Cyber Shelf

// Comparaison

Click Here to Kill Everybody vs Practical IoT Hacking : lequel lire ?

Deux livres de cybersécurité sur IoT, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Débutant
4/52018
Click Here to Kill Everybody

Security and Survival in a Hyper-Connected World

Bruce Schneier

L'argument politique de niveau de Bruce Schneier : à mesure que tout devient un ordinateur (voitures, dispositifs médicaux, infrastructure, vote), les défaillances de sécurité qui ne nous coûtaient que de l'argent commenceront à coûter des vies — et la forme réglementaire de ce futur se décide maintenant.

Intermédiaire
4/52021
Practical IoT Hacking

The Definitive Guide to Attacking the Internet of Things

Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Woods

Guide à cinq auteurs sur le pentest IoT couvrant le sondage hardware, la radio (BLE / Zigbee / LoRa), le firmware embarqué et les protocoles qui connectent les appareils bon marché aux backends vulnérables.

À lire si

Ingénieurs, gens du policy et managers qui doivent briefer la direction sur pourquoi IoT, OT et systèmes cyber-physiques sont catégoriquement différents de la sécu IT dans laquelle ils ont grandi. Aussi le bon premier Schneier pour quiconque devient nouvellement responsable du risque cyber-physique.
Pentesters se diversifiant vers les cibles hardware et embarquées. La couverture du livre s'étend du sondage hardware (UART, JTAG, SWD), à la radio (BLE, Zigbee, LoRa), à l'analyse firmware et aux protocoles que les appareils bon marché parlent à des backends vulnérables. Le livre IoT généraliste le plus actuel en imprimé.

À éviter si

Lecteurs voulant de la technique IoT-hacking concrète ; pour cela, Practical IoT Hacking (Chantzis et al.) et The Hardware Hacking Handbook sont les références. Daté aussi sur des exemples 2018 spécifiques même si les arguments structurels tiennent.
Pentesters logiciels purs qui ne veulent pas de banc hardware. Plusieurs chapitres requièrent oscilloscope, analyseur logique ou accès SDR pour suivre.

Points clés

  • Internet+ — le terme de Schneier pour la convergence cyber-physique — change les conséquences de la défaillance de sécurité, pas seulement la surface.
  • Les marchés ne corrigeront pas cela ; l'argument policy du livre est que responsabilité, régulation et standards d'achat sont les seuls leviers qui fonctionnent.
  • Culture ingénierie et culture policy se parlent en passant à côté ; le livre est une pierre de Rosette utile dans les deux sens.
  • L'IoT est un stack : hardware, firmware, protocoles, cloud. La force du livre est d'enseigner les quatre comme une seule surface d'attaque continue.
  • Les attaques radio (BLE, Zigbee, LoRa) sont maintenant un territoire pentest mainstream ; les chapitres introduisant l'analyse basée SDR sont le point d'entrée pratique.
  • L'extraction-puis-analyse firmware est la compétence core ; les chapitres hardware du livre couvrent la moitié extraction, puis passent au tooling standard d'analyse binaire pour le reste.

Comment ils se comparent

Click Here to Kill Everybody et Practical IoT Hacking sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Click Here to Kill Everybody vise le niveau débutant. Practical IoT Hacking vise le niveau intermédiaire. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Click Here to Kill Everybody et Practical IoT Hacking couvrent tous les deux IoT : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Click Here to Kill Everybody

Alternatives à Click Here to Kill EverybodyQue lire après Click Here to Kill Everybody

Practical IoT Hacking

Alternatives à Practical IoT HackingQue lire après Practical IoT Hacking

Thématiques liées

IoT