גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

אילוסטרציה: Shutterstock

"סערה מושלמת זה אנדר-סטייטמנט": הגורמים מאחורי צניחת הדולר

מדד הדולר האמריקאי, המשקף את כוחו מול סל המטבעות, הגיע לשפל של ארבע שנים בעידודו של הנשיא דונלד טראמפ ● היתרונות מבחינתו: שחיקה של החוב הגבוה, עידוד התעשייה המקומית ותמיכה בשורת הרווח של החברות הרב-לאומיות ● מי המפסידים הגדולים, ואיך זה קשור לנעשה ביפן וסין?

ארז בלשה, מייסד ומנכ''ל קרן ג'נריישן / צילום: שלומי יוסף

מנכ״ל ג'נריישן על משבר התשתיות: "הפתרון חד משמעית במגזר הפרטי. למדינה יש תפקיד חשוב בהסרת החסמים"

מנכ"ל קרן ג'נריישן ישראל, ארז בלשה, אמר בכנס תשתיות לעתיד של גלובס כי הפתרון לפיתוח התשתיות נטוע במגזר הפרטי, ש"מביא יכולות שאין במגזר הציבורי" ● בלשה מסביר כי השירות הנמוך של התחבורה בישראל קשור ל"מחסור בנהגים ובנתיבים עמוסים"

עו''ד ספי זינגר, יו''ר רשות ניירות ערך / צילום: עופר עמרם

רשות ני"ע הכפילה תוך שנה את סכום הקנסות בשוק ההון

רשות ניירות ערך מדווחת על עלייה חדה בקנסות ב-2025: הוטלו 29 עיצומים בסכום מצטבר של יותר מ-6 מיליון שקל, לעומת 23 עיצומים בכ-3 מיליון שקל ב-2024 ● רוב הקנסות נגעו להפרות דיווח ולגילוי חסר למשקיעים

האם הקהילה הבינלאומית בדרך לשלם לחמאס עבור מסירת הנשק?

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל • והפעם: בוול סטריט ג'ורנל מעריכים שלאיראן יש מספיק טילים כדי להגיב בחריפות על מתקפה נגדה, לפי דיווח של רויטרס שלב ב' ברצועת עזה יכלול רכישה מסיבית של כלי נשק של חמאס, והמחאה העצובה של משפחות המפגינים שנהרגו באיראן • כותרות העיתונים בעולם

נשיא ארה''ב דונלד טראמפ / צילום: ap, Alex Brandon

דיווח: טראמפ שוקל מתקפה "משמעותית" באיראן

לפי הדיווח, נשיא ארה"ב שוקל לתקוף באיראן כדי להצית מחדש את המחאות ● בכיר במערכת הביטחון: נתניהו סירב 11 פעמים לחסל את סינוואר ● האיחוד האירופי צפוי להגדיר את משמרות המהפכה באיראן כארגון טרור ● יועצו של חמינאי: כל תקיפה של ארה"ב באיראן תיענה בתגובה לת"א ● "מתקפה אנטישמית": אדם התנגש עם רכבו בבית כנסת של חב"ד בברוקלין ● עדכונים שוטפים

יוני חנציס, מנכ''ל קבוצת דוראל אנרגיה, בכנס תשתיות לעתיד / צילום: שלומי יוסף

מנכ"ל דוראל: "חברות האנרגיה בנקודת שינוי היסטורית"

יוני חנציס, מנכ"ל דוראל, דיבר בכנס תשתיות לעתיד של גלובס על החסמים לייצור חשמל סולארי בישראל, על הפוטנציאל של חברות האנרגיה המתחדשת וגם על התוכניות להנפקה

משה מזרחי, מייסד אינמוד / צילום: איל יצהר

מתחרה שלישית על אינמוד: קרן סטיל פרטנרס מציעה לרכוש 51% מהחברה

הקרן מציעה לרכוש 51% מהחברה ב-18 דולר למניה ● "פנינו להנהלה אבל לא זכינו לתגובה", נמסר מן הקרן, שמשקיעה בחברות תעשיה ונסחרת לפי שווי דומה לזה של אינמוד ● ההצעה מגיעה לאחר שבתחילת השבוע נחשף כי שתי מתחרות מעוניינות לרכוש את החברה כולה ולהפוך אותה לפרטית

מנכ''ל מיקרוסופט, סאטיה נאדלה / צילום: ap, Elaine Thompson

מיקרוסופט עקפה את התחזיות, אז למה המשקיעים מודאגים מהתוצאות?

