Outils pour utilisateurs

Outils du site


issue149:critique_litteraire

Website: https://nostarch.com/linuxbasicsforhackers Author: Occupy the web Price: $34.95 At first I did not want to read this book at all. Two reasons: I judged the book by its cover (hey, who has not?), and it was being reviewed by so many other people online, another review would be pointless. Let’s touch on reason one. The cover is supposed to depict a “hacker” who is an angry teenager (clothing) who is a penguin, suggesting Linux is bad. This ties into the F.U.D. that had been created around Linux. When I recently suggested a customer switch to Linux – as they do nothing Windows-specific, they were shocked by the suggestion as they would come under suspicion for illegal hacking software…. WHAT? Let us not even go to the “author” naming himself “occupy the web”. This sounds more ominous than the title of the book. To most people this book screams to be avoided. (Myself included, as I would have said this is a script-kiddie book, without reading it).

Site Web : https://nostarch.com/linuxbasicsforhackers Auteur : Occupy the web Prix : 34,95 $

Au départ, je ne voulais pas du tout lire ce livre. Deux raisons : je jugeais ce livre à sa couverture (Eh ! Qui ne l'a pas fait ?) et il avait déjà reçu tant de critiques en ligne par d'autres qu'une nouvelle analyse aurait été sans intérêt. Revenons à la première raison. La couverture est supposée décrire un « pirate », qui est un ado (la tenue vestimentaire) en colère, qui est un pingouin, suggérant que Linux est mauvais. Nous avons à faire à la désinformation qui a été créée autour de Linux. Quand j'ai récemment proposé à un client de passer à Linux, car il ne fait rien de spécifique à Windows, il a été choqué de ma proposition puisqu'il soupçonnait qu'il y ait des logiciels illégaux de piratage… QUOI ? Ne parlons même pas du nom de l'auteur, « occupy the web » . Il semble encore plus inquiétant que le titre de l'ouvrage. Pour la plupart des gens, ce livre hurle pour qu'on l'évite. (Moi y compris, car j'aurais dit que c'était un livre écrit par un néophyte, sans l'avoir lu.)

But with so many people actually reviewing it, could I still ignore it? See: https://distrowatch.com/weekly.php?issue=20190128#book Instead of these top down reviews, I will give you a chapter by chapter review, to better understand the book. First, something about Kali Linux. Kali Linux is one of the few security distributions not from Italy. It originates in Switzerland and is considered the de-facto standard for teaching penetration testers.

Mais, puisque tellement de gens en avaient fait la critique, pouvais-je encore l'ignorer ? Voir : https://distrowatch.com/weekly.php?issue=20190128#book

Au lieu de ces critiques du général au particulier, je vais en faire la critique chapitre après chapitre, pour une meilleure compréhension du livre.

D'abord, un mot sur Kali Linux. Kali Linux est l'une des rares distributions de sécurité qui ne vienne pas d'Italie. Elle est originaire de Suisse et est considérée comme la norme de facto pour l'apprentissage des testeurs de pénétration.

I am not going to harp on about ethical hacking, information is neither good nor evil, instead we jump right into the introduction. “What’s in this book” lays out each chapter for your perusal. If you feel you have mastered the basics, this lets you jump ahead with a clearer understanding of what you are letting yourself in for, than, say, an index. If you are a regular Full Circle reader, you can skip the rest of the chapter and go to one. A good breakdown of Kali Linux is given and examples are clear, with the last instruction being : “ go play now!” The second chapter felt a bit light and short, but you have to remember that this book is aimed at people who need to get up to speed with Linux quickly. The third chapter touches on Linux networking and “disguising yourself” - but the latter is not the case. No Proxy chaining, or DNS query encryption, etc, (though proxy chains are touched upon in later chapters). Chapter four is about apt in a nutshell. If you know how to install and update software, you can give this one a skip. For the regular Full Circle reader, the exercises may feel dumb, but again, you are not the target audience. If you are not afraid of your command-line, there is nothing new in the book.

