Foundations of Information Security A

Straightforward Introduction 1st Edition

Jason Andress
Visit to download the full and correct content document:
https://textbookfull.com/product/foundations-of-information-security-a-straightforward-i
ntroduction-1st-edition-jason-andress/
More products digital (pdf, epub, mobi) instant
download maybe you interests ...

Building a Practical Information Security Program 1st

Edition Jason Andress

https://textbookfull.com/product/building-a-practical-
information-security-program-1st-edition-jason-andress/

FOUNDATIONS OF HOMELAND SECURITY Alperen

https://textbookfull.com/product/foundations-of-homeland-
security-alperen/

Introduction to Machine Learning with Applications in

Information Security 1st Edition Mark Stamp

https://textbookfull.com/product/introduction-to-machine-
learning-with-applications-in-information-security-1st-edition-
mark-stamp/

Mathematical Foundations of Time Series Analysis A

Concise Introduction 1st Edition Jan Beran

https://textbookfull.com/product/mathematical-foundations-of-
time-series-analysis-a-concise-introduction-1st-edition-jan-
beran/
Principles of Information Security 6th Edition Whitman

https://textbookfull.com/product/principles-of-information-
security-6th-edition-whitman/

Principles of information security Fifth Edition

Mattord

https://textbookfull.com/product/principles-of-information-
security-fifth-edition-mattord/

Information Security Planning A Practical Approach 2nd

Edition Lincke

https://textbookfull.com/product/information-security-planning-a-
practical-approach-2nd-edition-lincke/

Fundamentals of information systems security 3rd

Edition Kim

https://textbookfull.com/product/fundamentals-of-information-
systems-security-3rd-edition-kim/

ISO IEC 27001 2022 An Introduction to Information

Security and the ISMS Standard Watkins

https://textbookfull.com/product/iso-iec-27001-2022-an-
introduction-to-information-security-and-the-isms-standard-
watkins/

Begin your journey into the
dynamic and rewarding field of
information security
In this survey of the information-security fun-
damentals, best-selling author Jason Andress
covers the basics of a wide variety of topics,
from authentication and authorization to
maintaining confidentiality and performing
penetration testing.
Using real-world security breaches as
examples, Foundations of Information
Security explores operations security, net-
work design, operating system hardening
and patching, and mobile device security,
as well as tools for assessing the security of
hosts and applications.
You’ll also learn the basics of:
🐉 Multifactor authentication and how bio-
metrics and hardware tokens can be used
to harden the authentication process
🐉 The principles behind modern crypto­
graphy, including symmetric and asym-
metric algorithms, hashes, and certificates
T H E F I N E ST I N G E E K E N T E RTA I N M E N T ™
w w w.nostarch.com
Foundations of
Foundations of Information Security
Information Security
🐉 The laws and regulations that protect sys-
tems and data
A Straightforward Introduction
🐉 Anti-malware tools, firewalls, and intrusion
detection systems
🐉 Vulnerabilities such as buffer overflows
and race conditions
A valuable resource for beginning security
professionals, network systems administra-
tors, or anyone new to the field, Foundations
of Information Security is a great place to start
your journey into the dynamic and rewarding
study of information security.
A Straightforward Introduction
About the Author
Dr. Jason Andress is a seasoned security profes-
sional, security researcher, and technophile.
He has been writing about security topics for
over a decade, including data security, network
security, hardware security, penetration test-
ing, and digital forensics, among others.
Andress
Price: $39.95 ($53.95 CDN)
Shelve In: COMPUTERS/SECURITY
Jason Andress
FOUNDATIONS OF INFORMATION SECURITY
 FOUNDATIONS
OF INFORMATION
SECURITY
A Straightforward
Introduction

b y Ja s on A n d r e s s

San Francisco
FOUNDATIONS OF INFORMATION SECURITY. Copyright © 2019 by Jason Andress.

All rights reserved. No part of this work may be reproduced or transmitted in any form or by any means,
electronic or mechanical, including photocopying, recording, or by any information storage or retrieval
system, without the prior written permission of the copyright owner and the publisher.

