גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

המבורגר של GDB / צילום: אנטולי מיכאלוב, ליאל סנד

"תשואה שמתקרבת ל-10% בשנה": איך הפכו המסעדות של ת"א לסחורה הכי חמה בשוק

שורה של עסקאות בתחום המסעדות, הכוללת השקעה של גופים מוסדיים לפי שווי של עשרות ומאות מיליוני שקלים, עומדת בניגוד מוחלט לסגירה של מרבית בתי העסק בתחום במהלך השנים ● גורמים בתחום מדברים על יתרונות לגודל, מיתוג והתוכניות להנפקה בבורסה: "כבר לא סיפור של אוכל טוב ושירות נחמד, אלא של מודל עסקי שניתן לשכפל"

מאיר שמיר / צילום: כדיה לוי

קבוצה הכוללת את מאיר שמיר מתמודדת על רכישת חברת האסתטיקה הרפואית אינמוד

חברת האסתטיקה הרפואית, שייסד משה מזרחי עומדת למכירה תמורת כמיליארד דולר, איבדה 85% מהשווי בשיא ● מלבד שמיר, שחבר למנהלי אינמוד ומשקיעים נוספים בניסיון רכישה, מתמודדת על רכישת אינמוד גם קרן השקעות מדרום קוריאה

ישראל תחכיר 16 אלף דונם לארה''ב להקמת עיר טכנולוגית / אילוסטרציה: Shutterstock

מזכר הבנות חושף את התוכנית האמריקאית לנגב. על הפרק: הקמת כור גרעיני

ישראל וארה"ב הגיעו להבנות סביב הקמת מרכז לייצור שבבים ובינה מלאכותית בדרום הארץ, תחת ניהול אמריקאי ישיר ● על פי מסמך שהגיע לידי גלובס, ישראל תעניק לאמריקאים חוזה חכירה לקרקע ל־99 שנה, ועל השולחן עלתה גם אפשרות להקמת כור גרעיני באתר

לו הנג / אילוסטרציה: AI

היזם שגילה 10 מיליון כתובות IP שלא בשימוש - וגרף רווחים עצומים

לו הנג, יזם מכפר דייגים בסין, גילה באפריקה אוצר בלום: 10 מיליון כתובות IP שלא בשימוש ● אז הוא החל להשכיר אותן מחוץ ליבשת ● ההזדמנות שזיהה הפכה לעסק מצליח שגרף רווחים עצומים ● כשספקיות האינטרנט התעוררו, הוא הואשם בפעילות לא חוקית - והצדדים יצאו לקרב

כך מכווצת הבינה המלאכותית את ענף התוכנה / צילום: Shutterstock

שלושה נתונים שמעידים: הבינה המלאכותית מכווצת את ענף התוכנה

לאחרונה שוק העבודה בהייטק עובר שינוי מבני עמוק ● נוסף על מגמת הירידה המתמשכת של היקף התעסוקה בתחום התוכנה, השכר נשחק, ופחות בוחרים ללמוד את המקצוע ● במקביל, גדל פי ארבעה מספר הסטודנטים ​​​​​למדעי הנתונים, בינה מלאכותית והנדסת נתונים

רכב צה''לי בדרך לכיוון הגבול עם עזה / אילוסטרציה: Associated Press, Ohad Zwigenberg

בעלי החברה הביטחונית הכי חשאית בת"א מכר מניות ב-345 מיליון שקל

דניאל בלום, בעל השליטה בחברת מוצרי המיגון פמס, ניצל את הזינוק במחיר המניה כדי למכור נתח מהחזקותיו  ● גם לאחר המהלך ימשיך בלום להחזיק במעל מחצית מהמניות ובשווי של 1.35 מיליארד שקל ● בחודשים ינואר-ספטמבר רשמה פמס רווח של 31 מיליון דולר

