Book description

Book info

Author
Title
eBook formatPaperback, (torrent)En
PublisherMcGraw-Hill Osborne Media
File size7.1 Mb
GanreScience
Release date 01.10.2001
ISBN0783254038264
Pages count384
Book rating4.15 (33 votes)
 rate rate rate rate rate
L'auteur travaillait en ce temps à @stake et c'est le développeur de firewalk et surtout libnet. Actuellement (2013) il est chez Cisco et il a passé par ISS entre autres.

Le livre date de plus de 10 ans (2002), mais ce qui m’intéressait c'était l'esprit et l'attitude de réponse aux incidents plus que les outils et les détails des attaques.

Hélas, le livre ne donnait pas une démarche structurée de traitement des incidents. A la place, il y avait des recommandations un peu génériques.

Le livre est une sorte d'exercices inspirés de cas réels à résoudre avec des solutions dans la 2ème partie du livre.

Concernant les challenges, on peut dire que, globalement, ils sont de difficulté moyenne et quelques fois rudimentaire, même pour ce temps là, ce qui diminue grandement l'intérêt technique du livre. Ce qui fait que sa lecture est relativement très rapide.

Les recommandations et leçons à tirer sont les classiques :

1- Update des soft & systèmes
2- Durcissement des configurations (privilèges minimaux et strictement nécessaires, ...)
3- Après compromission avérée, il vaut mieux reconstruire le système à zéro.

En plus de certains plus pour être plus efficace, en protection et surtout lors des investigations (certains points ne sont pas cités expressément mais c'est mes notes personnelles) :

1- Veille et compréhension des bugs et vulnérabilités concernant ton environnement. Ceci permet de comprendre lors d'une investigation où a été le point d'entrée,
2- Quand on investigue, on ne se limite pas uniquement aux logs signalant un problème / incident. On doit corréler durant la période visée avec des logs « normaux » (authentification réussie, accès VPN, …), ce qui nécessite d'avoir des sauvegarde de ces logs (chose pas toujours évidente),
3- Il faut maîtriser à un niveau très avancé le système / software qu'on est entrain d'investiguer, sinon on passera à côté d'indices et on tournera en rond. Ceci implique dans une équipe une spécialisation,
4- Les messages de type « segmentation fault » ou « core dumped » doivent être pris en charge immédiatement pour voir si c'est un crash normal ou une conséquence d'un exploit,
5– Dans l'équipe de surveillance, quand il y a une attaque à analyser en temps-réel, il faut qu'une partie de l'équipe reste en dehors de cette analyse et assure la surveillance pour détecter les éventuelles autres attaques qui voudraient profiter de cette attaque comme diversion.

Tags: download, mike schiffman, ebook, pdf, hacker's challenge

download Mike Schiffman Hacker's Challenge PDF

Read also

Download from partner sites