Discussion :

[Neckara]

Bonjour,

Un nouveau livre intitulé Techniques de hacking et écrit par Jon Erickson a été rajouté à la page livres de la rubrique sécurité.

Créez votre propre laboratoire de hacking ! Vous souhaitez, comme les hackers, apprendre à pénétrer les réseaux et les systèmes informatiques ?

Les bases du hacking est une introduction aux techniques de hacking et aux tests d'intrusion. Grâce à des explications claires et à une approche originale, apprenez à utiliser tous les outils des professionnels de la sécurité et des hackers éthiques. Maîtrisez les quatre phases du test d’intrusion et du hacking : reconnaissance, scan, exploitation, post-exploitation. Informez-vous sur votre cible, trouvez ses vulnérabilités, exploitez-les pour attaquer, puis maintenez les accès !

Vous n’aurez besoin d’aucune expérience préalable pour comprendre et suivre les différentes étapes présentées dans cet ouvrage. En menant de véritables attaques et tests d’intrusion contre des machines virtuelles, vous saurez repérer les faiblesses des systèmes, et apprendrez toutes les techniques de la sécurité offensive. Pas-à-pas, grâce des exercices pratiques et simples, l’auteur vous enseignera les principes et les techniques de hacking, depuis l’ingénierie sociale jusqu’aux rootkits, en passant par l’utilisation de tous les outils modernes (Kali, BackTrack Linux, MetaGooFil, Nmap, Nessus, Metasploit, w3af, Netcat et bien d’autres !).

Merci de poster ici vos critiques et vos avis sur ce livre.

[Neckara]

fadace vous propose une critique de ce livre :

Excellent ouvrage pour débuter, ou simplement pour se faire une idée sur le domaine des tests d'intrusion.

Sans trop entrer dans les détails, il offre bien plus qu'un mode d'emploi des différents outils présentés : il propose une méthode de travail, ce qui fait souvent défaut dans ce type d'ouvrage.

Les 3 premiers chapitres vont souvent dans les généralités mais proposent la mise en place d'un véritable atelier de test d'intrusion. Dès le 4ème, on entre dans le vif du sujet (les exploits), et l'auteur couvre tout ce qui est assez connu, sans vraiment entrer dans les détails... on reste dans les sujets classiques d'injection SQL, d'attaque de la ruche Windows, de comparaison de mots de passe hachés...

L'auteur reste simple dans ses exemples et ses explications, ce qui rend le livre accessible à un large public... au risque d'en tromper certains. Bien que le sujet soit accessible à tous, l'utilisation de ces techniques demande une compétence pointue dans de nombreux domaines informatiques... et ceci ne ressort pas tellement après lecture de cet ouvrage.

La pente qui sépare le testeur d'intrusions éthique du pirate en herbe est savonneuse. Bien que l'auteur l'explique très succinctement en début d'ouvrage, l'utilisation de ces outils est risquée, tant au point de vue de l'attaqué que de l'attaquant... Un débutant attaquant laissera bien évidemment des traces... qui risque de lui coûter fort cher. Ne jouez jamais avec ces outils sur votre lieu de travail : cela vous coûtera votre place avant que vous ne vous en rendiez compte!

Il me semble primordial, pour bénéficier de ce type d'ouvrage, d'avoir à disposition un ordinateur ou un portable que l'on découplera du réseau pour faire les exercices proposés... le temps nécessaire à tester les outils présentés... mais surtout les compétences et la rigueur requises pour ne pas sortir du périmètre de sécurité.

Petit bémol quant à l'ouvrage : la qualité des copies écran de l'ouvrage laisse parfois à désirer...

La suite logique d'un tel ouvrage : un apprentissage plus poussé des outils présentés (Metasploit, Nessus, etc.).