Je ne veux pas revenir sur le piratage éthique ; les informations ne sont ni bonnes ni mauvaises. À la place, nous passerons directement à l'introduction. « Ce qui se trouve dans le livre » présente chaque chapitre à votre attention. Si vous pensez que vous maîtrisez les bases, cela vous permet d'avancer avec une compréhension plus claire de ce qui vous attend que vous auriez, disons, d'un index. Si vous êtes un lecteur régulier du Full Circle, vous pouvez sauter le reste du chapitre et aller au premier. S'y trouve une bonne description de Kali Linux et les exemples sont clairs, avec cette recommandation finale : « À vous de jouer maintenant ! ». Le deuxième chapitre paraît un peu léger et court, mais il faut se rappeler que ce livre est destiné à des gens qui ont besoin de monter rapidement en puissance sur Linux. Le troisième chapitre touche à la gestion de réseau sous Linux et à « se déguiser », mais ce dernier point n'est pas couvert. Pas de chaînage de Proxy, ni de chiffrage des requêtes DNS, etc., bien que le chaînage des Proxy soit abordé plus loin dans d'autres chapitres. Le chapitre quatre est un résumé sur apt. Si vous savez installer et mettre à jour les logiciels, vous pouvez le sauter. Pour un lecteur normal du Full Circle, les exercices peuvent paraître bêtes, mais, une fois encore, vous n'êtes pas le public ciblé. Si vous n'avez pas peur de jouer avec la ligne de commande, vous ne trouverez rien de neuf dans ce livre.

Chapter five, with file and folder permissions, can thus also be skimmed. Chapter six is processes, and I dare say that it sometimes does not seem so ‘white hat’. “A hacker often will need to find processes on the target they want to kill, such as the antivirus software or a firewall.” - judge for yourself. Chapter seven takes us to the environment variables, nothing you did not know, and no interesting snippets, nor code examples, nor exercises. Chapter eight is where the real hands-on approach starts, with bash scripting, but do not expect much. The constant references to ‘hackersarise’ website is the author’s home page. Throughout, the book is very basic, but also illustrates that Linux is not difficult at all. Chapter nine is compression, zip, gzip, tar, etc, and then touches on the dd command. In chapter ten, it is devices and file systems, touching very lightly on each. I feel that the information presented is a bit light in the pants. A “hacker” would encounter old systems too and has to know tools that are not available in Kali, that may be on the target systems, but no mention of that. Like in the following chapter regarding logging, chapter 11. Do not misunderstand; the information presented is ‘spot on’, but not all distributions store logs where Kali Linux does.

Le chapitre 5, sur les permissions des fichiers et dossiers, peut, lui aussi, être effleuré. Le chapitre six est sur les traitements, et je dois dire que, parfois, ça ne parait pas si « white hat » (surnom anglophone donné aux hackers éthiques). « Un hacker a souvent besoin de trouver sur la cible les processus qu'il veut tuer, tels qu'un anti-virus ou un pare-feu. » - jugez par vous-même. Le chapitre sept nous emmène dans les variables d'environnement, rien que vous ne connaissiez déjà, et des extraits sans intérêt, sans exemple de code, ni d'exercices. C'est dans le chapitre huit que débute la vraie approche pratique, avec les scripts bash, mais n'en attendez pas grand' chose. Il se réfère en permanence au site Web « hackersarise », qui est la page d'accueil de l'auteur. Partout, le livre est très basique, mais montre bien aussi que Linux n'est pas difficile du tout. Le chapitre neuf est sur la compression, zip, gzip, tar, etc., et, ensuite, s'intéresse à la commande dd. Au chapitre dix, il s'agit du matériel et des systèmes de fichiers, n'abordant chacun que légèrement. Je trouve que les informations présentées manquent de consistance. Un « hacker » rencontrera aussi des vieux systèmes et doit connaître des outils qui ne sont pas dans Kali, mais peut-être dans les systèmes cible ; mais aucune mention de cela. Même chose dans le chapitre suivant, le onze, à propos de l'indentification. Ne vous méprenez pas : les informations présentées sont irréprochables, mais toutes les distributions n'enregistrent pas leurs journaux là où le fait Kali Linux.

