גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

טראמפ שולח לישראל מערכת נשק בשווי חצי מיליארד דולר

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל במלחמה ● והפעם: ארה"ב תמכור לישראל מערכת להנחיית פצצות, בוול סטריט ג'ורנל טוענים שגם דחייה של חודש בתוכנית הגרעין האיראנית משמעותית ואיך השפיעה המערכת מול איראן על ענף התעופה ● כותרות העיתונים בעולם

ישראל שיתקה את המימון השיעי / צילום: AP

הצד הפחות מוכר של המלחמה: ישראל נתנה מכה אנושה גם לתשתית הפיננסית של איראן

אחרי ששיתקה כלכלית את הציר השיעי, ישראל חנקה גם את מנגנון הכספים של איראן עם חיסול אנשי מפתח בהעברת כספים לציר השיעי ● אבל המערכה טרם הסתיימה: חברות קש סיניות מבריחות נפט וסחורות תחת מסווה, ונעזרות בבנקים אירופיים

נשיא ארה''ב דונלד טראמפ / צילום: ap

טראמפ: אני אהיה תקיף ביותר מול נתניהו על עזה

טיל שוגר מתימן לישראל ויורט ● גורם המעורה במו"מ: "אפשרות לפריצת דרך בזמן הקרוב" ● איראן: מתקני הגרעין שלנו ניזוקו בצורה קשה, אין לפי שעה תאריך לחידוש שיחות הגרעין ● שרי החוץ של מדינות ה-G7: יש לפעול לחידוש המו"מ עם איראן על הסכם הגרעין ● נשיא ארה"ב, דונלד טראמפ, הסיר את הסנקציות מהמשטר בסוריה ● דיווחים ערביים: כוחות צה"ל פועלים באזור שכם ● 50 חטופים - 634 ימים בשבי ● עדכונים שוטפים 

וול סטריט / צילום: Unsplash, Chenyu Guan

נעילה מעורבת בוול סטריט; טסלה ואנבידיה ירדו ומשכו את נאסד"ק למטה

נאסד"ק ירד ב-0.8% ● תשואות האג"ח האמריקאיות טיפסו לאחר שפאוול אמר שלולא מלחמת הסחר, הריבית בארה"ב הייתה יורדת ● נעילה מעורבת באירופה ● הדולר בעולם בשפל של מעל 3 שנים • S&P 500 חצה לראשונה את רף ה-6,200 נקודות • גאופוליטיקה, מלחמת הסחר ו-"רגע ליז טראס" - בבלומברג מנתחים את הסיכונים בוול סטריט במחצית השנייה של השנה

השר לביטחון לאומי איתמר בן גביר / צילום: ap, Tsafrir Abayov

בעקבות רפורמת הנשק של בן גביר: כמות התלונות על המשרד לביטחון לאומי גדלו פי 6

רפורמת הנשק של השר בן גביר הביאה לגל של 370 אלף בקשת לרישיון נשק מתחילת המלחמה, שהביאה לעומס בירוקרטי יוצא דופן ● 1,436 תלונות על המשרד לביטחון לאומי הוגשו בשנה החולפת, לעומת 226 תלונות בלבד בשנה שעברה ● רבות מהתלונות הן של חיילים בחזית שלא הצליחו להוציא רישיון נשק אזרחי

נזק כתוצאה מהמטח מאיראן / צילום: כב''ה

פתרון לבירוקרטיה ולמאבקי הדיירים? הממשלה שוקלת לקנות את הדירות ההרוסות

על פי הערכות, קיימות כיום כ-3,000 משפחות שביתן נהרס כליל בעקבות המלחמה, וכי ייקח שנים עד שישוקמו או שבתים אחרים יוקמו במקומם ● משרד האוצר, משרד הבינוי והשיכון, רשות המסים והתאחדות הקבלנים, הודיעו על מסלול שיסייע לתושבים בהתנהלות מול הרשויות, במסגרתו כל התהליך ינוהל על ידי המדינה, לרבות מימון, פיקוח וביצוע

