גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

שדה חיטה בדרום אוקראינה / צילום: ap

תמורת הסכם עם ארה"ב, ישראל תגביל את ספקית החיטה העיקרית

בכירים ישראליים צפויים לבקר בוושינגטון ולסכם את פרטי הסחר החדש עם ארה"ב ● ההתחייבות הישראלית ביחס ליבוא החיטה, והחשש במגזר העסקי - תביא לעלייה ביוקר המחיה

דולר שקל / אילוסטרציה: Shutterstock

טיפ מהסולידית: כך תוכלו להרוויח מירידת הדולר

על רקע השפל בשער הדולר, כיצד תוכלו לנצל את ירידת הערך של ההשקעות במט"ח לצמצום חבות המס? ● גלובס עושים סדר

אביעד מייזלס / צילום: צילום מסך יוטיוב

יתחלקו ב-2 מיליארד דולר: היזם שמכר לאפל חברה פעמיים והקרן הישראלית

אביעד מייזלס עומד מאחורי אקזיט ענק: מכירת הסטארט-אפ Q.ai לאפל בכמעט 2 מיליארד דולר ● מייסדי החברה והעובדים יתחלקו בכמיליארד דולר, בעוד משקיעים עיקריים בחברה צפויים לרשום החזרים של מאות מיליונים ● העסקה, השנייה בגודלה בתולדות אפל, מדגישה את ההימור שלה על בינה מלאכותית מבוססת ראייה ושמיעה

מנכ''ל אפל, טים קוק / צילום: ap, Godofredo A. Vásquez

אפל מכה את התחזיות ומציגה מכירות שיא של מכשירי האייפון

הכנסות החברה היו 143.8 מיליארד דולר והרווח היה 2.84 דולר למניה, מעל לצפי ● הציגה תוצאות חזקות במיוחד בסין, כולל טייוואן והונג קונג שזינקו באזור ב-38% ● הכנסות אפל ממכירות האייפון הגיעו לשיא כל הזמנים של 85.3 מיליארד דולר ברבעון, הרבה מעל תחזיות האנליסטים ● המניה עולה במסחר המאוחר

צלפית מיחידת הלוחמות הכורדיות בסוריה / צילום: Reuters, Thomas Noonan / Hans Lucas

נפט, בגידה אמריקאית וצמות גזורות: מאחורי קריסת המובלעת הכורדית בסוריה

לאחר עשור של שותפות, ארה"ב מאמצת את התפיסה כי תפקיד הכורדים בסוריה הסתיים ומאפשרת לטורקיה ולבעלי בריתה להשתלט על מזרח הפרת ● המשמעות: מעבר רובן של עתודות הנפט הסורי לידי משטר חסות של ארדואן, וחיסול יחידות הלוחמות שהכניעו את דאעש

אילוסטרציה: Shutterstock

וול סטריט ננעלה בירידות; מטא זינקה בכ-10%, מיקרוסופט נפלה ב-9%

נעילה מעורבת באירופה, בורסת פרנקפורט נפלה במעל 2% ● הדולר מתאושש מעט ● מחירי הנפט מזנקים, על רקע דיווחים על תקיפה אמריקאית אפשרית באיראן ● הפדרל ריזרב השאיר את ריבית ארה"ב ללא שינוי, ולא סיפק רמזים לגבי ההמשך ● אפל תדווח היום את תוצאותיה הכספיות לאחר נעילת המסחר

עפולה / צילום: Shutterstock

דווקא בפריפריה: מכרזי הקרקעות נסגרים במחירים גבוהים משמעותית מהשומות

השבוע נסגרו מספר מכרזים של רמ"י ברחבי הארץ, והתמונה ברורה: בפריפריה הם גבוהים משמעותית מהשומות, ואילו במרכז נמוכים יותר ● באשדוד מקימים מרכז חדשנות לאומי בתחום הבנייה ● וארכימדס מימון נדל"ן, יחד עם מגדל חברה לביטוח, מעמידות מסגרת אשראי לפרויקט מגורים של סלע איסתא נדל"ן ● חדשות השבוע בנדל"ן

