גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

מעבר רפיח על גבול מצרים / צילום: ap, Sam Mednick

מעבר רפיח ייפתח: המועד הצפוי, והוויתור הישראלי

גורם ביטחוני: "ערים לשמועות סביב איראן, אין שינוי בהנחיות" ● נשיא טורקיה שוחח בטלפון עם נשיא איראן על "ההתפתחויות האחרונות באיראן" ● מת מפצעיו עשהאל באבד, לוחם המילואים שנפצע קשה בהיתקלות בשבוע הראשון להפסקת האש ● הגברת התקיפות של ישראל - והחשש בלבנון: "שלב חדש של הסלמה באזור שמצפון לליטאני" ● נשיא רוסיה ולדימיר פוטין אמר שייפגש עם ג'ארד קושנר וסטיב וויטקוף, שליחיו של נשיא ארה"ב ● דיווחים שוטפים

חזית המדע / צילום: Shutterstock

לפני שאתם נכנסים לאמבטיית קרח, כדאי לכם לקרוא את הכתבה הזאת

האלגוריתמים ברשתות רוצים את מה שהכי מלהיב, קיצוני ומבטיח לשנות את החיים, אבל מה הפער בין ההבטחה למציאות? ● בדקנו אם יש אמת מחקרית מאחורי ארבעה טרנדים פופולריים

עלי חמינאי / צילום: ap, Office of the Iranian Supreme Leader

האמריקאים צוברים כוחות באזור, בישראל מעריכים: הם יתקפו באיראן

חברות התעופה אייר פראנס ו-KLM הודיעו: על רקע המתיחות - מבטלים את הטיסות לתל אביב והאזור ● דיווחים באיראן: מפגינים הוצאו להורג, מעל 20 אלף נהרגו ● אתר האופוזיציה האיראני מתריע: "הטרוריסטים לא שמים על מה שהנשיא טראמפ אמר" ● במערכת הביטחון נערכים לתרחיש המחמיר, שלפיו ארה"ב תתקוף ואיראן תגיב, אך כרגע מבהירים כי אין כל שינוי בהנחיות ● דיווחים שוטפים

פסטיבל הפנסים בשנגחאי, סין. שפל ילודה / צילום: Reuters, Zhou junxiang

כלכלות במשבר דמוגרפי: מי יחליף את הילדים שלא נולדים

האוכלוסייה מזדקנת ובמקביל מיליוני עובדים חוששים שיוחלפו בבינות מלאכותיות ● ד"ר מריה וסאלו, ראש מחלקת המחקר בבנק פיקטה, סבורה ששני החזיונות הדיסטופיים האלה חייבים להיפגש: "לישראל כדאי להשקיע ברובוטים שמגבירים פריון, ולא רק מחליפים עובדים"

המבורגר של GDB / צילום: אנטולי מיכאלוב, ליאל סנד

שווי של כ-65 מיליון שקל: האקזיט של בעלי מסעדת ההמבורגרים מתל אביב

לאחר השקעה של 130 מיליון שקל על ידי לאומי פרטנרס ומור גמל ופנסיה, ממשיכה קבוצת נונו בהתרחבות דרך אחזקות במותגי מסעדנות ורוכשת 50% ממותג ההמבורגרים התל־אביבי GDB ● לפני כחודש רכשה גם את רשת טאקריה בעסקת מזומן של 29 מיליון שקל

לוי הלוי / צילום: ענבל מרמרי

30% יותר מקודמתו: השכר של מנכ״ל אל על החדש נחשף

אל על מבקשת לאשר ללוי הלוי שכר של 8.5 מיליון שקל בשנה שיורכב משכר, מענק חתימה ומניות ● אל על מסבירה את השכר של הלוי ב"התחשבות ברקע ובניסיון העשיר של מר לוי ותרומתו הצפוייה לקידום החברה" ● המנכ"לית היוצאת דינה בן טל גננסיה מבקשת מענק פרישה של 830 אלף שקל