איתי בן זאב, מנכ''ל הבורסה לניירות ערך / צילום: כדיה לוי

בזמן המלחמה מול איראן: הבורסה אישרה את המעבר למסחר בימי שישי

לפני כשבועיים החליט דירקטוריון הבורסה על שינוי התקנון - באופן שהמסחר בה יתקיים החל מהשנה הבאה בימים שני עד שישי, במקום ראשון עד חמישי כיום ● IBI: "זהו מהלך חשוב הן בהיבט של חיבור שוק ההון הישראלי והבורסה לני״ע לעולם והן מבחינת בפעילות חבר הבורסה מול הלקוחות" ● איגוד בתי ההשקעות: "מדובר במהלך מורכב הכרוך בשורה של סוגיות רגולטוריות ותפעוליות שטרם הוסדרו"

בניין מערכת וואלה בתל אביב / צילום: ראובן קסטרו, וואלה! NEWS

גל העזיבות בוואלה נמשך: סגן העורך דוד רוזנטל עוזב אחרי חודשיים בתפקיד

התפקיד הבא של רוזנטל: עורך אתר "ישראל היום" ● בוואלה הודיעו כי ליאת להב תחליף את רוזנטל ותמונה לסגנית העורך הראשי ● לאחרונה עזבו את וואלה גם סגן העורך צחי קומה, המנכ"ל עידן אלרום והפרשן המדיני ברק רביד

משמאל לימין: מייסדי אימג'ין, יהונתן צלח, דין ביתן ושחר פורת / צילום: אייל טואג

גיוס של 23 מיליון דולר לחברת אימג'ין AI בהובלת לארי אליסון

גיוס סבב נוסף בהיקף של 23 מיליון דולר לאימג'ין AI, שפיתחה טכנולוגיה לגילוי מהיר של סרטן, שאותו מוביל, כמו את סבב הגיוס הקודם, מייסד חברת אורקל והמשקיע לארי אליסון ● בעקבות הגיוס הנוכחי, סך ההשקעות בחברה מגיע ל-45 מיליון דולר

וול סטריט / צילום: Unsplash, Ahmer Kalam

המניה הלוהטת שחזרה לככב בוול סטריט, והמניות שאכזבו בת"א

האופטימיות ביחס להסכמי הסחר והמערכה הקצרה עם איראן צבעו את המסכים בבורסה בתל אביב ובוול סטריט בירוק במהלך החודש החולף ● סקטור השבבים ובעיקר מניית אנבידיה הובילו את העליות, מי אכזבו והאם הראלי יימשך?

כסף בקיר. עם שחר שני / צילום: פרטי

תכנון המס אפשר לו לקנות שתי דירות להשקעה, והוא רק בן 23

שחר שני עבד כנער בצביעת בתים ובשיפוצים, ולכן לא נבהל מקניית דירה שזקוקה לשיפוץ ● לאחר מכן מינף את הניסיון שצבר בבית ואת מבצעי הקבלנים - כדי להחזיק שתי דירות בגיל שבו רוב הצעירים עוד חוסכים לטיול אחרי צבא

מנכ''ל פריון, טל יעקובסון / צילום: אוהד דיין

גם הפניקס דורשת מפריון לבטל את גלולת הרעל: "רואים בחומרה את התנהלות הדירקטוריון"

הפניקס מצטרפת לדרישה של ווליו בייס לבטל את גלולת הרעל ● השתיים מבקשות לכנס אסיפת בעלי מניות ובה להצביע על ביטולה ודרישה לאישורה ברוב רגיל ● בפניקס אומרים שהתוכנית אומצה תוך התעלמות מהנזקים שייגרמו לבעלי המניות

מערכת ההגנה האווירית SPYDER בתצורת All in One / צילום: רפאל

המערכת שמאחורי עסקת הענק של רפאל, ולמה היא לא ממש פועלת בישראל?

