גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

יירוטים של כיפת מגן מספינת סער 6 / צילום: תע''א

הלייזר יגיע גם לספינות של חיל הים: "עוד לא ראינו את כל היכולות"

ישראל כבר הוכיחה חדשנות באוויר וביבשה, אך היכולות בים בחלקן לא נחשפו ● סא"ל ה', ראש ענף ים במפא"ת במשרד הביטחון, מפנה זרקור לאתגרים בזירה הזו, מסבירה למה חשוב לעבוד עם סטארט־אפים, ומצהירה: "חלק מהיכולות נראה רק בהמשך"

חוזרים מהמילואים / צילום: Shutterstock

ההטבות לאנשי המילואים: עבור מלחמה חסרת תקדים, נדרש תגמול חסר תקדים

לאחר שנים שבהן סברו שבכלל לא צריך להעניק תגמול מיוחד למשרתי המילואים, המדינה שינתה כיוון, ועם כל מערכה שאליה נקלעה הוגדלו הפיצויים והורחבו ההטבות ● עכשיו גם המומחים מסכימים: כשיש מלחמה שתובעת מהמילואימניקים מאות ימי שירות שנה, המודל זקוק לעיצוב מחדש, ומה שהם מקבלים היום לא עושה את העבודה ● חוזרים מהמילואים, פרויקט מיוחד

יודה מ''מלחמת הכוכבים''. ניצול דמויות? / צילום: Shutterstock

ג'ון גרישם, שרה סילברמן ואלזה יצאו לקרב על זכויות יוצרים נגד ה־AI

בעוד הטכנולוגיה דוהרת לכיוון של ספרים, סרטים ושירים שיצרה בינה מלאכותית, שורה של תביעות ענק שהוגשו באחרונה נגד ענקיות ה־AI מטלטלות את עמק הסיליקון ● מומחה לליטיגציית קניין רוחני: "השופטים מנסים לרסן את סוס הפרא החדש ואת האינטרסים שמריצים אותו" ● סכומי הכסף המופנים למאבקים הללו צפויים רק לתפוח

סוכנות דירוג האשראי מודי'ס / צילום: Shutterstock, Daniel J. Macy

חברת מודי'ס: ההסכם בעזה "חיובי לדירוג" של ישראל - אבל הסיכון עדיין גבוה

"ההסכם חיובי לאשראי עבור ישראל", נכתב בסקירה שפרסמה מודי'ס אתמול, אך גם הזהירה: "הסיכונים נותרים גבוהים שההסכם לא ייושם במלואו" ● דירוג האשראי של ישראל נותר על Baa1 עם תחזית שלילית

AirPods Pro 3 של אפל / צילום: יח''צ

אפל משיקה אוזניות חדשות. האם הן שוות 1,170 שקל?

שלוש שנים חלפו מאז השיקה ענקית הטכנולוגיה אפל את אוזניות הפרו האחרונות שלה ● כעת מגיע ה–AirPods Pro 3 - מוצר מעולה, אך עם חידושים מינוריים ותג מחיר גבוה

חאן יונס שברצועת עזה / צילום: ap, Jehad Alshrafi

עם שיקום של 67 מיליארד דולר, מהן התוכניות ברצועת עזה ליום שאחרי

על מנת לשקם את ההרס ברצועת עזה, יידרשו השקעות בסך 67 מיליארד דולר ● מי שעטו על ההזדמנות הן שתי מנהיגות ציר של האחים המוסלמים: קטאר, שהפכה לשחקן מוכר ברצועת עזה עוד הרבה לפני המלחמה; וידידתה הקרובה – טורקיה ● מה עתיד הרצועה כאשר על פי דוח של יוניסף, יותר מ־70% מתשתיות המים והסניטציה נפגעו, ואנרגיה – כמעט ואין

בכמה נמכר צמוד קרקע בהרצליה הירוקה? / צילום: שני גנץ

ירידה של 700 אלף שקל: בכמה נמכר צמוד קרקע בהרצליה הירוקה?

