גלובס - עיתון העסקים של ישראלאתר נגיש

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

רון וקסלר / צילום: איל יצהר

קפיצת מדרגה: ישראכרט משיקה תשלום ללא מגע, מקס וכאל ישיקו בקרוב

תחום התשלומים בכרטיסי אשראי בישראל נחשב למפגר ביחס לעולם ● בשלב ראשון השירות החדש יתאפשר לבעלי מכשירי סלולר עם מערכת הפעלה אנדורואיד ובכרטיסי מאסטרקארד ● בהמשך יורחב השירות גם למכשירי אייפון

יו"ר ועדת הכספים משה גפני / צילום: עדינה ולמן, דוברות הכנסת

נתוני החשב הכללי מראים כי שיעור הביצוע של קרן ההלוואות לעסקים בסיכון הוא 1% בלבד

העסקים הגדולים, כך מתברר, לא השתמשו כמעט בהלוואות בערבות מדינה, רק כ-18% מהסכום שיועד לכך נוצל, לעומתם העסקים הקטנים ניצלו 80% מהאשראי בערבות מדינה

פיג’ו e–208 / צילום: יח"צ

הקורונה, החדשות הטובות של ענף הרכב וההזדמנות שישראל עומדת לפספס

הסגר הוביל לצניחה של עשרות אחוזים בזיהום והנתון הזה מתמרץ מדינות רבות לתמוך ברכבים ירוקים ● האוצר יעדכן בחודש הבא את מדיניות המס, אבל ההיסטוריה מוכיחה שנמשיך כנראה לשלם מס של 38 אלף שקל בממוצע על כל רכב חדש ● כתבה ראשונה בסדרה

יועז הנדל / צילום: כדיה לוי, גלובס

קשת ורשת להנדל: הממשלה לא נקטה ולו פעולה אחת אופרטיבית לסיוע לשוק היצירה

לאחר ששר התקשורת ביקש מפלטפורמות השידור להירתם למען היצירה הישראלית שנפגעה ממשבר הקורונה, שלחו לו הערוצים המסחריים מכתב ובו דרישה לשחרור 35 מיליון שקל - כספי 'מכרז' שנמצאים בידי המשרד מזה שלוש שנים

דוכן ירקות בשוק מחנה יהודה בירושלים / צילום: shutterstock, שאטרסטוק

רוצה לנגוס ב-Wolt? חברת ישראכרט החלה לספק מערך הזמנות למשלוחים לירקניות וקצביות קטנות

חברת כרטיסי האשראי מרחיבה את השירותים שהיא מספקת לקמעונאים קטנים באמצעות מערכת הזמנות חדשה המבוססת על אפליקציית וואטסאפ • לאחר שלושה חודשי ניסיון בחינם ישראכרט תגבה מבית העסק 49 שקל לחודש

משה ברקת / צילום: איל יצהר, גלובס

רשות שוק ההון פונה למוסדיים ונערכת למשיכה מקרנות ההשתלמות

במסגרת תוכנית הסיוע הממשלתית לנפגעי משבר הקורונה, פנתה רשות שוק ההון לגופים בשוק כדי להיערך ליישום מיידי של הקלה על משיכות מקרנות השתלמות ● בכוונת המדינה לאפשר למי שהוצאו לחל"ת או פוטרו ומי שהכנסתם נפגעה למשוך מהקרן 10,500 שקל לחודש במשך חצי שנה, מבלי לשלם מס

מסעדה סגורה בתל אביב / צילום: כדיה לוי, גלובס

מספר המובטלים שוב עולה: יותר מ-850 אלף דורשי עבודה בארץ

לפי נתוני שירות התעסוקה רשומים 852,264 דורשי עבודה, מהם 577,309 בחל"ת ● זאת לעומת אתמול, אז היו רשומים 847,968 דורשי עבודה

בעז בן-צור / צילום: שלומי יוסף

עורך הדין החדש שנתניהו רוצה לצרף, העדה בתיק 1000 והשאלה האתית שעלולה לצוץ

רה"מ מעוניין לצרף לצוות ההגנה שלו את עו”ד בעז בן צור ומנהל עימו מגעים • אולם לטענת גורמים ששוחחו עם “גלובס”, העובדה שבן צור הוא עורך דינה של העוזרת האישית לשעבר של ארנון מילצ’ן, שצפויה להיות עדת מפתח מטעם התביעה, עלולה להיחשב ניגוד עניינים ולפסול אותו

יורם נוה ודני נוה / צילום: שלומי יוסף, כדיה לוי, גלובס

דירקטוריון כלל החזקות לא מיישר קו עם החלטות דירקטוריון החברה הבת

דירקטוריון החברה האם הציבורית של כלל חברה לביטוח לא החליט שלא לדון בעתיד המנכ"ל עוד במהלך 2020 וסבור ש"נכון היה שהמנכ"ל יחזור בו מהטענה כלפי היו"ר לגביה סבר הבודק כי לא הונחה בפניו ראשית ראיה"

בוקינג.קום / צילום: שאטרסטוק

הרשות להגנת הצרכן: "בוקינג מפרה את החוק כשלא מציגה מחיר שכולל מע"מ"

