניע את השווקים, כעת הן מתפזרות ל-7 כיוונים

קבוצת שבע המניות המופלאות של ענקיות הטכנולוגיה, שמיקדו את הייפ הבינה המלאכותית, מתפצלת מבפנים ● רבות מהן משתרכות כיום אחרי השוק הכללי

מנכ''ל OpenAI סם אלטמן לצד מירה מואטי, לפני שהאחרונה עזבה את החברה / צילום: ap, Barbara Ortutey

הרומן נחשף, בכירים עזבו: הסטארט־אפ של יוצאת OpenAI מתקשה להתרומם

סטארט־אפ הבינה המלאכותית Thinking Machines Lab של מירה מוראטי, לשעבר בכירה ב־OpenAI, ניצב בימים אלה בעיצומו של גל עזיבות חריג ● ברקע: רומן בין מנהל לעובדת ודרישה לקחת חלק מסמכויותיה של מוראטי בחברה

האם יהודים בארה"ב עדיין רצויים בבית הלבן?

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל • והפעם: במשך שנים יהודים היו חלק מהפוליטיקה האמריקאית - כעת זה משתנה, מדינות האזור מעדיפות שלטון לא מתפקד באיראן מאשר כאוס, והאם "הקו הצהוב" הפך מאז הפסקת האש לגבול החדש של ישראל עם רצועת עזה • כותרות העיתונים בעולם

דוח חדש חושף היקף הזמנות חריג מסטארט-אפים ביטחוניים

דוח סיכום שנת 2025 של מפא"ת חושף כי חברות צעירות בשלבים מוקדמים מרכזות כמחצית מהעסקאות, עם דגש על פלטפורמות אוטונומיות ● ההזמנות מלקוחות זרים הסתכמו בכ־300 מיליון שקל

אילו הרגלים קטנים עושים הבדל בבריאות שלנו? / צילום: Shutterstock

במעבדה בבר־אילן חוקרים מגלים איך תוכלו להאריך חיים עם שינוי אחד קטן

פרופ' יונתן רבינוביץ' הקים באוניברסיטה מכון מחקר לאריכות ימים ואיכות חיים, שמטרתו לבחון אילו שינויים בשגרת היומיום ישיגו את ההשפעה הכי גדולה על הבריאות לטווח ארוך ● למכון כבר יש תובנות ממחקרים הנוגעים לשתיית מים, שינה והליכה

נשיא ארה''ב דונלד טראמפ נואם בדאבוס / צילום: Reuters, Denis Balibouse

טראמפ בדאבוס: "רוצה לפתוח במו"מ מיידי לרכישת גרינלנד. לא אפעיל כוח"

נשיא ארה"ב נאם בפורום הכלכלי העולמי בדאבוס, והתייחס לגרינלנד: "אנחנו נותנים המון, ומקבלים כל כך מעט בחזרה. כל מה שאנחנו רוצים חזרה זה גרינלנד" ● הצפי הוא כי מחר ישיק טראמפ את "מועצת השלום" שיזם בנוגע להסכם הפסקת האש בעזה, למרות ששורת מדינות אירופיות דחו את ההזמנה להצטרף אליה

שי אהרונוביץ', מנהל רשות המסים / צילום: יוסי זמיר

מנהל רשות המסים חשף: נוהל הגילוי מרצון החדש רחוק מאוד מהשגת היעד

רק 122 בקשות לגילוי מרצון על הון לא מדווח הוגשו מאז פורסם הנוהל באוגוסט האחרון ● מנהל רשות המסים מאשים: הנתון נובע בעיקר בשל היעדר פתרון בבנקים להפקדת כספי קריפטו

איש קש וחברה פיקטיבית: כתב אישום נגד מקורבו של אורן קובי

ג'ון קנדלר מואשם ששימש כאיש הקש של אורן קובי במסגרת פעילות שנועדה להוציא במרמה 2.3 מיליון שקל מלקוחות, תוך עקיפת איסור שיפוטי מוחלט שהוטל על קובי לעסוק בתחום הנדל"ן

וולט מרקט, נווה צדק / צילום: שי עזרי, Wolt ישראל

וולט תיפרד מהנכס החשוב שלה? מאחורי האולטימטום של רשות התחרות

רשות התחרות פועלת בזהירות מוצדקת מול הכוח שצברה וולט בענף המשלוחים המהירים ● ואולם פירוק וולט מרקט כעת עלול לפגוע בשירות שממלא צורך אמיתי עבור הצרכנים – עוד בשלב שבו החשש מפגיעה בתחרות הוא עדיין תיאורטי בלבד

נטפליקס עקפה את הציפיות, אך המניה יורדת במסחר המאוחר. אלה הסיבות

נטפליקס דיווחה על הכנסות של 12.05 מיליארד דולר ועל רווח של 0.56 דולר למניה ברבעון הרביעי - שניהם מעט מעל הצפי ● מספר המנויים צמח ב־8% ל־325 מיליון ● היום שינתה נטפליקס את הצעתה לרכישת וורנר ברדרס באופן התשלום, וכעת היא מציעה שכל הסכום ישולם במזומן, וזאת כדי לסגור את הדלת להצעת פרמאונט

המחירים עולים? אביב מליסרון מחזירה עד 300 אלף שקל על דירה חדשה / עיבוד: טלי בוגדנובסקי