רומניה תרכוש את מערכת ההגנה האווירית ספיידר של רפאל, בעסקה בשווי של כ־2.2 מיליארד דולר ● העובדה שמכירתה לא דורשת אישור אמריקאי, לצד התאמתה לאיומים מתמרנים כמו מל"טים וטילים בליסטיים, הופכת אותה למבוקשת במיוחד בשוק הביטחוני הנוכחי

שרת התחבורה מירי רגב / צילום: עמית שאבי - ידיעות אחרונות

רגב הורתה להחרים את הדיונים על הקמת שדה תעופה בעמק יזרעאל

שרת התחבורה הורתה שלא לקדם את הקמתו של השדה הצפוני עד להצגת חלופות לשדה הדרומי לראש הממשלה ● בכך מצטרפת רגב לקריאתו של ח"כ אלמוג כהן שלא לקדם בינתיים את השדה

איור: גיל ג'יבלי

"המדינה שלנו זקוקה לאלטרנטיבה": הסכסוך בין טראמפ למאסק עולה שלב

איל ההון תקף ברשת החברתית X את חוק התקציב הענק והשנוי במחלוקת של הנשיא, ושוב איים בהקמת מפלגה מתחרה ● התגובה של טראמפ לא איחרה לבוא: "מאסק קיבל יותר סובסידיות מכל אדם אחר בהיסטוריה" ● החוק צפוי להגדיל את הגירעון האמריקאי ב־3.8 טריליון דולר

יעקב לוקסנבורג / צילום: סיון פרג'

המהלך הכפול שהניב ליעקב לוקסנבורג תוספת שווי של 400 מיליון שקל

בשבוע שעבר ניצל יעקב לוקסנבורג את מחירי השיא בבורסה בת"א כדי למכור מניות בחברת הבנייה דניה סיבוס, ובמקביל הגדיל את החזקותיו בלפידות קפיטל השולטת בה ● התוצאה: שווי החזקותיו בלפידות זינק ל-3.2 מיליארד שקל

ראש הממשלה בנימין נתניהו / צילום: עמוס בן גרשום לע''מ

ראש הממשלה ביטל דיון בהקמת שדה תעופה ברמת דוד

המועצה הארצית לתכנון ובניה לא תדון היום בהקמת שדה התעופה ברמת דוד שבעמק יזרעאל והליכי התכנון יעוכבו ● הביטול מגיע אחרי שסגן השר אלמוג כהן התפטר מהממשלה במחאה על התכנון לקדם שדה תעופה בצפון ולא בדרום

מטוסים בנתב''ג / צילום: Shutterstock, Dmitry Pistrov

חברות התעופה מבקשות פטור רטרואקטיבי על הטיסות שבוטלו, איך זה ישפיע עליכם?

חברות התעופה פנו בבקשה דחופה להעניק להם פטור רטרואקטיבי מחובת מתן הטבות לנוסעים שטיסותיהם בוטלו או שונו בעקבות מבצע "עם כלביא" ● במקביל, אלפי ישראלים כבר תובעים את חברות התעופה על הפרת זכויותיהם במהלך תקופת המבצע ● נראה כי בחברות התעופה מנסים לדחוף לשינויים רגולטוריים כדי להימנע מתביעות הענק ● ומה קבעו בתי המשפט במשברי תעופה עולמיים?

בניין האיחוד האירופי / צילום: Shutterstock

אירופה מוכנה להסכם סחר עם ארה"ב, אך לא ללא תמורה

האיחוד שואף שהסכם הסחר עם ארה"ב יכלול מכס אחיד של 10% על חלק נרחב מהיצוא האירופי, אך מבקש מהאמריקאים התחייבויות להפחתת מכסים בתחומים מרכזיים כמו תרופות, אלכוהול, שבבים ומטוסי נוסעים

בנק אוף אמריקה / צילום: Shutterstock, Tero Vesalainen

הרשימה הרבעונית של ענקית ההשקעות: אלה המניות המבטיחות

הבנק האמריקאי מפרסם רשימה של מניות מעניינות להשקעה שצפויות לרכז עניין ברבעון השלישי של 2025 ● במקביל מפרסם הבנק שתי מניות שצפויות לרדת