גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

הרטלי רוג'רס, יו''ר המילטון ליין / צילום: זיו קורן

יו״ר ענקית ההשקעות מסביר: כך תגנו על התיק שלכם

הרטלי רוג'רס, יו"ר משותף ובעל מניות בחברת ההשקעות האמריקאית המילטון ליין, הספיק לבקר בישראל כמה פעמים מאז 7 באוקטובר, והוא מאמין גדול בשוק המקומי: "ישראל מדהימה. למרות קוטנה היא מסוגלת להתחרות ברמה הגלובלית" ● ומה ההמלצות שלו למשקיעים?

תחנת הכוח ''אורות רבין'' שבחדרה / צילום: Shutterstock

סוף עידן הפחם: הושגו היתרי פליטה ליחידות המזהמות בחדרה

כחלק מהמאמץ להפסיק את ייצור החשמל מפחם, שנחשב מזהם (ויקר) במיוחד, יחידות הייצור הפחמיות בתחנות הכוח של חברת החשמל עוברות בהדרגה לייצור בגז ● אלו אמנם רחוקות ביעילותן מתחנות כוח חדשות בגז, אך הן יפלטו פחות זיהום וכבר הותקנו עליהן סולקנים שמצמצמים אותו עוד יותר

קיבוץ בארי ההרוס / צילום: מיטל שטדלר

הממשלה עסוקה במילה "טבח", אך יש לה משימות הנצחה ממשיות

הממשלה עוסקת בשינויים טקסטואליים של חוק ההנצחה לשבעה באוקטובר ● אבל היא כבר הייתה אמורה לבצע שלל משימות לטובת העניין: מהקמת מאגר ארכיוני ועד קידום הפקות תכנים ● מדור "המוניטור" של גלובס והמרכז להעצמת האזרח עוקב אחרי מורשת והנצחה ל־7 באוקטובר

פטריק דרהי / אילוסטרציה: נוצר באמצעות AI

עם חובות של עשרות מיליארדים פטריק דרהי מנסה להחזיק את הראש מעל למים

פרסומים בעולם מהחודשים האחרונים משרטטים את האופן שבו המיליארדר פטריק דרהי הצמיח את עסקיו ● לפיהם, גלגול החובות, בסך עשרות מיליארדי אירו, נתקל כעת גם בעליית ריבית ● כשברקע המו"מ המתקדם לרכישת רשת 13 נשאלת השאלה: האם הדרך בה בנה אימפריה הגיעה למיצוי?

אילוסטרציה: Shutterstock, Quality Stock Arts

סל הבריאות ל-2026: תרופות נגד השמנה בפנים, ומה בחוץ?

יותר מ־600 תרופות וטכנולוגיות התמודדו על תקציב של 650 מיליון שקל ● תרופות ההרזיה למבוגרים ותרופות חדשות לאלצהיימר נותרו מחוץ לסל ● יותר ממחצית התקציב הוקצה לטיפולי סרטן

מתקפת סייבר / אילוסטרציה: Shutterstock

ישראל היא המדינה המותקפת ביותר בסייבר, לפני אוקראינה וארה"ב

דוח בינלאומי חושף: בשנת 2025 יותר מ־12% מכלל מתקפות הסייבר הפוליטיות בעולם כוונו לישראל, ומומחים מזהירים שזה רק יתגבר

רחובות טהרן / צילום: ap, Vahid Salemi

"משהו גדול בדרך": האתר שמנסה לחזות מתי תהיה תקיפה באיראן

StrikeRadar, פלטפורמה ניסיונית מבוססת בינה מלאכותית שפיתח מנהל מוצר ישראלי, הציגה היום תנודתיות חדה במדד הסיכון לתקיפה אמריקאית באיראן, שהגיע עד ל-49%

זום גלובלי / צילום: Reuters

איראן לא לבד: צפון קוריאה חושפת רשימת יעדים לתקיפה

קוריאה הצפונית פורסת משגרים חדשים ומאיימת "להכניע כל איום חיצוני" • חברת פתרונות החקירה הדיגיטליים סלברייט מסתבכת בפרשה באפריקה • ומעצר של שלושה יהודים הצית סכסוך בין בלגיה לארה"ב • זום גלובלי, מדור חדש

דירות להשקעה בכפר סבא שמיועדות להשכרה לסטודנטים לטווח ארוך של קבוצת ברדוגו / צילום: 3DVISION

הדירה נמכרת קומפלט עם הריהוט, אבל האם יהיו שוכרים?

קבוצת ברדוגו בונה מעונות סטודנטים בכפר סבא, ומציעה דירה מרוהטת בהנחה, ופטור מהצמדה למדד תשומות הבנייה. מה הסיכונים ולמי זה מתאים ● מאחורי המבצעים

נשיא בית המשפט העליון, השופט יצחק עמית, ושר המשפטים יריב לוין / צילום: יונתן זינגל/פלאש 90, נועם מושקוביץ'/דוברות הכנסת

בג"ץ ללוין: נמק מדוע אינך משתף פעולה עם נשיא העליון לצורך מינוי שופטים

בג"ץ דן היום בעתירה נגד שר המשפטים לוין, בה נטען כי הוא נמנע מלשתף פעולה עם נשיא העליון עמית ואינו ממנה שופטים ● השופט שטיין: "אנחנו בסיטואציה משברית מאוד; אם אין נשיא מחוזי, מה אני עושה עם טרוריסט, משחרר אותו ממעצר מינהלי?" ● השופט גרוסקופף: "התשובה של לוין שאין מינויים כי הוא לא מדבר עם עמית אינה קבילה"

כנס שמים את הצפון במרכז בסיור כלכלי / צילום: כדיה לוי

סיור גלובס בעקבות המנהרות בגבול הצפון: איך חיזבאללה חפרו אותן?

