גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

טסלה מודל 3 RWD לונג ריינג' / צילום: יח''צ

טסלה 3 החדשה: טווח הנסיעה השתפר, ומה לגבי המחיר?

טסלה מודל 3 המחודש מציג טווח מרשים, קפיצה באיכות הייצור והתנהגות שלא תבייש מכונית ספורט ● שמרנות בהנדסת האנוש והאבזור פוגעת בתחרותיות שלו

שמעון גולדברג, בעל השליטה בסלייס ועמית גל, הממונה על שוק ההון / איור: גיל ג'יבלי

סלייס: ביהמ"ש דחה את עתירת גולדברג נגד הזרמת 71 מיליון שקל

הממונה על שוק ההון דרש מבעל השליטה בחברת הגמל להזרים את הסכום לצורך כיסוי הגרעון והשלמת ההון העצמי ● גולדברג התנגד, אך ביהמ"ש דחה את טענותיו. באי כוחו של גולדברג: "פסק הדין כולל קביעות שגויות"

שר האוצר בצלאל סמוטריץ' מליאת הכנסת, 28.01.26 / צילום: יצחק קלמן

סמוטריץ' לא לבד: שרי האוצר שדחקו בנגיד להוריד ולהעלות ריבית

שר האוצר הכריז שיש להאיץ את הורדות הריבית, ולא בפעם הראשונה ● אבל כשרואים איך באמת מתקבלות ההחלטות על גובה הריבית, מבינים שזה לא עניין של מה בכך ● ועדיין, המתיחות בין שר אוצר לנגיד הבנק המרכזי לא נולדה בתקופת סמוטריץ', ואפילו לא בישראל

אילוסטרציה: Shutterstock

יותר מ־20 שנה לא הייתה פריצת דרך בטיפול בכאב כרוני. האם זה עומד להשתנות?

תרופה אחת שנמצאת בניסויים קליניים מתקדמים כבר הוכרזה כזן חדש לגמרי של משכך כאבים ● האם היא תעשה לשוק הכאב הכרוני מה שעשו תרופות ההרזיה לשוק הטיפול בהשמנה? ומה הסיכוי שהבשורה האמיתית תגיע דווקא מישראל? ● מומחים לכאב מספרים על המוצרים החדשים שבדרך וגם מה יכול לעזור בלי לקחת תרופות

אילוסטרציה: shutterstock

פתיחת שנה חזקה במיוחד למסלולי המניות בשוק החיסכון; ב-S&P 500 נרשמה תשואה שלילית

ינואר צפוי להיות מוצלח במיוחד לחוסכים בגמל ובפנסיה במסלול הכללי והמנייתי ● אך אלה שהשקיעו במדד S&P 500 צפויות להציג תשואה שלילית בשל חולשת הדולר מול השקל

עוני / צילום: תמר מצפי

דוח העוני: בישראל שני מיליון עניים; עלייה בשיעור הילדים מתוכם

לפי הביטוח הלאומי שיעור העוני בישראל שומר על יציבות בשנים האחרונות למרות העלייה בקו העוני ● ערן וינטרוב, מנכ"ל ארגון לתת: "עדיין לא באות לידי ביטוי במלואן השלכות המלחמה ויוקר המחיה המשקפות מצב חמור הרבה יותר בשטח"

עופר ינאי, בעלי נופר אנרג'י / צילום: נועם גלאי

עופר ינאי נגד המנכ"לים שלו לשעבר: הקמת החברה החדשה – "הפרת חוזה"

בעל השליטה בנופר אנרג'י דורש לעצור את הכניסה לבורסה של החברה החדשה של נדב טנא ושחר גרשון , שניהלו עד לפני חצי שנה את החברה בבעלותו, אותה עזבו כשבכיסם הון עתק ● גרשון וטנא: "הטענות מופרכות, נעדרות בסיס משפטי, ומשקפות ניסיון שקוף ובלתי ראוי להפעיל לחץ "

מוזגת בבית קפה בברלין. רוב העבודות החלקיות הן במגזר השירותים / צילום: Reuters, IMAGO/photothek.de

