גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

סזאר / צילום: דר טייב

אחרי 20 שנה - המסעדה הזו מצליחה להמציא את עצמה מחדש

בסזאר שברחובות תמצאו לצד מנות "באנקר" בלתי מנוצחות - שניצל, המבורגר, פירה, סלט קיסר – גם מנות שמדברות קולינריה עכשווית

הבורסה בתל אביב / צילום: Shutterstock

נעילה מעורבת בתל אביב; נובה זינקה במעל 8%, ארית תעשיות ירדה בכ-3%

מדד ת"א 35 עלה בכ-0.9% ● הדוח הרבעוני של TSMC הקפיץ את מניות השבבים ● החשש מהסלמה מול איראן לא הפריע אתמול לבורסה לכבוש שיאים חדשים ● היום יפורסם מדד המחירים לצרכן, הצפי - עלייה קלה ● על רקע צפירת ההרגעה של טראמפ - מחירי הנפט יורדים הבוקר

ירידת מחירים בענף הרכב/ עיבוד: טלי בוגדנובסקי צילום: יוסי כהן

מצ'רי ועד סקודה וטסלה: ענף הרכב מציג ירידת מחירים חריגה

הכתבה הזו הייתה הנצפית ביותר השבוע בגלובס ועל כן אנחנו מפרסמים אותה מחדש כשירות לקוראינו ● ענף הרכב הישראלי מתחיל את 2026 עם ירידה במחירי המחירון הרשמיים של דגמים חדשים רבים ● זאת, בניגוד למגמה הרווחת זה שנים ● משערי המטבע והלחץ הרגולטורי ועד לצונאמי התקינה הסיני: אלו הכוחות שהשפיעו על היבואנים

וול סטריט / צילום: ap, Mary Altaffer

נעילה חיובית בוול סטריט; מניות השבבים זינקו בעקבות הדוחות של TSMC

הנאסד"ק עלה בכ-0.3% ● TSMC קפצה במעל 4% אחרי הדוחות, ומשכה עמה מעלה את אנבידיה, AMD וחברות נוספות בסקטור ● בנקי ההשקעות מורגן סטנלי וגולדמן סאקס טיפסו בעקבות פרסומי הדוחות ● מניית בלאקרוק זינקו, לאחר שבית ההשקעות דיווח על שיא של נכסים מנוהלים, בגובה מעל 14 טריליון דולר ● על רקע צפירת ההרגעה של טראמפ - מחירי הנפט ירדו במעל 4%

ג'יימס בולדווין. קאנון אמריקאי / צילום: Reuters, ZUMA Press Wire

כל הכיעור וכל היופי שבעולם מתנקזים לרחוב אחד בהארלם

קריאה מחודשת ב"אם רחוב ביל היה יכול לדבר" של ג׳יימס בולדווין מציפה מחאה רלבנטית על גזע, מגדר ואלימות ממסדית

הממונה על התחרות מיכל כהן ושר הכלכלה ניר ברקת / צילום: כדיה לוי, אוליביה פיטוסי - ''הארץ''

בג"ץ יקיים דיון נוסף בהליך להדחת הממונה על התחרות

נשיא העליון עמית קיבל את בקשת היועמ"שית ונציב שירות המדינה לקיים דיון נוסף בפסק הדין מיולי האחרון, שאישר לכנס את ועדת המינויים כדי לדון בבקשתו של שר הכלכלה ברקת להדיח את מיכל כהן ● עמית: "השלכות רחבות על הליכי הפסקת כהונתם של נושאי משרה בכירים בשירות הציבורי"

נשיא ארה''ב דונלד טראמפ / צילום: ap, Alex Brandon

טראמפ חשף: חברי הוועד שיפקח על שיקום עזה והשלטון החדש

דיווח ברויטרס: בכירים אמריקנים העלו את האפשרות שתחומי מועצת השלום של עזה יתרחבו ויכללו גם את ונצואלה ואוקראינה ● במקביל, הבית הלבן הודיע על מינויים לדירקטוריון המועצה. בין הנציגים: שרים מקטאר וטורקיה, וגם איש עסקים ישראלי ● בישראל סבורים כי התקיפה האמריקנית באיראן לא ירדה מהפרק, וכי ארה"ב מחפשת את העיתוי הנכון ● טראמפ ונתניהו שוחחו אמש שוב בנושא - בפעם השנייה בתוך יומיים ● דיווח בפוקס ניוז: צבא ארה"ב מקדם כוחות אוויר, יבשה וים למזרח התיכון ● עדכונים שוטפים