ISBN-10: 1-7185-0004-1
ISBN-13: 978-1-7185-0004-4

Publisher: William Pollock

Production Editor: Meg Sneeringer
Cover Illustration: Rick Reese
Developmental Editor: Frances Saux
Technical Reviewer: Cliff Janzen
Copyeditor: Kim Wimpsett
Compositor: Meg Sneeringer
Proofreader: James Fraleigh
Indexer: Beth Nauman-Montana

For information on distribution, translations, or bulk sales, please contact No Starch Press, Inc. directly:
No Starch Press, Inc.
245 8th Street, San Francisco, CA 94103
phone: 1.415.863.9900; info@nostarch.com
www.nostarch.com

The Library of Congress issued the following Cataloging-in-Publication Data for the first edition:

Names: Andress, Jason, author.

Title: Foundations of information security: a straightforward introduction / Jason Andress.
Description: 1st ed. | San Francisco : No Starch Press, 2019. | Includes
bibliographical references and index. | Summary: "Begins with an
introduction to information security, including key topics such as
confidentiality, integrity, and availability, and then moves on to
practical applications of these ideas in the areas of operational,
physical, network, application, and operating system security"--
Provided by publisher.
Identifiers: LCCN 2019024099 (print) | LCCN 2019024100 (ebook) | ISBN
9781718500044 (paperback) | ISBN 1718500041 (paperback) | ISBN
9781718500051 (ebook)
Subjects: LCSH: Computer security. | Computer networks--Security measures.
| Electronic information resources--Access control.
Classification: LCC QA76.9.A25 A5445 2019 (print) | LCC QA76.9.A25
(ebook) | DDC 005.8--dc23
LC record available at https://lccn.loc.gov/2019024099
LC ebook record available at https://lccn.loc.gov/2019024100

No Starch Press and the No Starch Press logo are registered trademarks of No Starch Press, Inc. Other
product and company names mentioned herein may be the trademarks of their respective owners. Rather
than use a trademark symbol with every occurrence of a trademarked name, we are using the names only
in an editorial fashion and to the benefit of the trademark owner, with no intention of infringement of the
trademark.

The information in this book is distributed on an “As Is” basis, without warranty. While every precaution
has been taken in the preparation of this work, neither the author nor No Starch Press, Inc. shall have any
liability to any person or entity with respect to any loss or damage caused or alleged to be caused directly or
indirectly by the information contained in it.
Le meglio è l’inimico del bene.
—Voltaire
About the Author
Dr. Jason Andress is a seasoned security professional, security researcher,
and technophile. He has been writing on security topics for over a decade,
covering data security, network security, hardware security, penetration
testing, and digital forensics, among others.

About the Technical Reviewer

Since the early days of Commodore PET and VIC-20, technology has been a
constant companion (and sometimes an obsession!) to Cliff. He discovered
his career passion when he moved into information security in 2008 after
a decade of IT operations. Since that time, Cliff is grateful to have had the
opportunity to work with and learn from some of the best people in the
industry including Jason and the fine people at No Starch. Cliff spends a
majority of the work day managing and mentoring a great team, but strives
to stay technically relevant by tackling everything from security policy
reviews to penetration testing. He feels lucky to have a career that is also
his favourite hobby and a wife that supports him.
 BRIEF CONTENTS

Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix

Chapter 1: What Is Information Security? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Chapter 2: Identification and Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Chapter 3: Authorization and Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Chapter 4: Auditing and Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Chapter 5: Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Chapter 6: Compliance, Laws, and Regulations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Chapter 7: Operations Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Chapter 8: Human Element Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Chapter 9: Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Chapter 10: Network Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Chapter 11: Operating System Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Chapter 12: Mobile, Embedded, and Internet of Things Security . . . . . . . . . . . . . . . . . 159

Chapter 13: Application Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Chapter 14: Assessing Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
 CONTE NT S IN DE TA IL

ACKNOWLEDGMENTS xvii

INTRODUCTION xix
Who Should Read This Book? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xx
About This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xx

