Informacje, które gromadzą firmy internetowe, mają ogromną wartość, co gwarantuje, że wielu będzie ich pożądać. W tej sekcji przyjrzymy się niektórym z wielu sposobów, w jakie osoby atakujące mogą uzyskać dane przez penetrację zabezpieczeń firm internetowych. Booz Allen, Unisys, Hewlett-Packard i Hughes Network Systems zostały poddane wyrafinowanym atakom ukierunkowanym. Założę się, że celem jest również każda duża firma; incydenty po prostu nie zostały zgłoszone ani wykryte. Omówiłem już ogólnie złośliwe oprogramowanie; jednakże istnieje rosnąca tendencja do specyficzności ataków. Atakujący tworzą niestandardowe ataki na pojedyncze firmy lub nawet małe grupy pracowników. Niedawnym trendem w takim ataku jest użycie złośliwego pliku PDF. Na przykład osoba atakująca wysłała e-mailem specjalnie spreparowany plik PDF do określonych pracowników dużej firmy, wyglądając na wiarygodny raport wewnętrzny. Plik PDF został jednak zmodyfikowany, aby wykorzystać lukę w oprogramowaniu przeglądarki plików PDF i po cichu zhakować systemy wewnętrzne. To tylko przykład; badacze odkrywają podobne nowe luki i techniki każdego dnia. Szansa na zagrożenie wewnętrzne, atak zaufanego pracownika, to kolejny ważny czynnik. Aby wykorzystać dane, które gromadzą online, firmy muszą udostępniać je przynajmniej niektórym swoim pracownikom. Fakt ten otwiera drzwi dla pracowników do nadużywania tego zaufania dla przyjemności lub zysku. Prawdopodobnie w dużych firmach internetowych istnieją silne zabezpieczenia umożliwiające weryfikację osób fizycznych i kontrolę dostępu do danych, ale historia pokazała, że takie środki są niewystarczające. Weźmy na przykład bardzo zaufanego agenta FBI Roberta Hanssena i weterana CIA Aldricha Amesa. Obie przeszły obszerne procedury kontrolne i obaj przekazali KGB wysoce wrażliwe informacje niejawne w zamian za gotówkę i inne kosztowności. Trudno sobie wyobrazić bardziej rygorystyczne procedury przesiewowe niż te stosowane przez CIA i FBI; z pewnością to samo ryzyko istnieje w firmach internetowych. Firmy można atakować na wiele innych sposobów. Inżynieria społeczna to sztuka manipulowania ludźmi w celu ujawnienia poufnych informacji, takich jak hasła lub adresy sieciowe. Klasyczne przykłady obejmują telefony pozornie wyższych urzędników korporacyjnych do wsparcia technicznego z prośbą o pomoc w uzyskaniu dostępu do ich komputery i ładne kobiety rozmawiające z męskimi pracownikami w barach. Prawdopodobne jest również bardziej intensywne szpiegostwo korporacyjne. Chociaż jest mało prawdopodobne, aby zespół paramilitarny wtargnął do centrów danych Google lub Yahoo !, nadal istnieje taka możliwość. W bardziej osobistym podejściu, jeśli ktoś przyłoży broń do głowy pracownika, osoba ta z radością dostarczy hasła, klucze kryptograficzne i numery PIN, co jest procesem zwanym „kryptoanalizą gumowego domu”. Im cenniejszy zasób, tym większe prawdopodobieństwo, że inni spróbują go zdobyć. Chociaż trudno jest wycenić skarbnice informacyjne Google i innych firm internetowych, można bezpiecznie założyć, że są one niezwykle cenne, motywując niezadowolonych pracowników, konkurentów, a nawet rządy do włożenia dużego wysiłku w zdobycie tych informacji.