צמוד קרקע עם חמישה חדרים ושתי גינות נמכר ב-4.9 מיליון שקל אחרי שעמד כשנה על המדף ● "השוק בהרצליה כרגע איטי, וזה משחק לטובת הרוכשים", אומר מי שייצג את הקונים בעסקה ● ועוד עסקאות נדל"ן מהשבוע האחרון

באיזו מדינה יש חג מיוחד המוקדש לנאמנותם של בעלי החיים? / צילום: Shutterstock

איזו חברה שברה שיא עולמי והפכה לראשונה בעולם בשווי 4 טריליון דולר?

היכן מוענק פרס נובל לשלום, איזו אמנות לחימה מבוססת על תנועותיו של גמל שלמה, ובאיזו מדינה יש חג מיוחד המוקדש לנאמנותם של בעלי החיים? ● הטריוויה השבועית

חיות מחמד משפיעניות נתפסות כאמינות יותר ממשפיענים אנושיים / צילום: Shutterstock

הפוסט ששינה את חייה של חתולה אחת – ואת חשבון הבנק של בעליה

חשבונות של חיות מחמד חמודות הפכו לאחד הטרנדים הכי רווחיים במדיה החברתית ● בעזרת תלבושות, טרנדים והומור מדויק – יש מי שמרוויח מהן עשרות אלפי דולרים בשנה ● אז מה הסוד של חיות המחמד שכבשו את הפיד?

שמואל מושקוביץ, מוזיקאי יוצר, לוחם במילואים / צילום: פרטי

“השווארמה-עליי-אחי” הראשונה הייתה מרגשת. השנייה כבר הייתה חבל הצלה

שנתיים מלחמה, שלושה סבבים, ניסיון מתמיד לחזור להיות בעל, אבא ומפרנס ● המילואימניק שמואל מושקוביץ מבקש מהחברה הישראלית: תחזקו אותנו בכניסה לשגרה החדשה של כולנו ● חוזרים מהמילואים, פרויקט מיוחד 

למה הוציאה אמזון פריים את האקדח מהידיים של ג'יימס בונד

אמזון פריים הסירה את האקדחים מהפוסטרים לסרטי בונד בלי הודעה מוקדמת ● ניתן לחשוב שהבחירה נובעת מחשש מעימות עם תרבות ה"ווק". אך בפועל התאגיד מחק את הדימוי בשביל לרצות את האלגוריתם ● ללמד מכונה להבין זה יקר - למחוק אקדח זה זול ומהיר

ליסה סו, מנכ''לית AMD / צילום: Reuters, Mattie Neretin/Sipa USA

מנכ"לית מהדור הישן מנהיגה את יריבתה העיקרית של אנבידיה

ליסה סו מ-AMD היא "מהנדסת במלוא מובן המילה", שהכניסה עצמה השבוע למאבק על הטכנולוגיה החדשה בעולם, באמצעות עסקת ענק עם OpenAI ● כעת השוק מצפה ממנה שתחתום על עסקאות נוספות, ותחתים חברות בינה מלאכותית גדולות נוספות כלקוחות לשבבים של AMD

הצצה לעולמם של מבשלי העסקאות / צילום: Shutterstock

המתווך שקיבל 6 מיליון שקל בעסקה של השנה: הצצה לעולם של מבשלי העסקאות במשק

מאחורי כל עסקה כמעט בשוק ההון, עומדים מתווכים שמקבלים שכר טרחה שמגיע למיליוני שקלים ● סכומי ופרטי התיווך נותרים לרוב מחוץ לעיניי הציבור או במקרה הטוב "קבורים בעמוד 300 בדוח החברה", כפי שמספרים גורמים בשוק ● לפעמים עבודתם מסתכמת בהחלפת מספרי טלפון, אבל לרוב מדובר בליווי שנמשך חודשים ארוכים עד שנים ● מהמתווך שקיבל 6 מיליון שקל בעסקה הגדולה של השנה, ועד למספר הטלפון שהפך איש עסקים למולטי מיליונר