1
WHAT IS INFORMATION SECURITY? 1
Defining Information Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
When Are You Secure? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Models for Discussing Security Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
The Confidentiality, Integrity, and Availability Triad . . . . . . . . . . . . . . . . . . . . . 4
The Parkerian Hexad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Types of Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Threats, Vulnerabilities, and Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Defense in Depth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2
IDENTIFICATION AND AUTHENTICATION 23
Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Who We Claim to Be . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Identity Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Falsifying Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Factors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Multifactor Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Mutual Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Common Identification and Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Biometrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Hardware Tokens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3
AUTHORIZATION AND ACCESS CONTROLS 35
What Are Access Controls? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Implementing Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Access Control Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Access Control Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Discretionary Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Mandatory Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Rule-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Role-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Attribute-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Multilevel Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Physical Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

4
AUDITING AND ACCOUNTABILITY 51
Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Security Benefits of Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Nonrepudiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Deterrence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Intrusion Detection and Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Admissibility of Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
What Do You Audit? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Auditing with Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

5
CRYPTOGRAPHY 61
The History of Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
The Caesar Cipher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Cryptographic Machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Kerckhoffs’s Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Modern Cryptographic Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Keyword Ciphers and One-Time Pads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Symmetric and Asymmetric Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Hash Functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Digital Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Protecting Data at Rest, in Motion, and in Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Protecting Data at Rest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Protecting Data in Motion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Protecting Data in Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

xii   Contents in Detail
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

6
COMPLIANCE, LAWS, AND REGULATIONS 79
What Is Compliance? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Types of Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Consequences of Noncompliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Achieving Compliance with Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Types of Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Key vs. Compensating Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Maintaining Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Laws and Information Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Government-Related Regulatory Compliance . . . . . . . . . . . . . . . . . . . . . . . . . 84
Industry-Specific Regulatory Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Laws Outside of the United States . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Adopting Frameworks for Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
International Organization for Standardization . . . . . . . . . . . . . . . . . . . . . . . 88
National Institute of Standards and Technology . . . . . . . . . . . . . . . . . . . . . . . 88
Custom Frameworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Compliance amid Technological Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Compliance in the Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Compliance with Blockchain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Compliance with Cryptocurrencies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

7
OPERATIONS SECURITY 95
The Operations Security Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Identification of Critical Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Analysis of Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Analysis of Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Assessment of Risks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Application of Countermeasures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Laws of Operations Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
First Law: Know the Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Second Law: Know What to Protect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Third Law: Protect the Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Operations Security in Our Personal Lives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Origins of Operations Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Sun Tzu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
George Washington . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Vietnam War . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Interagency OPSEC Support Staff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Contents in Detail   xiii
8
HUMAN ELEMENT SECURITY 107
Gathering Information for Social Engineering Attacks . . . . . . . . . . . . . . . . . . . . . . . . 108
Human Intelligence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Open Source Intelligence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Other Kinds of Intelligence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Types of Social Engineering Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Pretexting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Tailgating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Building Security Awareness with Security Training Programs . . . . . . . . . . . . . . . . . . . 116
Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Social Engineering Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Network Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Personal Equipment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Clean Desk Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Familiarity with Policy and Regulatory Knowledge . . . . . . . . . . . . . . . . . . . . 119
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

9
PHYSICAL SECURITY 121
Identifying Physical Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Physical Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Deterrent Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Detective Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Preventive Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Using Physical Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Protecting People . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Physical Concerns for People . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Ensuring Safety . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Evacuation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Administrative Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Protecting Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Physical Concerns for Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Accessibility of Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Residual Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Protecting Equipment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Physical Concerns for Equipment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Site Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Securing Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Environmental Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

10
NETWORK SECURITY 133
Protecting Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Designing Secure Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

xiv   Contents in Detail
 Using Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Implementing Network Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . 138
Protecting Network Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Using Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Protecting Data over Wireless Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Using Secure Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Network Security Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Wireless Protection Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Scanners . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Packet Sniffers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Honeypots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Firewall Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

11
OPERATING SYSTEM SECURITY 145
Operating System Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Remove All Unnecessary Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Remove All Unessential Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Alter Default Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Apply the Principle of Least Privilege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Perform Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Turn On Logging and Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Protecting Against Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Anti-malware Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Executable Space Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Software Firewalls and Host Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . 152
Operating System Security Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Scanners . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Vulnerability Assessment Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Exploit Frameworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