פרויקט הגדנ''ע בתל אביב / אילוסטרציה: שלומי יוסף

יזמים בתחום השכירות המוסדית לא ממהרים למכור דירות

מבדיקת גלובס עולה כי יזמי נדל"ן הפועלים במסלול "דירה להשכיר" החלו לחזור לענף רק במכרזי רמ"י האחרונים, אך יידרשו שנים עד שישכירו את הדירות ● במסלול חוק עידוד השקעות הון יזמים ירד מספר הדירות להשכרה עקב שינוי החוק, אך גם נמכרות מעט דירות שהושכרו בעבר

צוללת של טיסנקרופ / צילום: Associated Press, TARA TODRAS-WHITEHILL

ועדת החקירה בפרשת הצוללות מצאה: ליקויים ברכש במיליארדים והחלטות שסיכנו את ביטחון המדינה

ועדת החקירה הממלכתית לפרשת הצוללות וכלי השיט, בראשות נשיא העליון לשעבר אשר גרוניס, מצאה "ליקויים מערכתיים היורדים לשורשם של תהליכי בניין הכוח וקבלת ההחלטות ברכש ביטחוני, בעלות של מיליארדי שקלים, ובתהליכים ביטחוניים-מדיניים רגישים אחרים" ● על המוקד: המל"ל, חיל הים, משרד הביטחון והקבינט המדיני-ביטחוני

מדיניות של חברות התעופה / צילום: Shutterstock

מחשש להסלמה עם איראן: חברות התעופה הישראליות מגמישות את תנאי הביטולים

הצעדים נועדו להעניק לנוסעים גמישות גבוהה יותר בתכנון טיסות בתקופה הקרובה, והם מצטרפים להיערכות תפעולית ושירותית של החברות נוכח אי־הוודאות הביטחונית ● אף שמדובר במהלכים דומים במהותם, היקף ההקלות ותנאיהן משתנים מחברה לחברה

פרופ' אסף מידני / צילום: עמית שטראוס

הרשות השנייה מינתה חמישה דירקטורים חדשים מטעם הציבור בערוצי הטלוויזיה

אילת אליאב ודניאל בוטוין מונו לדירקטורים בחדשות 13, פרופ' אסף מידני וד"ר מיכל שפירא מונו לדירקטורים בחדשות 12, ופרופ' אילן אבישר מונה לדירקטור בערוץ עכשיו 14

תחנת הכוח אשכול שעתידה להיבנות / הדמיה: דליה חברות אנרגיה/יחצ

דליה קיבלה רישיון לפריסת סיב תת-ימי מאשדוד לאירופה

משרד התקשורת העניק לחברת האנרגיה אישור להקמת תחנת עגינה לכבל אופטי תת-ימי במתחם אשכול ● דליה זקוקה גם לאישור ממינהל התכנון, שמעדיף פריסת סיבים בנקודות הקיימות, טירת כרמל ותל אביב

שולמית מיכאלי גולדברג פרופ' מדענית מיקרובילוגיה / צילום: איל יצהר

החוקרת שנבחרת לכלת פרס ישראל בתחום מדעי החיים

פרופ' שולמית מיכאלי מאוניברסיטת בר אילן, חלוצת חוקרי ה-RNA, זכתה בפרס לשנת תשפ"ו ● בראיון שקיימה בגלובס בעבר היא הסבירה איך זה יכול להיות שלאדם ולאורז יש מספר גנים די דומה, אך הם פועלים בצורה אחרת לגמרי ● זה גם מה שעומד בבסיס מחקריה

שר האוצר בצלאל סמוטריץ' / צילום: נועם מושקוביץ, דוברות הכנסת

בשל דרישת חברי הכנסת החרדים: ההצבעה על תקציב המדינה תידחה ליום רביעי

בשבוע שעבר האוצר הניח את הצעת תקציב המדינה לשנת 2026 על שולחן הכנסת תחת חוסר ודאות לגבי הסיכויים להעברתו, וזאת על רקע המחלוקת בקואליציה על חוק הגיוס ● התקציב צריך לעבור את תהליך החקיקה במלואו עד 31 במרץ - אחרת הכנסת תתפזר, וישראל תצא לבחירות

