גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

3 פסקי דין בשבוע / צילום: אנימציה: טלי בוגדנובסקי

אברך תבע מזונות מאשתו בגלל משכורת נמוכה. מה קבע ביהמ"ש?

אברך טען כי הוא מרוויח 1,100 שקל בחודש, ולכן אשתו צריכה לשלם לו מזונות - ביהמ"ש העריך את הכנסתו ב־50 אלף שקל ● חברת תיווך הציגה נכס לרוכשת, והיא פנתה לבסוף למתווכת אחרת בקשר לאותה הדירה. מי זכאי לדמי התיווך? ● ובג"ץ החמיר את התנאים להוכחת זכאות לקרקע לבנייה ביישוב מגורים ● 3 פסקי דין בשבוע

נשיא חברת טבע העולמית, ריצ'רד פרנסיס / צילום: סיון פרג'

טבע חתמה על הסכם להאצת פיתוח תרופה מקורית למחלת עור ומספקת תחזיות לשנים הבאות

החברה חתמה על הסכם של עד 500 מיליון דולר עם רויאלטי פארמה לפיתוח התרופה למחלת ויטיליגו שתיכנס לשלב 2 בניסויים הקליניים ● צופה השנה הכנסות דומות או ירידה קלה לעומת 2025 לצד גידול ברווחיות ובתזרים החופשי, וב-2027 צמיחה בהכנסות, ברווחיות ובתזרים

ג'רום פאוול, יו''ר הפדרל ריזרב ונשיא ארה''ב דונלד טראמפ / צילום: Reuters, Carlos Barria

יו"ר הפד חשף: "נפתחה נגדי חקירה פלילית"; החוזים על וול סטריט יורדים

בסרטון שפרסם ברשת X, חשף ג׳רום פאוול כי משרד המשפטים האמריקאי החל בחקירה פלילית נגדו ● הסיבה הרשמית: העדות שמסר בקונגרס על שיפוץ מטה הפד ● יו"ר הפד האשים כי הסיבה האמיתית היא שלא יישר קו עם הנשיא בנוגע לריבית: "צעד חסר תקדים" ● ואיך הגיבו בשווקים?

צורי דבוש / צילום: מורג ביטון

הצטרפות בדקה ה־90 ועתירה לביהמ"ש: המרוץ על התאחדות התעשיינים

בסוף החודש יתקיימו הבחירות להתאחדות התעשיינים - ומניצחון בטוח של מתמודד יחיד הפכו לעימות משפטי עם העתירה לשינוי שיטת ההצבעה ● ברקע: המאבק בממשלה על היטל ההיצף

כיצד לאזן נכון משאבים בזמן גירושים / צילום: Shutterstock

ברוטו או נטו אחרי מס? כיצד לאזן נכון משאבים בזמן גירושים

המגמה הכללית בפסיקה הינה איזון על בסיס ברוטו של הנכסים בין בני זוג, אך יש דרכים נוספות שיכולות להועיל לשני הצדדים

ראשי קרן אלומה, מימין אורי יוגב, מולי רבינא ויאיר הירש / צילום: נוי נפתלי

קרן אלומה רוכשת חצי מגרינמיקס ב-45 מיליון שקל, פחות מהסכום המקורי

לגלובס נודע כי קרן התשתיות אלומה של אורי יוגב, מולי רבינא ויאיר הירש הופכת הלוואה קיימת של 20 מיליון שקל למניות בחברה ומשקיעה עוד 25 מיליון שקל נוספים ● על פי הערכות בשוק, גרינמיקס היא חברה רווחית

מנכ''ל ולנס יורם זלינגר / צילום: ולנס סמיקונדקטור

בלילה אחד: ציוץ אנונימי הקפיץ את מניית האוטוטק מהוד השרון ב־60%

מניית ולנס לא ראתה יום כזה מאז שהחלה להיסחר: עם מחזור גבוה פי 30 מהרגיל, המניה זינקה ב־60% בן־לילה ● זאת, בשל עסקה גדולה עם יצרנית רכב וציוץ אנונימי שטוען כי השוק כולו טועה בנוגע להיקף המלאים של החברה ● האנליסטים מעריכים: יש לה עוד מקום לעליות