12
MOBILE, EMBEDDED, AND INTERNET OF THINGS SECURITY 159
Mobile Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Protecting Mobile Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Mobile Security Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Embedded Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Where Embedded Devices Are Used . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Embedded Device Security Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Internet of Things Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
What Is an IoT Device? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
IoT Security Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Contents in Detail   xv
13
APPLICATION SECURITY 173
Software Development Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Buffer Overflows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Race Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Input Validation Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Authentication Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Authorization Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Cryptographic Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Web Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Client-Side Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Server-Side Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Database Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Protocol Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Unauthenticated Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Arbitrary Code Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Application Security Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Sniffers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Web Application Analysis Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Fuzzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

14
ASSESSING SECURITY 191
Vulnerability Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Mapping and Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Technological Challenges for Vulnerability Assessment . . . . . . . . . . . . . . . . . 194
Penetration Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
The Penetration Testing Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Classifying Penetration Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Targets of Penetration Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Bug Bounty Programs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Technological Challenges for Penetration Testing . . . . . . . . . . . . . . . . . . . . . 201
Does This Really Mean You’re Secure? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Realistic Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Can You Detect Your Own Attacks? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Secure Today Doesn’t Mean Secure Tomorrow . . . . . . . . . . . . . . . . . . . . . . 204
Fixing Security Holes Is Expensive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Exercises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

NOTES 207

INDEX 215

xvi   Contents in Detail
 ACKNOWLEDGMENTS

I want to thank my wife for bearing with me through another writing

project, especially during my excessive complaining and foot dragging
over (ahem) certain chapters <3.
I also want to thank the whole crew at No Starch Press for all their time
and hard work in making this a better book. Without all the many rounds
of editing, reviewing, and feedback, this book would have been a consider-
ably less polished version of itself.
 INTRODUCTION

When I was in school, I was faced with a

choice between pursuing a concentration in
either information security or software engi-
neering. The software engineering courses had
terribly boring-sounding titles, so information security
it was. Little did I know what a twisted and winding
path I’d embarked on.
Information security as a career can take you many different places.
Over the years, I’ve dealt with large-scale malware outbreaks, collected
forensic information for court cases, hunted for foreign hackers in
computer systems, hacked into systems and applications (with permis-
sion!), pored over an astonishing amount of log data, implemented and
maintained all manner of security tooling, authored many thousands of
lines of code to fit square pegs into round holes, worked on open source
projects, spoken at security conferences, taught classes, and written some-
where into the upper regions of hundreds of thousands of words on the
topic of security.
 This book surveys the information security field as a whole. It’s well-
suited to anyone wondering what people mean when they use the term
information security—or anyone interested in the field and wondering where
to start. The chapters offer clear, nontechnical explanations of how infor-
mation security works and how to apply these principles to your own career.
It should help you learn about information security without making you
consult a massive textbook. I’ll first cover the fundamental ideas, such as
authentication and authorization, needed to understand the field’s key con-
cepts, such as the principle of least privilege and various security models.
I’ll then dive into a survey of real-world applications of these ideas in the
areas of operations, human, physical, network, operating system, mobile,
embedded, Internet of Things (IoT), and application security. I’ll finish up
by looking at how to assess security.

Who Should Read This Book?

This book will be a valuable resource to beginning security professionals, as
well as to network and system administrators. You should use the informa-
tion provided to develop a better understanding of how you protect your
information assets and defend against attacks, as well as how to apply these
concepts systematically to make your environment more secure.
Those in management positions will find this information useful as
well, because it should help you develop better overall security practices
for your organizations. The concepts discussed in this book can be used
to drive security projects and policies and to mitigate some of the issues
discussed.