ענקית הטכנולוגיה עקפה את התחזיות בשורה העליונה והתחתונה ● עם זאת, הצמיחה מפלטפורמת הענן שלה, אז'ור, עמדה על 39% - מעל צפי האנליסטים, אך מתחת לשיעור הצמיחה שנרשם ברבעון הקודם, שעמד על 40% ● מניית מיקרוסופט יורדת במסחר המאוחר בוול סטריט

פרופ' מתן גביש / צילום: ינאי יחיאל

הפרופסור הישראלי שנלחם באדובי: "הגיע הזמן להחליף את ה-PDF"

החברה של פרופ' מתן גביש מהאוניברסיטה העברית, עושה את צעדיה הראשונים ובוחנת את האפשרות להחליף את מסמכי ה-PDF הוותיקים של אדובי, בפורמט דיגיטלי משוכלל הרבה יותר ● "הגיע הזמן לסטנדרט חדש. ה-PDF הוא אובייקט סגור ולא יעיל, וגם כזה שלא מתאים לעידן האוטומציה של ה-AI", אומר גביש לגלובס

שר האוצר בצלאל סמוטריץ' / צילום: נועם מושקוביץ, דוברות הכנסת

הכנסת אישרה בקריאה ראשונה את הצעת תקציב המדינה

ברוב של 62 חברי כנסת, אושרה בקריאה ראשונה הצעת חוק תקציב המדינה ל-2026 ● לקואליציה נותרו חודשיים להשלים את מהלך החקיקה, וגורל הרפורמות יוכרע כעת בוועדות הכנסת ● מוקדם יותר קרא סמוטריץ' לנגיד להוריד בחדות את הריבית. כך הגיב בנק ישראל

אברהם נובוגרוצקי / צילום: תמר מצפי

ברוב גדול: זה נשיא התאחדות התעשיינים החדש

אברהם (נובו) נובוגרוצקי זכה ב-523 קולות מול המועמד צורי דבוש שקיבל רק 219 קולות ● הוא יחליף את רון תומר שכיהן בתפקיד בשש השנים האחרונות

סין סימנה את המוסד כמטרה - וזו הסיבה

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל • והפעם: מדינות המפרץ מתנגדות לתקיפה באיראן, סין עוזרת לטהרן לסכל את פעילות המוסד בשטחה, ובמגזין פורן פוליסי טוענים שמועצת השלום של טראמפ תפגע בחלשים • כותרות העיתונים בעולם

יוסי אלמלם, מנכ''ל קבוצת רימון / צילום: דוד מוסקוביץ

האקזיט של הקיבוצניקים והמייסד: קבוצת גרנות ויוסי אלמלם מכרו מניות רימון ב-200 מיליון שקל

בעלת השליטה בחברת התשתיות והמנכ"ל הוותיק יוסי אלמלם ניצלו זינוק של 130% כדי למכור 5% ממניותיהם; בצד הרוכש, שורה של גופים מוסדיים שנהנו מדיסקאונט של 8% על מחיר המניה

משה בן זקן, מנכ''ל משרד התחבורה והבטיחות בדרכים / צילום: שלומי יוסף

מנכ"ל משרד התחבורה: "לוויזאייר יש תיאבון, והם רוצים להביא כמה שיותר מטוסים. מאמין שייכנסו עוד חברות"