דני אבדיה / צילום: ap, Lynne Sladky

כוכב במחיר מציאה: למה דני אבדיה שווה 40 מיליון דולר לעונה ומרוויח רק 14 מיליון?

דני אבדיה הופך בשבועות האחרונים לאחד השחקנים הבולטים ב־NBA, עם זאת השכר שלו רחוק מלשקף את זה, ואף צפוי לרדת בשתי העונות הבאות ● מומחים לענף עימם שוחחנו מסבירים את הפרדוקס אליו נקלע השחקן, ועל הדרך חולקים מחמאות לכוכב הישראלי, שככל הנראה נמצא בדרך למשחק האולסטאר היוקרתי

שנה מעולה בפנסיה ובגמל. מה צפוי בשנה החדשה? / אילוסטרציה: טלי בוגדנובסקי

הלקח מטבלת התשואות: אף אחד לא נשאר בצמרת לאורך זמן

חברות הביטוח כבשו את המקומות הראשונים בתשואות הגמל לשנת 2025, בזכות ביצועי השיא של הבורסה בת"א ● עם זאת, במבט ל–3 ו–5 שנים הן עדיין מאחורי בתי ההשקעות ● מדוע זה כך, האם זה ישתנה בקרוב, ומה מנהלי ההשקעות חושבים שכדאי לעשות כעת עם הכסף

גם זה קרה פה / צילום: עמית שאבי - ידיעות אחרונות, איל יצהר

שמחון מציג: עוד תוכניות להרעפת מזומנים על הציבור

בכנסת אי אפשר לסיים משפט ● מה אומר המדד שאוהבים לסקר ● ומה עקום בתוכנית המשכנתאות החדשה ● זרקור על כמה עניינים שעל הפרק

גליה באר–גבל / צילום: רון קדמי

היא שותפה באחת הקרנות הגדולות בישראל. זה מה שהיא עושה כל יום ב־23:00

כילדה נסעה שלוש שעות ביום לבית הספר, בצבא שירתה בפרקליטות, ולמרות שלמדה משפטים כי זו "תעודת ביטוח", היצר העסקי גרם לה לשנות כיוון ● אז היא פנתה למנכ"לית לאומי לשעבר: "הכרתי את רקפת רוסק-עמינח, וכשהיא הודיעה שהיא עוזבת את הבנק, הרמתי אליה טלפון" ● שיחה קצרה עם גליה באר-גבל, שותפה־מנהלת בקרן Team8

שדה התעופה בהרצליה / צילום: נועם הרמן

"עשו לנו מחטף": בענף התעופה הישראלי מודאגים מהפרויקט שיכניס למדינה מיליארדים

בעוד כשנה יחל פינוי שדה התעופה בהרצליה לטובת הקמת שכונה שתכניס לקופת המדינה מיליארדי שקלים ● אלא שתפקידו כיום קריטי: הוא מכשיר בשטחו את מרבית הטייסים לחברות הגדולות, משמש לניסויים לתעשיות הביטחוניות ומאפשר סיוע בחירום ● פתרונות בינתיים אין, ובענף מודאגים: "ייקח עשור לבנות חלופה ראויה"

כריך בעגלת הקפה גן עד / צילום: אילון פמיליה

גם אנחנו לא האמנו שב־22:00 יש כזה תור למאפייה באמצע עיר

קינוח מושחת שמוגש במשתלה, גלריה עם אמנות ישראלית מתחלפת ומאפיית לחמים מיתולוגית שהתור משתרך אליה גם בחצות ● סיור מפתיע ברמת השרון