סיור ביטחוני, שנערך בסמוך לגדר המערכת באזור מטולה, במסגרת כנס שמים את הצפון במרכז של גלובס, הציג למשתתפים את הסיפור שמאחורי מערך המנהרות החודרות לישראל שהקים חיזבאללה

טראמפ נואם במועצת השלום / צילום: ap, Mark Schiefelbein

טראמפ מרחיב את הדד-ליין לאיראן: "15 ימים זה המקסימום"

טראמפ בהצגת מועצת השלום:"חייבים להגיע עם איראן להסכם בעל משמעות" ● ישראל מאיימת על חיזבאללה: אם תצטרפו למערכה מול איראן, תחטפו מכה אנושה ● יועצו של יו"ר הפרלמנט האיראני: "מוכנים לעימות היסטורי" ● דיווח בלבנון: תושבים עוזבים את אזור ביירות מחשש להתערבות חיזבאללה במערכה ● עדכונים שוטפים

סקוט ראסל, מנכ''ל נייס / צילום: SAP

מנכ"ל נייס: "ה-AI לא יחליף אותנו. אנחנו נרוויח מזה"

סקוט ראסל, שמסכם שנה בתפקיד, נשמע אופטימי אחרי שהחברה בניהולו עקפה את התחזיות ברבעון הרביעי של שנת 2025 ● חברת התוכנה שהייתה עד לא מזמן מהגדולות בבורסה, צופה צמיחה של 14%-15% בתחום הענן ● החברה יוצאת בתוכנית רכישה עצמית של מניות בהיקף של 600 מיליון דולר

מערכת הלייזר ''אור איתן'' / צילום: דובר צה''ל

הלייזר הישראלי עוקף אפילו את זה של הסינים

אלביט מתמודדת על חוזה אסטרטגי של צבא ארה"ב לבניית מערכות ארטילריה מתקדמות, בהיקף שיכול להגיע למיליארדי דולרים ● במקביל, סין מנסה לחזק את השפעתה במפרץ עם מערכות לייזר ● ובריטניה משקיעה ברחפנים כבדים, בעוד וושינגטון מאיצה את פיתוח שוברות הקרח האמריקאיות בהתאם למדיניות טראמפ ● השבוע בתעשיות הביטחוניות

קיה ספורטאז' ''לונג'' הייבריד / צילום: יח''צ

הדגם שחוגג חמש שנים על הכביש וממשיך להיות רלוונטי

הספורטאג' הוותיק, קיה ספורטאז' "לונג" הייבריד, מקבל חיים חדשים בזכות עיצוב עדכני ● הוא משמר את מערכת ההנעה ההיברידית החסכונית שלו ויש לו תא נוסעים שלא נופל מזה של מותגי פרימיום. לא בטוח שזה יעזור מול הסיניות בטווח הארוך

ישראלים במקלט בזמן ירי טילים. מותר לעבור דרך חצר השכנים רק במצב חירום / צילום: ap, Ohad Zwigenberg

מצב חירום? מותר לעבור בחצר השכנים רק בזמן אזעקה

המפקח על המקרקעין דחה תביעה של שכנים שביקשו להיכנס למקלט דרך החצר של שכניהם: מותר עד עשר דקות לאחר האזעקה

נשיא ארה''ב דונלד טראמפ משוחח עם עיתונאים / צילום: ap, Evan Vucci

CNN: תקיפה של ארה"ב באיראן אינה צפויה בקרוב

טראמפ נתן אתמול דדליין לאיראן: 10 ימים או 15 ימים • טראמפ בהצגת מועצת השלום: "אסור שיהיה לאיראן נשק גרעיני" • איראן במכתב למזכ"ל האו"ם: אם נותקף - נגיב נגד בסיסים אמריקניים באזור

וול סטריט / צילום: ap, Mary Altaffer

וול סטריט ננעלה בירידות; נייס זינקה ב-13%, אוויס נפלה ב-22%

נאסד"ק ירד ב-0.5% ● למרות הכנסות שיא, התואר שוולמארט איבדה לאמזון ● ענקית המיכון החקלאי דיר זויקה לאחר לאחר שהיכתה את תחזיות האנליסטים והעלתה את תחזית הרווח ●  מחירי הנפט עלו לרמתם הגבוהה ביותר זה חצי שנה ● מספר התביעות הראשוניות לדמי אבטלה צנח ב-23,000, הירידה החדה ביותר מאז נובמבר

זיו קורן (מימין) וניב חורש, מבעלי ראובני פרידן / צילום: אייל נבו

קבוצת ראובני פרידן ממזגת לתוכה את סוכנות Great Digital

ב-15 השנים האחרונות פעלה גרייט דיגיטל כסוכנות עצמאית, וכעת היא תמוזג לזרוע הדיגיטל של ראובני פרידן - ארלו ● היקף התקציבים של גרייט דיגיטל עומד על כ-20 מיליון שקל, ובין לקוחותיה נמנים WeWork, יוניליוור וקבוצת ניאופארם

מימין: פרופ' אסף חמדני, יו''ר הוועדה לרפורמה בדוחות; ספי זינגר, יו''ר רשות ני''ע; רו''ח שלומי שוב ופרופ' אמיר ברנע / צילום: אלון גלבוע

למה בשוק ההון חוששים מהרפורמה שאמורה להקל על דיווחי החברות?

בדיון בהשתתפות בכירי רשות ני"ע טענו מומחים כי המלצות ועדת חמדני עמומות, פוגעות ביחסים שבין מנהלים לדירקטורים ומאפשרות לדחות דיווחים על עסקאות ● יו"ר הרשות זינגר: "בגלל ה-AI, ייתכן שבעוד שנתיים-שלוש יהיה צורך בשינויים נוספים"