About This Book

This book is designed to take you through a foundational understanding
of information security from the ground up, so it’s best read from start to
finish. Throughout the book you will see numbered references to the Notes
section at the end of the book, where you can find more information on
some of these topics. Here’s what you’ll find in each chapter:
Chapter 1: What Is Information Security? Introduces some of the
most basic concepts of information security, such as the confidentiality,
integrity, and availability triad; basic concepts of risk; and controls to
mitigate it.
Chapter 2: Identification and Authentication Covers the security
principles of identification and authentication.
Chapter 3: Authorization and Access Controls Discusses the use of
authorization and access controls, which are means of determining who
or what can access your resources.
Chapter 4: Auditing and Accountability Explains the use of auditing
and accountability for making sure you’re aware of what people are doing
in your environment.

xx   Introduction 
 Chapter 5: Cryptography Covers the use of cryptography for protect-
ing the confidentiality of your data.
Chapter 6: Compliance, Laws, and Regulations Outlines the laws
and regulations relevant to information security and what it means to
comply with them.
Chapter 7: Operations Security Covers operations security, which is
the process you use to protect your information.
Chapter 8: Human Element Security Explores issues pertaining to
the human element of information security, such as the tools and tech-
niques that attackers use to con us and how to defend against them.
Chapter 9: Physical Security Discusses the physical aspects of infor-
mation security.
Chapter 10: Network Security Examines how you might protect your
networks from a variety of different angles, such as network design,
security devices, and security tooling.
Chapter 11: Operating System Security Explores the strategies you
can use for securing the operating system, such as hardening and
patching, and the steps that you can take to do so.
Chapter 12: Mobile, Embedded, and Internet of Things Security
Covers how to ensure security for mobile devices, embedded devices,
and IoT devices.
Chapter 13: Application Security Considers the various methods for
securing applications.
Chapter 14: Assessing Security Discusses tools such as scanning and
penetration testing that you can use to suss out security issues in your
hosts and applications.
Writing this book was an adventure for me, as always. I hope you enjoy
the result and that your understanding of the world of information security
expands. The security world can be an interesting and, at times, hair-raising
field to work in. Welcome and good luck!

Introduction   xxi
 1
W H AT IS INFOR M AT ION
SECURIT Y?

Today, many of us work with computers,

play on computers at home, go to school
online, buy goods from merchants on the
internet, take our laptops to the coffee shop to
read emails, use our smartphones to check our bank
balances, and track our exercise with sensors on our
wrists. In other words, computers are ubiquitous.
Although technology allows us to access a host of information with
only a click of the mouse, it also poses major security risks. If the informa-
tion on the systems used by our employers or our banks becomes exposed
to an attacker, the consequences could be dire indeed. We could suddenly
find the contents of our bank account transferred to a bank in another
country in the middle of the night. Our employer could lose millions
of dollars, face legal prosecution, and suffer damage to its reputation
because of a system configuration issue that allowed an attacker to gain
 access to a database containing personally identifiable information (PII)
or proprietary information. Such issues appear in the news media with
disturbing regularity.
Thirty years ago, such breaches were nearly nonexistent, largely because
the technology was at a relatively low level and few people were using it.
Although technology changes at an increasingly rapid rate, much of the
theory about keeping ourselves secure lags behind. If you can gain a good
understanding of the basics of information security, you’re on a strong foot-
ing to cope with changes as they come.
In this chapter, I’ll cover some of the basic concepts of information secu-
rity, including security models, attacks, threats, vulnerabilities, and risks. I’ll
also delve into some slightly more complex concepts when discussing risk
management, incident response, and defense in depth.

Defining Information Security

Generally speaking, security means protecting your assets, whether from
attackers invading your networks, natural disasters, vandalism, loss, or mis-
use. Ultimately, you’ll attempt to secure yourself against the most likely forms
of attack, to the best extent you reasonably can, given your environment.
You may have a broad range of potential assets you want to secure. These
could include physical items with inherent value, such as gold, or those that
have value to your business, such as computing hardware. You may also have
valuables of a more ethereal nature, such as software, source code, or data.
In today’s computing environment, you’re likely to find that your logical
assets (assets that exist as data or intellectual property) are at least as valu-
able as your physical assets (those that are tangible objects or materials), if
not more valuable. That’s where information security comes in.
Information security is defined as “protecting information and information
systems from unauthorized access, use, disclosure, disruption, modification,
or destruction,” according to US law.1 In other words, you want to protect
your data and systems from those who seek to misuse them, intentionally or
unintentionally, or those who should not have access to them at all.