בית הזיקוק פונטה קרדון בוונצואלה. בעיגול: דלסי רודריגס, נשיאת ונצואלה הזמנית / צילום: Reuters, Jesus Vargas, ULAN

קורצת לטראמפ: ונצואלה בדרך לרפורמה דרמטית בשוק האנרגיה

ההנהגה החדשה במדינה מקפלת את מדיניות ההלאמה ומקדמת את שחרור האחיזה הממשלתית בנכסים ● בתוכנית: קיצוץ מאסיבי במיסוי וויתור על ריבונות משפטית מול ענקיות האנרגיה ● לוונצואלה עתודות הנפט הגדולות בתבל, האם עתה סוף סוף יתממש הפוטנציאל?

הפנטהאוז ברחוב חושן 12 בנס ציונה

"ביקוש לשכונה": בכמה נמכר פנטהאוז בנס ציונה?

ברחוב חושן בשכונת הדגל בנס ציונה נמכר פנטהאוז בן 5 חדרים, בשטח של 127 מ"ר עם שתי מרפסות בקומה החמישית תמורת 5.4 מיליון שקל ● מחירי פנטהאוזים בבנייה רוויה בעיר מגיעים עד ל־6.5 מיליון שקל, אך שטחם גדול מבעסקה זאת

מימין לשמאל: יובל פרחי, נועה לוטן־יעקבי ואורי עיני / צילום: יח''צ

מאמינים בצפון: קבוצת הפרסום אדלר־חומסקי פותחת שלוחה בגליל העליון

השלוחה החדשה של קבוצת הפרסום אדלר־חומסקי תפעל במרכז היזמות Hubayta של תנועת "הביתה חוזרים לגליל", הממוקם באגמון מרקט, ותתמקד בתחומי הקריאייטיב

אילוסטרציה: Shutterstock

ביהמ"ש: הבית נרשם על שם הבת משיקולי מס - אך שייך לאם

ביהמ"ש לענייני משפחה קבע כי בית מגורים שנרשם פורמלית על שם הבת בתקופת נישואיה, שייך למעשה לאם שמימנה את רכישתו ושיפוצו במלואם - ולכן לבעלה לשעבר של הבת אין כל זכות בנכס ● האם הסבירה כי רשמה את בתה כבעלת הנכס כדי לשלם מס רכישה מופחת; ביהמ"ש עמד על הבעייתיות שבכך, אך קבע כי הדבר לא משליך על התוצאה

"המשטר האיראני אכזרי כי אם הוא ייפול הוא יהיה הראשון בתור לנקמה"

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל • והפעם: ישראל תומכת במילציות החדשות ברצועת עזה שמתנגדות לחמאס, המשבר של השלטון באיראן, הסגר של צה"ל בחברון פוגע כלכלית בעיר, והאנטישמיות שסובלים מורים יהודים בארה"ב • כותרות העיתונים בעולם

משרדי אמזון / צילום: Shutterstock

סבב הפיטורים באמזון מתרחב: החל מהשבוע יפוטרו עוד 16 אלף איש

החל מהשבוע אמזון מרחיבה את גל הפיטורים שלה לעוד 16 אלף עובדים, בעיקר במשרות מטה ופיתוח ● מייל פנימי בחברה על עליית הבינה המלאכותית מספק הקשר לגל הקיצוצים הגדול בתולדותיה, אך המנכ"ל מנסה להרגיע את העובדים ולייחס את המהלך לעודף כוח אדם

יפתח רון-טל / צילום: יוסי וייס חברת החשמל

אחרי שנתיים ללא יו"ר: הממשלה אישרה את מינוי יפתח רון-טל ליו"ר רשות שדות התעופה

מינויו של יפתח רון-טל ליו"ר מועצת רשות שדות התעופה אושר היום בישיבת הממשלה, לאחר שוועדת המינויים אישרה את מועמדותו בכפוף להסדר ניגוד עניינים ● המינוי מגיע לאחר תקופה ממושכת שבה לא כיהן יו"ר קבוע לרשות