גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

מיכה קאופמן, מייסד ומנכ''ל Fiverr / צילום: שלומי יוסף

פייבר הישראלית הודיעה שתפטר 250 עובדים

מייסד ומנכ"ל חברת פייבר, מיכה קאופמן, הצהיר היום כי החברה צפויה לפטר 250 עובדים, במטרה להתאים את מבנה החברה לעידן ה-AI ● קאופמן ציין כי המהלך הוא חלק מתוכנית טרנספורמציה שמטרתה להפוך את החברה לממוקדת-AI, רזה ומהירה יותר, עם פחות שכבות ניהול

רוברט פ. קנדי, שר הבריאות של ממשל טראמפ / צילום: Reuters, Elizabeth Frantz

הדיווח שגרם לצניחת המניות והעקיצה של מנכ"ל פייזר: חברות החיסונים תחת מתקפה

פרסום על כך ששר הבריאות של טראמפ מתכוון להציג נתונים על נזקי החיסונים לקורונה הובילו לירידות של מניות פייזר, מודרנה וביונטק ● מה עומד מאחורי הדיווח, עד כמה החברות צפויות להיפגע, ומדוע בשוק כבר יש מי שצופים את פרישת השר המתנגד לחיסונים?

ג'אקו 7, רכבי הפלאג אין מובילי מכירות בשוק הפרטי ובהדרגה גם בשוק הציים / צילום: יח''צ

באוצר מתכננים שינוי בהטבות המס למחזיקי רכב צמוד. כל הפרטים

לגלובס נודע כי עפ"י הערכות בענף, במשרד האוצר מתכננים להפחית במאות שקלים את ההטבה החודשית לרכבי פלאג־אין. לעומת זאת, זו של החשמליים צפויה לגדול ● ואיך יושפעו בעלי רכבים היברידיים?

מנכ''ל אנבידיה ג'נסן הואנג, לצד מייסד מלאנוקס איל ולדמן / צילום: תמר מצפי

מלאנוקס בלב המתיחות בין ארה"ב לסין: האם אנבידיה תספוג קנס של מיליארדים

הרשויות בבייג'ינג הודיעו כי אנבידיה הפרה את חוקי ההגבלים העסקיים במדינה עם רכישת מלאנוקס ב־2020 ● כעת ענקית השבבים עשויה לספוג קנס של עד 10% מהכנסותיה בסין ● המהלך מגיע לאחר שורת צעדים שארה"ב וסין נקטו אחת נגד השנייה באחרונה

הבורסה בתל אביב / צילום: Shutterstock

הבורסה בתל אביב ננעלה באדום לאחר דברי נתניהו על המצב המדיני-כלכלי של ישראל

ת"א 35 נפל בכ-0.3% ● המניות הביטחוניות איבדו גובה ● ספק אם מדד המחירים לצרכן שיפורסם היום יגרום לבנק ישראל להוריד את הריבית ● השקל נחלש מול הדולר ● באופנהיימר מעלים את מחיר היעד של טאואר ● החל מרביעי: 36 שעות של החלטות ריבית מסביב לעולם, רוב תשומת־הלב אל הפד, שצפוי לבצע הפחתה ראשונה בקדנציה של טראמפ

ניר צוק, שמוליק האוזר ויובל אלוני באירוע ההשקה של בנק אש / צילום: גדי סיארה

בלי עמלות עו"ש: בנק חדש בישראל יוצא לדרך

בנק אש, שבין מייסדיו נמצא היזם הטכנלוגי ניר צוק, יפתח את שעריו לקהל בתחילת 2026 ויציע חשבון עו"ש ללא עמלות, ריבית זהה לכל המפקידים, ומחצית מההכנסות שלו יופקדו בחשבונות הלקוחות – שינוי שמאתגר את הבנקים המסורתיים בארץ ● עם זאת, הבנק לא יפעל בתחום המשכנתאות ולא מתכנן להציע מסחר בניירות ערך

ליאורה עופר, הראל ויזל וישי דוידי. חברי פורום העסקים / צילום: ענבל מרמרי, דימה טליאנסקי, איל יצהר