ליאור סגל, מנכ''ל וממייסדי עין שלישית / צילום: יקיר שוקרון

הענקית מהאמירויות אישרה רכישת 30% מהחברה הביטחונית מישראל

הקונגלומרט הביטחוני האמירותי אדג' אישר את רכישת החברה הביטחונית הישראלית עין שלישית, בעסקה שנסגרה בינואר אשתקד ● האסיפה הכללית של החברה צפויה להתכנס ב־15 בפברואר כדי לאשר את מתווה העסקה הסופי

שר המשפטים יריב לוין וח''כ שמחה רוטמן / צילום: נועם מושקוביץ', דוברות הכנסת

התיקון לחוק החוזים דווקא כן מגביר ודאות

תיקון חוק החוזים אינו מושלם, אך הביקורת עליו מתעלמת מהתמונה המלאה ● הוא אומנם לא מבטל את שיקול-הדעת של השופטים, אך עושה סדר בריבוי הגישות שלהם לפרשנות, מגביל עמימות ומאפשר לצדדים לדעת מראש כיצד חוזיהם ייבחנו

עיצוב: טלי בוגדנובסקי, חומרים: Shutterstock

מה קורה בגוף בזמן השינה - ואיך זה מאפשר לנבא 130 מחלות

OpenAI תשיק גרסה ייעודית של ChatGPT למענה על שאלות רפואיות. המחיר: ויתור על הפרטיות ● חוקרים מאוניברסיטת סטנפורד מראים שלילה אחד של שינה יכול לנבא עשרות מחלות ברמות דיוק של 80% ומעלה ● באייר מקימה בישראל מעבדה שתדמה מתקפות סייבר על מפעלי תרופות, וחברות ישראליות מציגות פריצות דרך – מטיפול ואבחון סרטן ועד "אינקובטור חיבוק" לפגים ● השבוע בביומד

הבורסה בתל אביב / צילום: Shutterstock

הבורסה מגלה: בכמה קפץ מחזור המסחר ביום שישי האחרון לעומת ימי ראשון

פעילות המשקיעים הזרים היוותה כרבע ממחזור המסחר שעמד על 1.9 מיליארד שקל – כ-26% מעל המחזור הממוצע בימי ראשון אשתקד ● מחזור המסחר היומי הממוצע בשבוע החולף טיפס ל-4.7 מיליארד שקל

הפגנות באיראן / צילום: Reuters, ZUMA Press Wire

גורם ישראלי בכיר: "גם אם ייקח זמן - הסיפור של המשטר האיראני גמור"

במשטר האיראני הוחלט: מעלים את רמת העימות עם המפגינים ● ישראל וארה"ב דנות על הסכם סיוע ביטחוני חדש, נתניהו ביקש לקצץ את הסיוע ● ברויטרס מדווחים כי בישראל העלו כבר כוננות בעקבות דברי טראמפ ● צה"ל: לוחם דובדבן נפצע בינוני בהיתקלות עם מחבלים בשכם ● סנאטור רפובליקאי לאיראנים: "הסיוט שלכם עומד להיגמר" ● גורם אמריקאי לאל-ערבייה: הותקפו יותר מ-35 מטרות של דאעש בסוריה ● עדכונים שוטפים

5 דברים לדעת לפני פתיחת המסחר / עיבוד: טלי בוגדנובסקי

חמישה דברים שכדאי לדעת לקראת פתיחת המסחר בבורסה

המסחר בת"א צפוי להיפתח במגמה מעורבת ● ירידות בחוזים בוול סטריט בצל פתיחת החקירה הפלילית נגד יו"ר הפד, טראמפ: "לא ידעתי על זה" ● מיטב: מעדיפים מניות ואג"ח ממשלתיות על פני אג"ח חברות ● השבוע יפורסמו נתוני אינפלציה בישראל ובארה"ב ● בועה או לא בועה? התשובות של קתי וודס, ג'יימי דיימון ועוד כמה מהבכירים בוול סטריט, ומה מלמדת היסטוריית הבועות ● גלובס עושה סדר לקראת פתיחת המסחר

ירידת מחירים בענף הרכב/ עיבוד: טלי בוגדנובסקי צילום: יוסי כהן

מצ'רי ועד סקודה וטסלה: ענף הרכב מציג ירידת מחירים חריגה

ענף הרכב הישראלי מתחיל את 2026 עם ירידה במחירי המחירון הרשמיים של דגמים חדשים רבים ● זאת, בניגוד למגמה הרווחת זה שנים ● משערי המטבע והלחץ הרגולטורי ועד לצונאמי התקינה הסיני: אלו הכוחות שהשפיעו על היבואנים

צילום: Shutterstock, Pixels Hunter

המדד בת"א שקפץ ב-11% בשבוע, ומה צפוי היום בדואליות?