When Are You Secure?

Eugene Spafford once said, “The only truly secure system is one that is
powered off, cast in a block of concrete and sealed in a lead-lined room
with armed guards—and even then, I have my doubts.” 2 A system in such
a state might be secure, but it’s not usable or productive. As you increase
the level of security, you usually decrease the level of productivity.

2   Chapter 1
 Additionally, when securing an asset, system, or environment, you must
consider how the level of security relates to the value of the item being
secured. If you’re willing to accommodate the decrease in performance,
you can apply very high levels of security to every asset for which you’re
responsible. You could build a billion-dollar facility surrounded by razor-
wire fences and patrolled by armed guards and vicious attack dogs, com-
plete with a hermetically sealed vault, to safeguard your mom’s chocolate
chip cookie recipe, but that would be overkill. The cost of the security you
put in place should never outstrip the value of what it’s protecting.
In some environments, however, such security measures might not be
enough. In any environment where you plan to put heightened levels of
security in place, you also need to consider the cost of replacing your assets
if you happen to lose them and make sure you establish reasonable levels of
protection for their value.
Defining the exact point at which you can be considered secure presents
a bit of a challenge. Are you secure if your systems are properly patched? Are
you secure if you use strong passwords? Are you secure if you’re disconnected
from the internet entirely? From my point of view, the answer to all these
questions is no. No single activity or action will make you secure in every
situation.
That’s because even if your systems are properly patched, there will
always be new attacks to which you’re vulnerable. When you’re using strong
passwords, an attacker will exploit a different avenue instead. When you’re
disconnected from the internet, an attacker could still physically access or
steal your systems. In short, it’s difficult to define when you’re truly secure.
On the other hand, defining when you’re insecure is a much easier task.
Here are several examples that would put you in this state:

• Not applying security patches or application updates to your systems

• Using weak passwords such as “password” or “1234”
• Downloading programs from the internet
• Opening email attachments from unknown senders
• Using wireless networks without encryption

I could go on for some time adding to this list. The good thing is that
once you can point out the areas in an environment that can make it inse-
cure, you can take steps to mitigate these issues. This problem is similar to
cutting something in half over and over. There will always be some small
portion left to cut in half again. Although you may never get to a state that
you can definitively call “secure,” you can take steps in the right direction.

What Is Information Security?   3

 THIS L AW IS YOUR L AW . . .

The bodies of law that define standards for security vary quite a bit from one
industry to another and differ wildly from one country to another. An example
of this is the difference in data privacy laws between the United States and the
European Union. Organizations that operate globally need to take care that
they’re not violating any such laws while conducting business. When in doubt,
consult legal counsel before acting.
Some bodies of law or regulations do try to define what secure means, or
at least some of the steps you should take to be “secure enough.” The Payment
Card Industry Data Security Standard (PCI DSS) applies to companies that pro-
cess credit card payments, the Health Insurance Portability and Accountability
Act of 1996 (HIPAA) is for organizations that handle healthcare and patient
records, the Federal Information Security Management Act (FISMA) defines
security standards for many federal agencies in the United States, and there
are a host of others. Whether these standards are effective is debatable, but
following the security standards defined for the industry in which you’re operat-
ing is advisable, if not mandated.

Models for Discussing Security Issues

When discussing security issues, it’s often helpful to have a model that you
can use as a foundation or a baseline. This provides a consistent set of ter-
minology and concepts that we, as security professionals, can refer to.

The Confidentiality, Integrity, and Availability Triad

Three of the primary concepts in information security are confidentiality,
integrity, and availability, commonly known as the confidentiality, integrity,
and availability (CIA) triad, as shown in Figure 1-1.