קוטג' עם נוף ושביל לים באילת / צילום: חברת עמרם אברהם

קוטג' עם נוף ושביל לים נמכר במחיר הגבוה ביותר באילת

הבית נמכר תמורת 6.5 מיליון שקל, המחיר הגבוה בעיר בעשור האחרון לפי רשות המסים ● הוא הוקם על מגרש בשטח של כ־450 מ"ר וצמודים לו גם גג בשטח של 113 מ"ר וחצר בשטח של 360 מ"ר עם בריכה

המגה–ריזורט של קים ג'ונג און / צילום: ap, Jon Chol Jin

הכניסה לרוסים בלבד: הצצה לריזורט של אחד הדיקטטורים הגדולים בעולם

מנהיג קוריאה הצפונית מנסה להוכיח לבני עמו שגם הם יכולים ליהנות, למרות ערימת הסנקציות ● באתר הנופש היוקרתי שחנך, שמנסה ליצור תדמית של מדינה מודרנית ועשירה, יש חופים לבנים, מים צלולים ואוכל בשפע ● אלא שהאורחים היחידים שמורשים להיכנס הם רוסים ● ולמה מוכרים שם דגם של טיל בליסטי ב-500 דולר?

אילוסטרציה: shutterstock

הפערים שיכבידו על המסחר, חששות המשקיעים והמניה שתסבול במיוחד

המסחר ייפתח היום לצד סימני השאלה לגבי הפסקת האש ועתידה, מימוש הרווחים במדדים המקומיים ורוחות סוערות בוול סטריט ● האם הבורסה כבר גילמה את מרב האופוריה הכלכלית, ואיך ישפיעו פערי הארביטראז'?

מתוך הספר ''52 שבועות 52 דגים'' / צילום: תומר אפלבאום

מהים לצלחת: הרפורמה שעומדת לשנות את מחירי הדגים בארץ

הספר שכתב יו"ר איגוד הדייגים גיל ססובר ונהיה סולד אאוט מהר מקבל גרסה חדשה, המתייחסת לרפורמה שצריכה לשמח את חובבי הדגים

בנק סיליקון ואלי / אילוסטרציה: ap, Ted Shaffrey

פלאשבק לקריסה ב-2023? למה הבנקים בארה״ב מדאיגים את המשקיעים

בשווקים ברחבי העולם גברו ביממה האחרונה החששות ממשבר אשראי חדש בבנקים האזוריים בארה״ב ● מה קרה, איך הגיבו השווקים, והאם זה דומה לקריסת סיליקון ואלי? גלובס עושה סדר 

דאסו רפאל / צילום: ap, Lewis Joly

צרפת תספק מטוסי קרב מתקדמים לשכנה של ישראל

שיתוף־פעולה חדש בין PVML הישראלית לוויז'ן ווייב האמריקאית בתחום הבינה המלאכותית ● סין מנסה לעקוף את טורקיה בתחום המל"טים • צרפת מספקת למצרים מטוסי רפאל מתקדמים ● ובריטניה נלחמת על השוק הביטחוני ההודי ● השבוע בתעשיות הביטחוניות

נטלי משען-זכאי, ליאור סושרד, איל וולדמן, מיכל ברוורמן בלומנשטיק / צילום: יח''צ, גבריאל בהרליה, פרטי, נתנאל טוביאס

שאלנו את זוכה פרס נובל מה היה לומד היום באוניברסיטה

איל וולדמן לא היה משנה כלום במסלול שבחר, מנכ"לית נתיבי איילון הייתה לומדת פיתוח ארגוני שיסייע לה בניהול, מיכל ברוורמן־בלומנשטיק עזבה את האקדמיה אבל לא מתחרטת על רגע, וזוכה הנובל צ'חנובר ממליץ על מקצועות הרפואה ● שאלנו את בעלי התפקידים הגדולים במשק מה כדאי לצעירים ללמוד ● מה היינו לומדים היום, פרויקט מיוחד