מנכ"ל משרד התחבורה, משה בן זקן, התייחס בכנס תשתיות לעתיד של גלובס לתוכניות להקים בסיס וויזאייר בנתב"ג ולאפשרות לכניסת אובר לפעילות בישראל ● "אני מאמין שוויז זו רק הסנונית הראשונה, וייכנסו עוד חברות. המטרה שלנו היא לראות את המחירים צונחים" ● "היוזמה להבאת אובר לארץ מתקדמת בקצב שלא היה אף פעם"

מיכל הלפרין, הממונה על התחרות לשעבר; זוהר גולן, יו״ר התאגדות נהגי המוניות בפורום העצמאיים / צילום: כדיה לוי

להוזיל את מחיר הנסיעה או להגן על נהגי המוניות? בעד ונגד כניסת אובר לישראל

בכנס תשתיות לעתיד של גלובס דנו בשאלה האם יש להתיר את כניסתה של אובר לישראל, או לא לאפשר זאת על מנת להגן על נהגי המוניות ● בדיון הציגו את עמדותיהם עו"ד מיכל הלפרין הממונה על התחרות לשעבר שתמכה במהלך, וזוהר גולן, יו"ר ההתאגדות נהגי במוניות בפורום העצמאיים שהתנגד לו

חתימה על צוואה / אילוסטרציה: Shutterstock

מדוע בית המשפט ביטל צוואה שבה אדם הוריש את כל רכושו לאחותו?

צוואה שבה אב הדיר את ילדיו מהירושה לטובת אחותו בוטלה ע"י בית המשפט לענייני משפחה ● לאחר מות האב, הילדים פנו לבית המשפט וביקשו לבטל את הצוואה ● בית המשפט פסק לבסוף כי האחות מעלה באמון האב וניסתה לחמוס את הרכוש לידיה בחוסר תום-לב

האוצר משיק פיילוט למערכת תשלומים מבוססת ''אסימונים דיגיטליים'' / איור: Shutterstock

האוצר משיק: פיילוט תשלומים חדש לספקים ממשלתיים

לפני ארבעה חודשים הכריז החשכ"ל על כוונתו להקים מערכת שתחליף את העברות הכספים המסורתית לגופים ציבוריים וספקיהם ● כעת, לאחר שנבחרו שלושה פתרונות, בחודש הבא יתחילו הפיילוטים ברשויות המקומיות

השופט יצחק עמית בכנס ההסמכה לעריכת דין

השופט יצחק עמית בכנס עורכי הדין החדשים: "מערכת המשפט תחת מתקפה של ממש"

את הדברים הנוקבים אמר השופט עמית בטקס ההסמכה לעריכת דין שהתקיים הערב (ה') בירושלים ● "אם מי שנמצא בעמדת כוח או השפעה מרשה לעצמו להתעלם מהכרעה שיפוטית שאינה לרוחו, מדוע שאזרח מן היישוב יראה עצמו מחויב לה?"

דורון ארבלי, יו''ר חברת החשמל / צילום: כדיה לוי

יו"ר חברת החשמל: "האינטרס הלאומי והביטחון האנרגטי מחייבים שנמשיך להיות חלק ממערך ייצור החשמל"

דורון ארבלי, יו"ר חברת החשמל, קרא בכנס תשתיות לעתיד של גלובס להסרת המגבלות על פעילות החברה בתחום ייצור החשמל, והציג תוכנית השקעות של כ־50 מיליארד שקל ברשת החשמל עד סוף העשור ● "חברת החשמל היא לא הבעיה של משק האנרגיה, היא הפתרון"

חימושים משוטטים של חברת UVISION / צילום: Reuters, IMAGO

ההישג של חברת הכטב"מים הישראלית והנקמה הקטארית באיראן

UVISION הישראלית ממשיכה להגיע להישגים משמעותיים בשוק האמריקאי ● היעדרות איראנית חריגה מתערוכה ביטחונית יוקרתית בדוחא על רקע המתיחות האזורית ● חשיפת רחפנים וטכנולוגיות חדשות מצד רוסיה והשקעות עתק של סין ביכולות קוונטיות צבאיות ● השבוע בתעשיות הביטחוניות