שבוע המסחר החדש שנפתח היום יושפע מהמתיחות הגיאו-פוליטית ברחבי העולם, מונצואלה ועד איראן ● המניות הביטחוניות בלטו בעליות בשבוע החלף, והמדד קפץ במעל 11% בת"א ● מדדי המחירים לצרכן יעמדו במוקד בישראל ובארה"ב ● אלביט ונובה צפויות לחזור עם פערי ארביטראז' חיוביים, ומה יקרה לטבע? ● וגם: המדדים המובילים בוול סטריט • כל מה שכדאי לדעת לקראת פתיחת שבוע המסחר 

מהרן פרוזנפר / צילום: דוברות משרד האוצר

סוף לסאגת המינויים באוצר: פרוזנפר מונה לממונה על התקציבים, עבאדי-בויאנג'ו לחשבת הכללית

אישור הממשלה מביא לסיום סאגה ארוכה, שהשאירה את אגף התקציבים ללא ממונה בראשו בתקופה רגישה של העברת תקציב המדינה לשנת 2026

החזיתות של אנבידיה / צילום: Shutterstock

סדקים בחומה: כך מנסות גוגל ומטא לשחרר את עולם ה־AI מהתלות באנבידיה

הדומיננטיות של אנבידיה נשענת על שילוב עוצמתי בין חומרה מתקדמת למערכת הפעלה שהפכה לסטנדרט בתעשייה ● כעת, שתי ענקיות טכנולוגיה משלבות כוחות כדי ליצור חלופת תוכנה שתשחרר את המפתחים מהתלות היקרה ● האם הן יצליחו לשנות את יחסי הכוחות בשוק? ● החזיתות של אנבידיה, פרויקט מיוחד

כורדים סורים מפגינים נגד המשטר בחסכה, השבוע / צילום: Reuters, Orhan Qereman

המחאות באיראן עלולות לפגוע באינטרסים הישראליים בסוריה

בעוד שהקשב הבינלאומי מופנה לאיראן ולוונצואלה, טורקיה שולחת כוחות צבאיים לשטח מדינת החסות סוריה - והמיעוט הכורדי מבין שזהו חלון הזדמנויות מסוכן ● המונים התקבצו היום בשערי בסיס אמריקאי בחיפוש אחר הגנה מפני ארדואן, אך וושינגטון שומרת בינתיים על שתיקה

האשפה נערמת ברחובות הוואנה, קובה / צילום: ap, Ramon Espinosa

קובה כבר נמצאת על סף קריסה, והדחתו של מדורו דוחפת אותה לשם

הדחת נשיא ונצואלה מאיימת לנתק את קובה ממקור הנפט המרכזי שלה, בעיצומו של משבר כלכלי וחברתי חריף ● הפסקות חשמל, הגירה המונית וקריסת שירותים בסיסיים מעמידות את המשטר הקומוניסטי בפני מבחן קשה, והקובנים תוהים: האם ממשלתם תהיה הבאה שתיפול?

מצב השווקים / צילום: Shutterstock

המניות החביבות על האנליסטים לשנה החדשה - ועוד 4 כתבות על המצב בשווקים

אפקט העליות בשוק המניות: הצעירים לא חוששים כמעט מהפסדים ● בנקי השקעות מובילים בארה"ב מזהים הזדמנויות ל-2026 ● 10 המניות שסומנו כהכי גרועות בת"א והפתיעו את המשקיעים ● ההמלצה המדהימה של בנק אוף אמריקה למניות הבנקים הישראליים ● וגם: למה האנליסט האופטימי מוטרד?