שר האוצר בצלאל סמוטריץ' / צילום: נועם מושקוביץ, דוברות הכנסת

הכנסת אישרה בקריאה ראשונה את הצעת תקציב המדינה

ברוב של 62 חברי כנסת, אושרה בקריאה ראשונה הצעת חוק תקציב המדינה ל-2026 ● לקואליציה נותרו חודשיים להשלים את מהלך החקיקה, וגורל הרפורמות יוכרע כעת בוועדות הכנסת ● מוקדם יותר קרא סמוטריץ' לנגיד להוריד בחדות את הריבית. כך הגיב בנק ישראל

עבודות המטרו בתל אביב / צילום: בר לביא

המטרו יוצא לדרך ומפת התחבורה של ת"א נכנסת לכאוס

בשנה הקרובה יחלו עבודות להקמת תחנות המטרו בצמתים מרכזיים בתל אביב כמו דרך השלום־נמיר, הבימה ושוק הכרמל ● מה מתוכנן ואיך צריך להתארגן לקראת התחלת הפרויקט התחברותי הגדול ביותר שנעשה בישראל? ● גלובס עושה סדר

משמרות המהפכה באיראן / צילום: ap, Vahid Salemi

"צעד היסטורי": האיחוד האירופי הגדיר את משמרות המהפכה כארגון טרור

בצעד חריף שממנו נמנעו מדינות אירופה במשך שנים, האיחוד האירופי הסכים להגדיר את משמרות המהפכה כארגון טרור ● גרמניה הובילה את הצעד, איטליה הסירה את ההתנגדות וספרד נכנעה ללחץ ● מה משמעות המהלך ולמה הוא קורה דווקא עכשיו?

אילון מאסק / צילום: ap, Brandon Bell

טסלה מאותתת, שוב: העתיד שלה כבר לא נמצא על הכביש

למרות ירידה שנתית ראשונה בהכנסות, אילון מאסק משקיע מיליארדים בחברת הבינה המלאכותית שלו xAI, ואפילו רומז כי טסלה עשויה להידרש בעתיד גם ליכולות ייצור שבבים עצמאיות ● המסר ברור מתמיד: טסלה רואה את עצמה בראש ובראשונה כחברת בינה מלאכותית ורובוטיקה, ורק אחר־כך כיצרנית רכב

"יכולות קטלניות": הנשק האיראני שכבר מוכן למקרה של מלחמה

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל • והפעם: בוול סטריט ג'ורנל מעריכים שלאיראן יש מספיק טילים כדי להגיב בחריפות על מתקפה נגדה, לפי דיווח של רויטרס שלב ב' ברצועת עזה יכלול רכישה מסיבית של כלי נשק של חמאס, והמחאה העצובה של משפחות המפגינים שנהרגו באיראן • כותרות העיתונים בעולם

צבי סטפק / צילום: איל יצהר

צבי סטפק מסביר מה עומד מאחורי הנסיקה במתכות היקרות, ומזהיר: "המחירים נכנסו לסחרור מסוכן"

מחירי המתכות היקרות ממשיכים להמריא לשיאים חדשים ● הסיבות לכך: השימוש בכסף בתחומים מעבר לתכשיטים, ותפישת הזהב כגידור מפני אי־הוודאות הגאו־פוליטית ההולכת וגוברת ● אך סטפק גם מזהיר: "הנסיקה עשויה להימשך, אבל בדרך־כלל בשלב מסוים מגיע מימוש ואיתו הפסדים גדולים לחלק מהמשקיעים"

נעלי Nike Mind 001 / צילום: נייקי

כוכבות פופ וחוקרי מוח: נייקי מוציאה את התותחים הכבדים בדרך לקאמבק

ענקית אופנת הספורט מנסה לחזור לקדמת הבמה לאחר שסיימה את שנת 2025 עם נפילה של כ־17% במניה ● לצורך כך היא מגייסת את קים קרדשיאן לקמפיין משותף ומשיקה נעליים שמיועדות לעזור לספורטאים להתרכז

