Dzisiejsze przedsiębiorstwa od dawna posiadają zapory sieciowe, które chronią sieć lokalną przed atakami z zewnątrz. Większość z nich bardzo dobrze broni sieci przed próbami przełamania zabezpieczeń od strony Internetu, zatem ataki polegające na znalezieniu błędu w zaporze lub jej konfiguracji są bardzo rzadkie. Zazwyczaj atak odbywa się inną drogą - przez infekcję komputera lokalnego w przedsiębiorstwie. Wtedy oprogramowanie zainstalowane na przejętej stacji roboczej przechwytuje wciskane klawisze, kradnie pliki, do których ma dostęp zalogowany użytkownik, a także rozpoznaje potrzebne dane po zawartości plików.

Dużo danych? To nie problem!

Wbrew pozorom, przetransferowanie istotnych danych nie stanowi problemów w przypadku większości firm. Do tego celu można użyć prostego programu, który zaszyfruje pliki i prześle je w wielu drobnych porcjach jako HTTP POST w obrębie sesji HTTP do docelowego serwera. Innym rozwiązaniem jest użycie sieci peer to peer, na przykład eMule lub BitTorrent. Klient sieci eMule/eDonkey może być skonfigurowany w ten sposób, by wysyłać pliki z ograniczoną przepustowością - nawet rzędu 1 kB/s, używając przy tym ograniczonej ilości otwartych połączeń. Ponieważ klient sieci eMule/eDonkey może korzystać z dowolnego serwera, pracując na dowolnym porcie, w ten sposób można ominąć większość zapór sieciowych, które nie potrafią analizować ruchu na podstawie protokołu, kierując się jedynie portami.

Oczywiście zawsze można skorzystać z usługi FTP, rzadko jest ona blokowana w firmach, ponadto firmy równie rzadko blokują HTTPS. Użycie SSL sprawia, że administratorzy mają twardy orzech do zgryzienia, gdy chcą udowodnić, że ten ruch sieciowy odpowiada za kradzież danych, a nie udostępnianie np. pornografii. Niektórzy włamywacze zostawiają porcję takich plików, by skierować ewentualną analizę na niewłaściwe tory.

Do kradzieży informacji można także wykorzystać sieć bezprzewodową - jeśli jest źle zabezpieczona (używane WEP lub WPA ze słabym hasłem, brak szyfrowania AES), to jest to najprostszy sposób włamania. Gdy danych jest bardzo dużo, czasami opłaca się wykorzystanie nośnika USB, ale wymaga to obecności w przedsiębiorstwie. Ponadto jeśli dane są rozproszone, skopiowanie kompletu informacji będzie trwać zbyt długo, narażając intruza na ryzyko. Zatem problemem w przypadku kradzieży informacji z firmy nie jest sposób jej przetransferowania, ale znalezienie najbardziej wartościowych porcji, które trzeba wykraść, ignorując resztę.

ERP i CRM wskaże ważnych kontrahentów

Aby znaleźć najważniejsze informacje, włamywacz musi posłużyć się innymi narzędziami, niż tylko kopiowaniem wszystkich plików i baz. Jeśli celem jest firma handlowa, najbardziej wartościowe informacje są w systemie ERP, zwłaszcza w CRM. Pozyskanie jednej czy nawet kilku faktur kosztowych i usługowych nie jest szczególnym osiągnięciem, gdyż dane te nie powiedzą wiele. Praktyka pokazuje, że w firmach kontroluje się dostęp do aplikacji, ale znacznie rzadziej sprawdza logi z połączenia między aplikacją a bazą danych. Zatem uruchomienie raportu ze spisem kontrahentów wraz z obrotami posortowanymi malejąco, jest już znacznie ciekawsze.