הרשות להגנת הצרכן ולסחר הוגן הזהירה את הציבור מאתר בוקינג, שמציג את מחירי המלונות ללא תוספת המע"מ ● "פרקטיקה שגורמת להטעיית הצרכן שמגלה את המחיר האמיתי של העסקה רק בשלב קבלת השירות"

מנכ"ל משרד הבריאות הנכנס חזי לוי / צילום: סרטון לע"מ

מנכ"ל משרד הבריאות, חזי לוי: "אנחנו מנסים להימנע מסגר כללי"

באשר לאיסור על פתיחת חדרי הכושר אשר נדחה לבסוף על ידי ועדת הקורונה בכנסת, אמר לוי "ועדת הכנסת החליטה לצערי מה שהחליטה, ואנחנו נכבד את זה. המניע שלנו הוא למנוע הדבקה, ללא הזדקקות לסגר כללי"

יאיר אבידן / צילום: רמי זרניגר, יח"צ

ביקוש אדיר ל"גרייס": בנק ישראל מאריך ומרחיב את המתווה לדחיית הלוואות עד נובמבר

בכרבע מתיק המשכנתאות ובחמישית מהאשראי לעסקים קטנים כבר בוצעה דחייה של החזרי הלוואות ● 553 אלף לווים כבר קיבלו מהבנקים דחייה החזרים ●  תתאפשר דחיית תשלומי החזר במשכנתאות עד סוף השנה, ולמשך יותר מ-6 חודשים

אריק קוטלר / צילום: כפיר זיו

ארקו מזנקת: מכתב כוונות לקראת מיזוג עם חברה אמריקאית, לפי שווי פעילות של 1.5 מיליארד דולר

במסגרת העסקה המתוכננת, יתמזגו ארקו והחברה הבת הפרטית GPM אל חברת Haymaker Acquisition Corp, שהונפקה בשנה שעברה בנאסד"ק כחברת SPAC

קובי מימון / איור: גיל ג'יבלי, גלובס

היציאה לאור והירושה: קובי מימון מעביר מניות במאות מיליונים לשלושת ילדיו

איש העסקים מעביר את החזקותיו בקבוצת אקויטל לידי אורי, ניר ודן מימון, שיהיו מעתה הנהנים מכוח נאמנות שהקים אביהם בגיברלטר, ושתחזיק מעתה במניות החברה החולשת על חברות ענק בתחומי האנרגיה והנדל"ן

חנן מלצר/ צילום: שלומי יוסף

שידורי העליון: למה השופט מלצר בוחר לשדר דיון שאף אחד לא ביקש לראות

נשיאת העליון השופטת אסתר חיות קבעה לפני מספר חודשים פיילוט במסגרתו ישודרו כעשרה דיונים מבית המשפט העליון ● השופט חנן מלצר החליט לשדר בשידור חי דיון שעוסק בתשלומי ביטוח, על אף שלא התקבלה אף בקשה לשדרו

מיה פיזוב, מודי רוזן, בן רבינוביץ׳, השותפים בקרן ההון סיכון Amiti Ventures / צילום: Amiti Ventures, יח"צ

קרן ההון סיכון אמיתי גייסה קרן שלישית בהיקף 110 מיליון דולר

הקרן השלישית כבר השקיעה בשני סטארט-אפים ● הקרן מתמקדת בהשקעות בסטארט-אפים בשלבים מוקדמים

ג'רמי לוין / צילום: תמר מצפי

הסכם מסחור באירופה לחברת אוביד של ג'רמי לוין

חברת התרופות האמריקאית חתמה על הסכם עם חברת אנגליני האיטלקית ● מדובר בתרופה לטיפול בתסמונת אנגלמן, שנמצאת כיום בשלב 3 של הניסויים הקליניים

ראשת הרשות לאיסור הלבנת הון, שלומית ווגמן־רטנר / צילום: יונתן בלום, גלובס

הרשות לאיסור הלבנת הון: "יש הכרח להשלים את הסדרת תחום המטבעות הדיגיטליים בישראל"

32 מדינות בעולם כבר התירו בחוק מתן שירותים במטבעות דיגיטליים, על פי דוח שפרסם כוח המשימה הבינלאומי למאבק בהלבנת הון ● אף שישראל נמנית עם מדינות אלה, לחוק אין משמעות כל עוד לא אושר בכנסת צו איסור הלבנת הון החדש

נפגעי הקורקינטים והאופניים החשמליים -  12 ביולי 2020

אתמול באיכילוב: 10 פצועים בתאונות קורקינט ואופניים חשמליים

"גלובס" ובית החולים איכילוב חוזרים לדווח על מספר הנפגעים מתאונות שבהן מעורבים כלי רכב חשמליים: אופניים וקורקינטים

ישראל כ"ץ, ארנון בן דוד / צילום: מארק ישראל סלם - ג'רוזלם פוסט, תמר מצפי

העסקה המתגבשת בין האוצר להסתדרות: הקפאת שכר במגזר הציבורי, דמי אבטלה לעצמאים

האוצר וההסתדרות הגיעו להסכמות שימנעו פיטורים או פגיעה בשכר העובדים ● בין היתר האוצר מבקש לדחות הפרשות סוציאליות למקבלי שכר מעל 15 אלף שקל ולהחיל הסדר חלקי של עבודה מהבית ● ההסתדרות דורשת להשוות את תנאי האבטלה של עצמאים לשכירים