יהלי רוטנברג, החשכ''ל היוצא, בכנס גלובס השבוע / צילום: שלומי יוסף

בהסתדרות כועסים על דברי החשכ"ל היוצא יהלי רוטנברג בכנס תשתיות לעתיד של גלובס

דברי החשכ"ל היוצא יהלי רוטנברג בכנס תשתיות לעתיד של גלובס שהכעיסו את ההסתדרות ● גינדי גלובל עלתה בקמפיין נדל”ן חדש בלימסול בכיכובו של רון שחר ● ד”ר ציפי איסר־איציק מקימה משרד למשפט סביבתי ואקלים ● פקטורי 54 ומאיה קלרה-בהרב במכירה פומבית משותפת של יצירות אומנות ● וגם: מינויים חדשים בAT&T וב-iTalent ● אירועים ומינויים

בנימין נתניהו, דונלד טראמפ, עלי חמינאי / עיבוד: AP

"הדולר עשוי לרדת לרמות של 2 שקלים": 4 תרחישים במקרה של עימות עם איראן

הכתבה הזו הייתה הנצפית ביותר השבוע בגלובס ועל כן אנחנו מפרסמים אותה מחדש כשירות לקוראינו ● המתיחות בין ארה"ב לאיראן מגיעה לשיא עם השלמת פריסת הכוחות האמריקאים במזרח התיכון ● מומחים משרטטים כיצד יושפעו שוק ההון בישראל ושער הדולר־שקל ● ליאו ליידרמן, לשעבר ראש חטיבת המחקר בבנק ישראל: "ייתכנו שערי חליפין הרבה יותר נמוכים ממה שראינו עד עכשיו"

השבוע בענף הרכב / צילומים: Shutterstock, AP / עיבוד: טלי בוגדנובסקי

אובר בוחנת את שוק הרכב הישראלי: צפויה לשתף פעולה עם BYD וטסלה

אובר החלה לבצע הכנות ראשוניות לכניסה לישראל לקראת סוף השנה ● מחירי הליתיום מזנקים בחדות ורומזים על עליית מחירים קרובה ברכבים חשמליים ● אחרי הפסקה ממושכת, טויטה חוזרת לפלח החשמלי ● ויצרנית הרכב הווייטנאמית תאמץ את מערכת הנהיגה האוטונומית של חברת Autobrains הישראלית ● השבוע בענף הרכב

הפרויקט ברמת אפעל / הדמיה: viewpoint

לא רק דירות: גינדי מציעה תנאי תשלום 20־80 על משרדים ותשואה של 8%

חברת גינדי החזקות מבטיחה לשלם לקונים 8% על סכום המקדמה למשך 3 שנים, ואחר־כך על התשלום הכולל למשך עוד שנתיים ● החסרונות: התשואה הכוללת לשנים אלה אינה גבוהה, והמשקיע חייב להביא בחשבון תקופות אי־תפוסה, וכן דמי ניהול וארנונה ● מאחורי המבצעים, מדור חדש 

האוצר משיק פיילוט למערכת תשלומים מבוססת ''אסימונים דיגיטליים'' / איור: Shutterstock

האוצר משיק: פיילוט תשלומים חדש לספקים ממשלתיים

לפני ארבעה חודשים הכריז החשכ"ל על כוונתו להקים מערכת שתחליף את העברות הכספים המסורתית לגופים ציבוריים וספקיהם ● כעת, לאחר שנבחרו שלושה פתרונות, בחודש הבא יתחילו הפיילוטים ברשויות המקומיות

סיור ברכבת הקלה / צילום: כדיה לוי

מה מסתתר בקומה הסגורה של תחנת אלנבי ברכבת הקלה בתל אביב?

משתתפי כנס תשתיות לעתיד של גלובס זכו להצצה נדירה מאחורי הקלעים של אחת מעשר התחנות התת-קרקעיות בקו האדום של הרכבת הקלה בגוש דן