"צועדים אל תהום מדיני וכלכלי": פורום העסקים מגיב לנאום ספרטה של נתניהו

לדברי פורום העסקים, "מדיניות הממשלה בראשות בנימין נתניהו מובילה את מדינת ישראל לשפל כלכלי ומדיני מסוכן וחסר תקדים. כאן זה לא ספרטה. החזון כפי שהוצג יקשה עלינו לשרוד בעולם גלובלי מתפתח" ● "על הממשלה לקדם בדחיפות את סיום המלחמה"

מייק פיי ודן אמיגה, מייסדי איילנד / צילום: Antonio Delucci

סקנדרי ענק בסייבר: העובדים והמשקיעים באיילנד ימכרו מניות במעל ל-250 מיליון דולר

מאיילנד לא נמסרו זהות המשקיע או שווי החברה, אך לפי מקורות מדובר בסבב שצפוי לנוע בין 250 ל-300 מיליון דולר לפי שווי חברה של כ-5 מיליארד דולר - שווי הדומה לזה שניתן לחברה בגיוס ההון בחודש מרץ האחרון

ראש עיריית איסטנבול המודח, אקרם אימאמאולו ונשיא טורקיה רג'פ טאייפ ארדואן / צילום: ap, Emrah Gure, Markus Schreiber

ארדואן סוגר חשבונות ומטלטל את הבורסה באיסטנבול

נשיא טורקיה מסלים את המאבק נגד מפלגת העם הרפובליקנית, במקביל לניסיונות להציב "נאמנים" בהנהגת האופוזיציה ● בזמן שהמערכת הפוליטית סוערת, מאבקים אלימים שוטפים את הרחובות ● המשקיעים, שחוששים מערעור היציבות, מטלטלים את שוקי ההון הטורקיים

אילן רום, מנכ''ל משרד האוצר / צילום: ברוך גרינברג

מנכ"ל האוצר: "תקציב הביטחון מתנהל בלי תקרה וחורג מכללי המינהל התקין"

מנכ”ל משרד האוצר אילן רום מתח ביקורת חריפה על ניהול תקציב הביטחון וטען כי התקציב הכפיל את עצמו מאז פרוץ המלחמה מבלי שננקטו צעדי התייעלות ● רום התריע כי ניהול ימי המילואים מתבצע "ללא בקרה וללא אחריות" ומשליך על המשק כולו ● במקביל, תקציב 2025 צפוי להתרחב ב־31 מיליארד שקל ולהעמיק את הגירעון ל־5.2% ● עלות המבצע הנוכחי לכיבוש העיר עזה עדיין לא נכללה – ועלולה להביא לפריצת מסגרת נוספת

איך ישפיעו דברי נתניהו על הכלכלה / עיבוד: טלי בוגדנובסקי

"נחזור לתקופת האבן": הבכירים מנתחים את נאומו החריג של נתניהו, ומי פחות נבהל?

כלכלנים בכירים, גם כאלו שצברו שעות עבודה רבות מול נתניהו, תהו מה פשר אמירותיו החריגות, שאף הביאו לירידות בבורסה ● "משק אוטרקי יהיה אסון לכלכלת ישראל וישפיע על איכות החיים של כל אזרח", הזהיר נשיא התאחדות התעשיינים, רון תומר ● אמיר איל, הבעלים של קבוצת ההשקעות אינפיניטי-אילים: "'אוטרקי' נשמע מבודד, אבל אני רואה בזה עוצמה ויכולת עמידה"

ג'רום פאוול, יו''ר הפדרל ריזרב / צילום: ap, Andrew Harnik

מארה"ב ועד יפן: היכונו ל־36 שעות של החלטות ריבית מסביב לעולם. ומתי בישראל?

היכונו ל־36 שעות של החלטות ריבית מסביב לעולם, מארה"ב ועד יפן ● את מירב תשומת־הלב ימשוך הנגיד האמריקאי, שצפוי לבצע הפחתה ראשונה לאחר תשעה חודשים ● ומה לגבי ישראל? בתחזית הפסימית, הריבית כלל לא תרד עד סוף השנה

השרה מאי גולן / צילום: דני שם-טוב, דוברות הכנסת

פרשת מאי גולן שנחשפה בחדשות 12: המשטרה פשטה על משרדה של השרה מאי גולן

בעקבות תחקיר "המבקר" בחדשות 12: המשטרה פשטה על משרדה של השרה לשוויון חברתי מאי גולן בירושלים ועצרה עו"ד מוכר ששימש בעבר כיועץ הפרלמנטרי שלה • במהלך פשיטה על ביתה של היועצת לשרה נתפסה מעבדת סמים • במשטרה החליטו: גולן תזומן לחקירה היום אחה"צ