לוחם בכוחות המשטרה האיראניים, טהרן / צילום: Reuters, Stringer/WANA

השבר האיראני: מומחים משרטטים את התרחישים האפשריים

כלכלה מרוסקת, אינפלציה של 50% ואיום תקיפה אמריקאי מוחשי: איראן ניצבת בפני הצומת הגורלי בתולדותיה ● בעוד המטבע המקומי צולל והמחאות ברחובות מחריפות, מומחים מזהירים כי נפילת המשטר עשויה לטלטל את המזרח התיכון כולו ● האם אנחנו בדרך ל"אביב ערבי" שני ולדמוקרטיה פרסית, או שהעולם יתעורר לוואקום שלטוני מסוכן?

צילום: Shutterstock

פרשת יוטרייד: האנליסט הנאשם בהונאת משקיעים הוסגר לישראל

רואי קוזין, בכיר בחברת האלגו-טריידינג יוטרייד, שגייסה במרמה כ-77 מיליון שקל מכ-600 לקוחות, הוסגר ממקסיקו לישראל ● קוזין שימש כאנליסט ראשי בחברה בין השנים 2012 ל-2015, תחת ניהולו של אביב טלמור, שנידון לחמש שנות מאסר במגרת הפרשה

בורסת תל אביב / צילום: שלומי יוסף

נעילה חיובית בתל אביב; מניות הבנייה והגז הובילו את העליות

מדד ת"א 35 עלה בכ-0.2% ● מדד ת"א 125 חצה לראשונה את רף 4,000 הנקודות ● וול סטריט ננעלה אתמול בעליות, אותן הוביל סקטור השבבים, בעקבות דוחות חזקים של TSMC ● מחירי הנפט נפלו במעל 4%, בעקבות דיווחים על השהיית התוכנית האמריקאית לתקיפה באיראן ● וגם: האנליסט שמעריך - ה-S&P 500 עשוי לרדת ב-2% בטווח הזמן הקרוב

צילומים: AP/Jacquelyn Martin, Denes Erdos, רויטרס

סקר ענק קובע: זו המדינה שמחליפה את ארה"ב כמעצמה העולמית

סקר בקרב 21 מדינות מלמד כי סין בדרך להפוך למעצמה החזקה בעולם בגלל המדיניות של טראמפ ● נשיא דרום קוריאה לשעבר עשוי לעמוד בפני גזר דין מוות ● והמנהיג הוותיק ביותר באיחוד האירופי שעשוי לחטוף מכה בבחירות הקרובות ● זום גלובלי, מדור חדש 

מיסטר ביסט / צילום: Represented by ZUMA Press, Inc

האימפריה של היוטיובר המצליח בעולם

הישרדות בארון קבורה והימלטות מלוחמי קומנדו הם רק חלק מהאתגרים בתוכנית המציאות של מיסטר ביסט ● עכשיו היא חוזרת לעונה שנייה עם פרס של 5 מיליון דולר ● איך נראים מאחורי הקלעים בהפקה השנויה במחלוקת? ● וגם: הצצה למפעל הענק של היוטיובר, שכולל חברת סלולר, ליין חטיפים ופארק שעשועים בערב הסעודית

כמה מדינות חולקות גבול יבשתי עם איראן? / צילום: Shutterstock

לקסי זהרה ג'ונס היא בתו של זמר ידוע. מיהו?

על שם מי קרויה פרדס חנה, מהו פירושה העברי של הקללה הקבלית פולסא דנורא, ואיזה נחלים עוברים בתוך העיר מודיעין? ● הטריוויה השבועית

מתוך קמפיין מזרחי טפחות / צילום: צילום מסך

שבוע שלישי ברציפות: שגיא דקל חן מוביל את מזרחי טפחות למקום הראשון בזכירות

הפרסומת האהובה ביותר שייכת לביטוח 9, וחברות הביטוח תופסות מחצית מדירוג הפרסומות הזכורות והאהובות השבועי של גלובס וגיאוקרטוגרפיה ● ההשקעה הגדולה ביותר השבוע שייכת לפלטפורמת הסטרימינג free TV והקמפיין בכיכובו של ארז טל