גרמניה נגד הטרנד: "לא נצליח לשגשג עם שבוע עבודה של ארבעה ימים"

הקנצלר פרידריך מרץ יוצא למלחמה בטרנד ה"איזון–בין–חיים–לעבודה" ובמודל התעסוקה החלקי שהפך לסימן ההיכר של הכלכלה הגרמנית ● עם שוק עבודה קשיח, אוכלוסייה מזדקנת וגירעון אקטוארי בפנסיות, בברלין דורשים מהאזרחים: "מי שיכול לעבוד יותר - חייב לעבוד יותר"

לסחור בשוק ההון מהבית / צילום: GEMINI-AI

"התחלתי לפני 16 שנה והיום יש לי בית פרטי בהרצליה": האנשים שמתפרנסים ממסחר במניות

הם עזבו משרות אטרקטיביות כדי לשבת בבית ולתת לשוק ההון לעבוד בשבילם ● עכשיו הם יכולים להשקיע במשפחה ובתחביבים ובעיקר לנהל את הזמן של עצמם: "זה החופש האמיתי" ● העליות בבורסה אולי מסבירות את ההייפ, אבל מומחים מזהירים: "רבים מהם יישאר בלי כסף במפולת הבאה"

נעלי Nike Mind 001 / צילום: נייקי

כוכבות פופ וחוקרי מוח: נייקי מוציאה את התותחים הכבדים בדרך לקאמבק

ענקית אופנת הספורט מנסה לחזור לקדמת הבמה לאחר שסיימה את שנת 2025 עם נפילה של כ־17% במניה ● לצורך כך היא מגייסת את קים קרדשיאן לקמפיין משותף ומשיקה נעליים שמיועדות לעזור לספורטאים להתרכז

מנכ''ל אפל, טים קוק / צילום: ap, Godofredo A. Vásquez

אפל מכה את התחזיות ומציגה מכירות שיא של מכשירי האייפון

הכנסות החברה היו 143.8 מיליארד דולר והרווח היה 2.84 דולר למניה, מעל לצפי ● הציגה תוצאות חזקות במיוחד בסין, כולל טייוואן והונג קונג שזינקו באזור ב-38% ● הכנסות אפל ממכירות האייפון הגיעו לשיא כל הזמנים של 85.3 מיליארד דולר ברבעון, הרבה מעל תחזיות האנליסטים ● המניה עולה במסחר המאוחר

סיור בשוק הכרמל / צילום: שלומי יוסף

כיצד תשתיות במרכזי ערים נדרשות להתמודד עם המציאות המשתנה


משתתפי כנס תשתיות לעתיד של גלובס, זכו לסיור עירוני שיצא מאזור הבורסה והתקדם ברגל דרך רחוב גרוזנברג, נחלת בנימין ועד לשוק הכרמל ● הסיור הדגיש עד כמה קיים הצורך לאזן בין שיפור איכות החיים והתשתיות, לבין שמירה על הצביון, הפעילות והמורכבות שמגדירות את העיר עצמה

החל משבוע הבא: עליית מחירים בארומה / צילום: יח''צ

ארומה מעלה מחירים: כמה תשלמו על קפה ומאפה?

כשנה בלבד לאחר העלאת המחירים הקודמת: החל מ־3 בפברואר תעדכן רשת ארומה את מחירי חלק מהמאפים ומשקאות הקפה ● קפוצ’ינו קטן בתל אביב יעלה 14 שקל, דיל קפה ומאפה יעלה 27 שקל, ומספר מצומצם של מוצרים יתייקרו בשיעורים חדים של עד 50%

פינוי פסולת. מסתמכים על הטמנה / צילום: גלעד קוולרצ'יק

הקטסטרופה כבר כאן: משבר התשתיות שאפילו הפקקים מתגמדים לידו

יש מצב לא רע שאוטוטו לא יהיה לנו לאן לפנות את הזבל ● המשבר בניהול משק הפסולת מאיים על היציבות התברואתית, הכלכלית והסביבתית של המרחב הציבורי כולו, אבל מי רוצה לטפל בסירחון הזה בחצר האחורית שלו

