mardi 7 septembre 2010

Book Review: Chaines d'exploits

Ne sachant pas trop quoi lire ces derniers temps, et ne voulant pas prendre un n-ième bouquin parlant de "technique" tout en restant dans de la lecture "informatique", j'ai acheté "l'art de la supercherie" de Kevin Mitnick (je n'avais lu jusque là que "l'art de l'intrusion" du même auteur), ainsi que "chaines d'exploits", d'Andrew Whitaker, Keatron Evans et Jack Voth. C'est de ce dernier dont je vais parler.

Le principe du bouquin est simple: une dizaine de chapitres racontant chacun une histoire, n'ayant aucun lien entre elles autre qu'un individu, un "pirate informatique", qui doit compromettre une personne ou une entreprise (une banque, une entreprise pharmaceutique, un candidat à une élection, ...) pour une raison X ou Y (problèmes d'argent, menaces de la part d'une mafia s'il n'obéit pas (un peu comme dans "opération espadon" quoi), vengeance, etc ..)
Alors bien-sûr, il ne faut pas s'attendre là à un "Hacking Kit" à la sauce web 2.0. Seules les grandes lignes sont données, avec des indications sur le but d'une des attaques effectuées, ses conséquences, un tout petit peu de background technique et quelques schémas: le but ici est que quelqu'un ne s'y connaissant pas nécessairement en sécurité, mais qui comprend néanmoins l'informatique puisse s'y retrouver. Et bien évidémment, comme le titre du livre le laisse suggérer, notre ami Phénix utilise plusieurs techniques différentes pour parvenir à ses fins :-)
Chaque scénario est assez réaliste. Bien évidemment, dans certains cas, il m'est arrivé de me dire que j'aurais probablement agi différemment si j'avais été le personnage du bouquin, mais ensuite chaque cas est unique.
A la fin de chaque chapitre, notre attaquant réussit, bien-sûr, et les conséquences sont exposées (le candidat à une élection se retire, une attaque terroriste réussit, une entreprise coule, etc) et quelques tips sont donnés pour se prémunir de ces attaques, ou du moins les rendre moins dévastatrices.

Ce qui m'a pas mal marqué dans ce bouquin, c'est que le social engineering est quasi nécessaire pour le bon déroulement de chaque attaque. La sécurité physique suit de très près. Finalement, l'utilisation d'exploits n'est pas si vitale que ça: juste une ou deux références à des outils comme metasploit et core inpact).
En somme, un très bon bouquin pour montrer à des gens pas forcément sensibilisés à la sécurité informatique, comment une personne mal-intentionnée agirait pour pirater son entreprise, ou faire une quelconque mauvaise action.

4 commentaires:

Kevin a dit…

dans ce genre de bouquins (ou films), le social engineering est toujours mis en avant.

Je me demande plutôt si ce n'est pas seulement un artifice scénaristique. Le social engineering est compréhensible par n'importe qui (même un éditeur de bouquins ou un producteur de films :) ). La technique, c'est compliqué et relativement aride à suivre.

Donc, solution de facilité, on grossit la partie sociale et on réduit la partie technique. Même un lecteur techniquement moyen s'y retrouve, et le bouquin se vend bien :). Le lecteur technique se dit "tiens, y'a quand même pas mal de social engineering"

Anonyme a dit…

Dans Opération Espadon, on a surtout envie d'être à la place du hacker au début du film... 8-)

felixaime a dit…

Pour moi, ce bouquin est 30 et quelques euros gaspillés dans une chose écrite maladroitement, montrant des attaques basiques dont certaines ne sont pas réellement effectives à ce jour.

Même si ce n'est qu'une position personnelle, je préfère nettement les bouquins de Kevin David Mitnick, beaucoup mieux traduits selon moi et reprenant de réels cas d'intrusion tout en ayant une certaine abstraction technique.

MeiK a dit…

Je n'ai pas encore fini de lire "the art of deception" donc je ne peux pas juger de la qualité des histoires racontées dedans.
En revanche, "the art of intrusion" est juste génial en effet, car basé sur des histoires vraies (une ou deux semblent un peu surréalistes, mais les autres ne peuvent être qu'authentiques, tant on y réalise à quel point c'est juste évident).
Quant au gaspillage, je l'ai acheté d'occase chez Gibert Jeune (St Michel) ;)