Confidentiality Integrity

Availability

Figure 1-1: The CIA triad

4   Chapter 1
 The CIA triad is a model by which you can think about and discuss
security concepts. It’s also sometimes written as CAI or expressed in its
negative form as disclosure, alteration, and denial (DAD).

Confidentiality
Confidentiality refers to our ability to protect our data from those who are not
authorized to view it. You could implement confidentiality at many levels of a
process.
As an example, imagine a person is withdrawing money from an ATM.
The person in question will likely seek to maintain the confidentiality of the
personal identification number (PIN) that allows him to draw funds from
the ATM if he has his ATM card. Additionally, the owner of the ATM will
maintain the confidentiality of the account number, balance, and any other
information needed to communicate to the bank from which the funds are
being drawn. The bank will also maintain the confidentiality of the transac-
tion with the ATM and the balance change in the account after the funds
have been withdrawn.
Confidentiality can be compromised in a number of ways. You could
lose a laptop containing data. A person could look over your shoulder while
you enter a password. You could send an email attachment to the wrong
person, or an attacker could penetrate your systems, to name a few ways.

Integrity
Integrity is the ability to prevent people from changing your data in an
unauthorized or undesirable manner. To maintain integrity, not only
do you need to have the means to prevent unauthorized changes to your
data, but you need the ability to reverse unwanted authorized changes.
A good example of mechanisms that allow you to control integrity are
in the file systems of many modern operating systems, such as Windows and
Linux. For the purposes of preventing unauthorized changes, such systems
often implement permissions that restrict what actions an unauthorized user
can perform on a given file. For example, the owner of a file might have per-
mission to read it and write to it, while others might have permission only
to read, or no permission to access it at all. Additionally, some such systems
and many applications, such as databases, can allow you to undo or roll back
changes that are undesirable.
Integrity is particularly important when it concerns data that provides
the foundation for other decisions. If an attacker were to alter the data that
contained the results of medical tests, a doctor might prescribe the wrong
treatment, which could kill the patient.

Availability
The final leg of the CIA triad is availability. Availability refers to the ability to
access our data when we need it. You could lose availability due to a power
loss, operating system or application problems, network attacks, or the com-
promising of a system, for example. When an outside party, like an attacker,
causes such issues, we typically call this a denial-of-service (DoS) attack.

What Is Information Security?   5

Another random document with
no related content on Scribd:
simplement amoureux de notre ville.
— Nous aussi, dis-je.
Et la petite ville disparut derrière nous.
 DES MONTAGNES ET LE PACIFIQUE