העזתים שברחו מעזה בעזרת ChatGPT

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל במלחמה ● והפעם: ישראלים לא יוכלו להתקבל לאקדמיה הצבאית היוקרתית של בריטניה החל משנה הבאה, הצרות של איראן צפויות להחמיר, ארה"ב נאלצת לכבות שריפות במזרח התיכון, וסיפורו של עזתי שברח מעזה בעזרת אופנוע ים ו-ChatGPT ● כותרות העיתונים בעולם 

פרטנר החלה לשדר את התכנים של yes / צילום: פרטנר tv+

השקה רכה: פרטנר החלה למכור את שירות הטלוויזיה החדש שלה

לפני כחודשיים החל פיילוט בקרב עובדי החברה, ואילו כעת מדובר בגרסת בטא המיועדת ללקוחות חדשים - בין אם בחבילות טלוויזיה ובין אם בחבילות משולבות אינטרנט סיבים אופטיים ונטפליקס ● בחודש הבא יחל באופן אוטומטי שדרוג מדורג ללקוחות הטלוויזיה הקיימים, עם חבילות טלוויזיה הכוללות גם את התכנים של yes

ח''כ מירב בן ארי, יש עתיד הזירה המרכזית, ערוץ כנסת, 10.09.25 / צילום: שלומי יוסף

יש עתיד תפתיע בקלפי? לרוב זה לא קורה

ביש עתיד לא מתרגשים מהסקרים הלא מחמיאים, וטוענים כי המפלגה תמיד מצליחה להפתיע בבחירות ● הנתונים לא ממש תומכים בתאוריה הזאת ● המשרוקית של גלובס

ראשי קרן אלומה, מימין: אורי יוגב, מולי רבינא ויאיר הירש / צילום: נוי נפתלי

הניסיון להוריד את המחיר, והנסיגה: מדוע בוטלה עסקת הענק של קרן אלומה ובזק?

קרן אלומה ובזק הודיעו על ביטול העסקה המתוכננת לרכישת חברת הכבלים התת־ימיים של הקרן, אקסלרה, תמורת 160 מיליון דולר ● בבזק ניסו להוריד את מחיר הרכישה, מה שגרם להתפוצצות המגעים ● כעת נראה כי באלומה מחפשים רוכש חדש

דירות חדשות שנבנות / צילום: Shutterstock

מחירי הדירות נמצאים בירידה עקבית, אבל יש בעיה במקום אחר

לפי מדד מחירי הדירות שפורסם אתמול, מחירי השכירות עולים בקצב מהיר - בעוד שמחירי הדירות יורדים בקצב איטי, וגם זה לא בכל המדינה ● מהם ממצאי המדד העיקריים, ומה ההסבר לשונות הגדולה במגמות? ● גלובס עושה סדר

תקיפת מתחמי מחבלים בעזה / צילום: ap, Yousef Al Zanoun

הפעולה יצאה לדרך: טנקים החלו להתקדם לתוך העיר עזה

צה"ל הרחיב את התקיפות בעיר עזה כהכנה לכניסת כוחות קרקעיים • גורם ביטחוני: "מספר העזתים שהתפנו מאפשר להתחיל את התמרון בעיר" • בצל התקיפות העזות ברצועה: משפחות חטופים ושורדי שבי הקימו הלילה אוהלים מול מעון רה"מ בירושלים ● שר החוץ האמריקאי מזהיר: "חלון ההזדמנויות להסכם הפסקת אש הולך ונסגר" ● 48 חטופים - 711 ימים בשבי - עדכונים שוטפים 

כשמכוניות חדשות נמכרות בהנחות ענק, לא קונים מכוניות יד שנייה / עיבוד: טלי בוגדנובסקי

בחסות הנחות של עשרות אלפי שקלים - רכב בן שנה עשוי לעלות יותר מרכב חדש

היבואנים תקועים עם מלאי גדול, ועשרות אלפי רכבי "אפס קילומטר" מוצעים בהנחות של עשרות אלפי שקלים ● לצד התחרות האגרסיבית שנוצרה בין הדגמים החדשים, ההשלכות מורגשות גם בשוק המשומשות ● הנפגעים העיקריים: רכבים שעלו לכביש בשלוש השנים האחרונות