Again we move out of “ethical hacking” territory as was pushed in the beginning of the book to more “black hat” way of writing: “ Once you’ve compromised a Linux system, it’s useful to disable logging and remove any evidence of your intrusion in the log files to reduce the chances of detection.” Chapter 12 takes us into services, but does not touch systemctl? This book provides just enough information to actually be a danger to yourself if you would use it as a ‘hacking manual’. Chapter 13, becoming secure and anonymous, also has the basics, but does not touch the engineering part, or explain that most ‘hackers’ are caught hacking from home. Encrypted email is covered, but not anonymous email. Chapter 14 is Wi-Fi networks, which covers some of the basics and some of the tools, albeit very shallow coverage. Chapter 15 is kernel modules and it is at this stage that I wonder if the intent of the book is for you to break stuff, so you can learn by fixing them. This is a very rewarding, but also very frustrating way to learn. Here is a very brief touch on sysctl as the chapter would be broken without it. Only five exercises here, as it is not ‘hacking’ related really. Chapter 16 is Cron jobs, more or less.

À nouveau, nous sortons de domaine du « piratage éthique » comme annoncé au début du livre ; en fait, la façon d'écrire penche plutôt vers les « black hat » (les pirates informatiques dangereux) : « Une fois que vous avez compromis un système Linux, il est utile de désactiver l'enregistrement de l'activité et d'enlever toute preuve de votre intrusion dans les fichiers de suivi d'activité pour réduire les chances d'être détecté. » Le chapitre 12 nous transporte dans les services, mais ne parle pas de systemctl ? Ce livre fournit juste assez d'information pour que vous soyez un danger pour vous-même si vous l'utilisez comme « manuel de piratage ». Le chapitre 13 - devenir sécurisé et anonyme - donne les bases, mais n'aborde pas la partie technique ni explique que la plupart des hackers sont pris sur le fait chez eux. Les mails chiffrés sont abordés mais pas les mails anonymes. Le chapitre 14 est sur les réseaux WiFi ; il parle de certaines bases et certains outils, mais la présentation est superficielle. Le chapitre 15 parle des modules du noyau et je me demande si l'objectif du livre est de vous faire casser des choses, pour ensuite d'apprendre à les réparer. C'est une façon d'apprendre très gratifiante, mais aussi très frustrante. Vous trouverez là un bref aperçu de sysctl, car le chapitre serait inconsistant sans lui. Que cinq exercices ici, car ce n'est pas vraiment un sujet de « piratage ». Le chapitre 16 est sur les jobs Cron, plus ou moins.

When we get to chapter 17, it is touted as “python scripting basics” - which is really, really basic, then jumps into ‘building a TCP client’, which maybe can be said to be the practical part of the book. This book pretends to be a primer on Linux for ethical hackers, but does not stand in one camp, either be a manual on basic Kali Linux usage, or basic hacking, or concepts, but it is neither. This book is a waste of time for anyone who has encountered the command-line, rather it is a look into what hacking / Linux is about for the layperson. It is not practical as laid out in the Distrowatch link given at the start; in fact, the exercises feel bolted on as an afterthought. The book did touch on Apache and Raspberry pi, here and there, but there is never enough ‘hacking’ information given. I got through the book in one sitting, so it is very lightweight, that said, the price tag is hefty. I cannot in good conscience give this book more than two stars. (If it was not so easy to read, I’d give it one).

Quand nous atteignons le chapitre 17, il est décrit comme « les bases des scripts en Python », ce qui est vraiment, vraiment basique, puis il passe à « construire un client TCP », dont on peut sans doute dire que c'est la partie pratique du livre.

Ce livre prétend être une introduction à Linux pour hackers éthiques, mais il ne choisit pas son camp, et est un manuel, ni sur l'usage de base de Kali Linux, ni sur les bases du piratage, ni sur les concepts ; il n'en est aucun. Ce livre est une perte de temps pour tous ceux qui ont déjà rencontré la ligne de commande ; c'est plutôt un regard sur ce qu'est le piratage et/ou Linux pour les profanes. Il n'est pas pratique comme présenté dans le lien vers Distrowatch donné au début ; en fait, les exercices semblent avoir été rajoutés après coup. Le livre parle bien d'Apache et du Raspberry pi, ici ou là, mais il n'y a jamais suffisamment d'informations « de piratage » fournies.

J'ai lu tout le livre d'une traite ; il est donc très léger. Cela dit, le prix est très lourd. En toute honnêteté, je ne peut pas mettre plus de deux étoiles à ce livre. (S'il n'était pas si facile à lire, il n'en aurait eu qu'une.)

issue149/critique_litteraire.txt · Dernière modification: 2019/10/16 14:09 par auntiee