צלפית מיחידת הלוחמות הכורדיות בסוריה / צילום: Reuters, Thomas Noonan / Hans Lucas

נפט, בגידה אמריקאית וצמות גזורות: מאחורי קריסת המובלעת הכורדית בסוריה

לאחר עשור של שותפות, ארה"ב מאמצת את התפיסה כי תפקיד הכורדים בסוריה הסתיים ומאפשרת לטורקיה ולבעלי בריתה להשתלט על מזרח הפרת ● המשמעות: מעבר רובן של עתודות הנפט הסורי לידי משטר חסות של ארדואן, וחיסול יחידות הלוחמות שהכניעו את דאעש

צילומים: AP- Alex Brandon, Ahn Young-joon, Chung Sung-Jun

לא רק איראן: האיום החדש של טראמפ על מדינה במזרח התיכון

לאחר ניסוי מוצלח צפון קוריאה מציגה תוכניות לחיזוק ההרתעה הגרעינית • טראמפ שולח איום חריג לעיראק • והגברת הראשונה של דרום קוריאה בדרך ל־20 חודשי מאסר • זום גלובלי, מדור חדש

בנימין נתניהו, דונלד טראמפ, עלי חמינאי / עיבוד: AP

טראמפ חשף כי שוחח עם איראן: "אמרתי להם - בלי גרעין, ותפסיקו להרוג מפגינים"

הנשיא אישר כי בכוונתו להמשיך להיות בקשר עם גורמים באיראן • "יש לנו הרבה ספינות שנעות לכיוון איראן כרגע, זה יהיה נחמד אם לא נצטרך להשתמש בהן", אמר • דיווח בניו יורק טיימס: טראמפ שוקל אפשרויות תקיפה נרחבות בהרבה נגד איראן - בהן גם פשיטות קומנדו על אתרי הגרעין • עוד על פי הדיווח, ישראל דוחפת לכך שארה"ב תצטרף אליה למתקפה משותפת על מערך הטילים הבליסטיים ● עדכונים שוטפים

מתוך קמפיין הפועלים / צילום: צילום מסך

הדאבל הראשון לשנת 2026: בנק הפועלים אחראי לפרסומת הזכורה והאהובה ביותר

בשבוע שעבר התברגה הפרסומת של הפועלים בכיכובן של ליאת הר לב והילה קורח כזכורה ביותר, והשבוע היא גם האהובה - כך עולה מדירוג הפרסומות הזכורות והאהובות של גלובס וגיאוקרטוגרפיה ● חברות התקשורת yes ו–HOT ממשיכות לככב עם הפרסומות לקידום HBO MAX

טלי בן עובדיה / צילום: ערן לוי

לפני כניסת הדירקטורים החדשים: בחדשות 13 אישרו את המינוי הקבוע של המנכ"לית טלי בן עובדיה

מינוייה אושר לאחר עזיבת הדירקטורית ד"ר יפעת בן חי שגב ונותר רק מתנגד אחד ● ברשת 13 מיהרו להחליט בטרם כניסת הדירקטורים החדשים מטעם הרשות השנייה וכדי למנוע התנגדות אפשרית ● תגובת רשת 13: "הישיבה על ההצבעה נקבעה עוד בטרם יצאה ההודעה על מינוי הדירקטורים"

אביעד מייזלס / צילום: צילום מסך יוטיוב

לקרוא שפתיים, להבין כוונות, לחוש את הרגש: המכשיר הישראלי שיהפוך את אפל לקוראת מחשבות

Q.ai עשויה להביא לאפל יכולות הרבה יותר משוכללות מאשר כל חברת בינה מלאכותית אחרת שהיא אי פעם רכשה ● בארבע שנות קיומה הספיקו מייסדי החברה - אביעד מייזלס, ד"ר אבי ברליה וד"ר יונתן וכסלר לרשום לפחות ארבע פטנטים שמציתים את הדמיון