הומנואידים. סין משקיעה בהם הרבה משאבים / צילום: Shutterstock

בלי ששמנו לב, זירת הרובוטים דמויי אדם עשתה קפיצת מדרגה

השבוע התריע מנכ"ל גוגל DeepMind בוועידת דאבוס כי סין רחוקה רק כחצי שנה מהישגי המעבדות המערביות המובילות בגזרת ה–AI ● באילו תחומים סין כבר עוקפת את היתר, ולמה זה כל כך מפחיד את המערב

רשת החשמל בישראל מתקשה להדביק את הזינוק בביקושים / צילום: Shutterstock

שמש זה לא מספיק: המכשול המרכזי שתוקע את מהפכת החשמל הסולארי

אחרי שנים של הזנחה, רשת החשמל בישראל מתקשה להדביק את הזינוק בביקושים ואת קצב ההקמה של מתקנים סולאריים ● "אנחנו יודעים לרוץ הרבה יותר מהר מהרשת", אומר יזם בתחום, וברשות החשמל מודים ש"זה המכשול המרכזי היום" ● התוצאה: צוואר בקבוק תשתיתי שמאיים על התחרות במשק, על אמינות האספקה ועל המעבר לאנרגיה זולה ונקייה

הרובר הגדול והמתקדם ביותר של נאס''א נוחת במאדים. חוקר גיאולוגיה ומחפש סימני חיים, יולי 2020 / צילום: Reuters, NASA/Cover Images

שתי קריאות על החיים בעולמות אחרים: מצפה לנו הרפתקה שם בחוץ

לאחרונה ראו אור שני ספרים שצוללים לשאלות הגדולות של היקום ● בעוד האחד מתמקד באדם וסבור שיש לחשוב על מאדים כעל כוכב הלכת הראשון המאוכלס על ידי מכונות, השני מעדיף שרובוטים יחפשו אחר חוצנים בשבילנו

TOTO / צילום: מתוך אתר החברה

הסיבה המפתיעה לזינוק של מניית יצרנית האסלות הגדולה בעולם

כבר שנים שחברת טוטו היפנית מייצרת לא רק מושבי אסלה מחוממים, אלא גם רכיבים המשמשים בייצור שבבים ● הבוקר מניית החברה זינקה ביותר מ-10% בעקבות המלצה של גולדמן סאקס

חגיגות פתיחת 2016. חזרה שהיא מקלט / צילום: Reuters, Darren Ornitz

הטרנד שלא מפסיק ברשתות: איך שוב הגענו ל-2016

בוודאות נתקלתם בטרנד שמחזיר את 2016 לפיד שלכם: תמונות מלפני עשור, פילטרים ישנים, ותחושה מוזרה של "כבר היינו פה" ● זה לא סתם געגוע נוסטלגי אלא ניסיון אנושי לברוח מהעומס של חדשות רעות, פוליטיקה וחששות מבינה מלאכותית

ג'ילי סטאריי E-MI / צילום: יח''צ

83 ק"מ לליטר? ההבטחה של הקרוס-אובר הסיני החדש

לפלח הצפוף והפופולרי של רכבי קרוס־אובר עם הנעת פלאג־אין מצטרף מתמודד מבית ג'ילי - ג'ילי סטאריי E-MI ● יש לו ממדים מרשימים, תא נוסעים מרווח ומאובזר, מערכת הנעה מעודנת ומחיר תחרותי. האם נולד כאן להיט חדש?

סיכום שווקים שבועי / צילום: Shutterstock

חגיגת המימושים בבורסה, והשכירים שהפכו למיליונרים – ועוד 4 כתבות על המצב בשווקים

באיזה בנק תקבלו יותר ריבית, אילו ני"ע סולידיים ניתן לרכוש בבורסה, ואיזו אפליקציית תשלומים מתנה ריבית גבוהה בהוצאות בכרטיס האשראי ● בבתי השקעות שמניותיהם זינקו במאות אחוזים, בכירים מימשו אופציות ומניות ● סקירה שפרסם בנק אוף אמריקה, מציעה לבחון השקעות בפריפריה של תחום הבינה המלאכותית ● וגם: יועצת ההשקעות הבכירה שמציעה חשיפה למט"ח דווקא משום שהשקל התחזק כל כך

בית המעצר בברוקלין בתחילת ינואר, בסמוך להגעת מדורו / צילום: Shutterstock

"גיהנום עלי אדמות": הצצה לכלא הידוע לשמצה שבו כלוא הרודן מוונצואלה

עברייני מין מפורסמים, נאשמים ברצח, ברוני סמים ונשיאים לשעבר: בית המעצר המטרופוליטני בברוקלין מאכלס שורת דמויות קצה, אך נודע בעיקר בשל תנאי כליאה קשים והזנחה מתמשכת ● "לא אנושי": כך נראה המקום שאפילו שופטים מהססים לשלוח אליו נאשמים

הראל ויזל / צילום: כדיה לוי

מה הסיכוי: איכשהו דווקא "הבנים של" הם תמיד הכי מתאימים

בחברות ציבוריות ממשיכים לתת תפקידים ל"ילדים של" ● באוצר קפצו למסקנות ● ומה שווה לבדוק בפירוט האשראי ● זרקור על כמה עניינים שעל הפרק

מייסדי למונייד, דניאל שרייבר ושי וינינגר / צילום: דור מלכה

שיתוף הפעולה עם טסלה שהזניק את המניה הישראלית בוול סטריט

למונייד אספה מידע שהראה שמערכת הנהיגה האוטונומית של טסלה מפחיתה תאונות ● מייסד למונייד שי וינינגר: "רכב שיכול לראות ב‑360 מעלות, שלעולם לא נרדם ומגיב בשברירי שנייה, פשוט אינו ניתן להשוואה לבני אדם" ● מניית החברה זינקה ב-13%

מה הקשר בין הגיטריסט של הרולינג סטונס בריאן ג'ונס לפו הדב? / צילום: AI

מה הקשר בין הגיטריסט של הרולינג סטונס בריאן ג'ונס לפו הדב?

היכן בגופו של חזיר היבלות נמצאות היבלות, מהו הענף העתיק ביותר במתמטיקה, ואיך נקרא החלק הירוק בתות שדה? ● הטריוויה השבועית

טיקטוק / אילוסטרציה: Shutterstock

הושלמה מכירת הפעילות של טיקטוק בארה״ב: כך זה יעבוד

חברת האם הסינית חתמה רשמית על העברת חלקים מפעילות טיקטוק לארה"ב, ובכך הסתיימה סאגה של שנים ● החשש בארה"ב היה שהממשלה הסינית תנצל לרעה נתונים רבים, וכעת נתונים אלו יאחוסנו בסביבת ענן מאובטחת ● טראמפ הודה לנשיא סין על ההחלטה: "הוא היה יכול לבחור בדרך אחרת, אבל לא עשה זאת"

מיכאל קלמן וערן גריפל / צילום: נטי לוי, גיא חמוי

אלו שני הבכירים הנוספים במנורה שנחקרו בפרשת ההסתדרות

ערן גריפל ומיכאל קלמן נחקרו ביום רביעי השבוע בלהב 433 במסגרת פרשת השחיתות "יד לוחצת יד" של ההסתדרות וסוכן הביטוח עזרא גבאי ● במשטרה אומרים שמנורה מבטחים חשודה "בביצוע עבירות מתחום השחיתות הציבורית"

פלטפורמת הרמוני של WIX / צילום: יח''צ

לא רק חזרה למשרדים: wix חוזרת גם לסופרבול, בהשקעה של מיליונים

אחרי הפסקה בת שש שנים, חברת Wix חוזרת לסופרבול, שנחשב לאחד מאירועי הפרסום הגדולים בעולם ● אסף גרניט מסביר לראשונה מדוע הצטרף כיועץ אסטרטגי לקרן ההון סיכון IL Ventures, ומידרג משקיעה במיזם ישראלי שמסייע לזרים המתגוררים בחו"ל למצוא בעלי מקצוע ● אירועים ומינויים