La Prairie, ce qui du moins mérite ce nom, finit à Calgary, au

milieu des ranches à bétail, des usines, des brasseries, et des
travaux d’irrigation s’étendant sur trois millions d’acres. La rivière qui
charrie le bois de charpente depuis la montagne jusqu’à la ville ne
glisse pas souple en bruissant comme les rivières de la Prairie, mais
gronde en passant au-dessus des barres de cailloux bleus, et la
coloration légèrement verdâtre de ses eaux fait soupçonner les
neiges.
Ce que je vis de Calgary fut condensé en une seule demi-heure
d’intense activité (manifestement les autos ont été inventées pour
parcourir des villes nouvelles). Ce que j’entendis, je l’appris, chose
assez bizarre, bien des semaines plus tard, grâce à un jeune
Danois, dans la mer du Nord. Il avait des nausées mais sa Saga de
triomphe le soutint.
— Il y a trois ans je viens au Canada en troisième classe. Et j’ai
la langue à apprendre — regardez-moi ! — J’ai maintenant ma
propre laiterie à moi à Calgary et — regardez-moi ! — ma demi-
section, m’appartenant en propre, c’est-à-dire trois cent vingt acres.
Toute ma terre qui est à moi ! Et maintenant, je viens à la maison,
première classe, pour Noël ici au Danemark, et je ramènerai avec
moi des amis qui sont fermiers, pour être fermiers sur ces terres à
irrigation près de Calgary. Ah ! je vous assure qu’il n’y a rien qui
cloche dans le Canada pour un homme qui travaille.
— Vos amis iront-ils donc ? lui demandai-je.
— Pouvez être sûr. Tout est déjà arrangé. Je parie qu’ils se
préparent déjà et au bout de trois ans ils reviendront pour la Noël ici
au Danemark, première classe comme moi.
— Alors à votre avis ça marche à Calgary ?
 — Je vous crois. Nous ne faisons que commencer. Regardez-
moi. Des poulets ? mais j’en élève aussi à Calgary. Etc., etc.
Après toute cette parade de prospérité matérielle sans détente,
c’était un vrai repos que d’arriver au silence des grandes collines au
pied des monts, bien qu’elles, — elles aussi — eussent été mises à
contribution par la civilisation. Même en ce moment le bois de
charpente ravi à leurs flancs descendait leurs rapides cours d’eau,
avec des soubresauts et des plongeons, avant d’être scié et
transformé en matériaux à construction pour tout l’univers. La
charpente d’une villa purement anglaise peut tirer son origine
d’autant de sources différentes et impériales que les revenus de son
propriétaire.
Le train glissa, tout en sifflant pour se donner du courage, à
travers les défilés sinueux des collines, jusqu’au moment où il se
présenta, très humblement, devant les vraies montagnes, celles qui
étaient sœurs, même pas si petites, des Himalayas.
Des montagnes, de l’espèce qui est couverte de sapins et
encapuchonnée de neige, sont des choses païennes.
Les hommes perforent leurs flancs à la recherche de mines, et
comptent que la science moderne les tirera d’affaire. Il n’y a pas bien
longtemps une montagne s’agenouilla, tout comme un éléphant irrité
s’agenouille, sur un petit village de mineurs ; mais elle ne se releva
pas et une moitié de ce camp ne fut plus vue sur la terre. L’autre
moitié existe encore, inhabitée. « Le Païen dans son aveuglement »
aurait fait des arrangements avec le Génie local avant même d’y
enfoncer son pic. Et, comme le dit un savant érudit d’une petite
université peu connue à un officier du Génie, sur la route de
l’Himalaya au Thibet. — Vous autres blancs, vous ne gagnez rien à
ne pas faire attention à ce que vous ne pouvez pas voir. Vous
tombez de la route, ou la route tombe sur vous, et vous périssez, et
vous vous imaginez que tout cela c’est par accident. Combien plus
sage c’était, Monsieur, quand on nous permettait de sacrifier un
homme, officiellement, avant d’entreprendre des ponts ou autres
travaux publics. A ce moment-là, Monsieur, les divinités locales
étaient officiellement reconnues et ne donnaient plus de fil à
retordre, et les ouvriers de l’endroit, Monsieur, étaient très contents
que ces précautions eussent été prises.
Il y a beaucoup de divinités locales sur la route qui passe à
travers les Montagnes Rocheuses ; vieilles montagnes chauves qui
ont abandonné jusqu’à la moindre parcelle de verdure, et se
dressent revêtues de plis de rocher argenté, que l’œil parcourt
lentement comme lorsqu’on a le délire ; montagnes folles, aux
cornes aiguës, entourées comme d’une guirlande de brumes
dansantes ; fakirs du bord de la route, assis, le front penché, le dos
voûté, plongés dans la méditation, courbés sous un fardeau de glace
qui s’épaissit un peu plus tous les ans ; montagnes présentant d’un
côté un bel aspect mais, de l’autre, ravinées de creux où ne pénètre
jamais le soleil, où la neige de l’année dernière est noircie par la
saleté et la fumée des feux de forêts de cette année-ci.
L’égouttement qui sort de là s’écoule à travers des dévalements de
cailloutis et de débris jusqu’au moment voulu, et alors le demi-
kilomètre de talus miné glisse, et hurlant se précipite dans la vallée
épouvantée.
La voie ferrée s’y fraye un chemin sinueux, faisant d’inexplicables
écarts et détours, un peu comme avance le daim traversant la
clairière, marchant diagonalement et passant avec appréhension à
des endroits qui paraissent aisés. C’est seulement lorsque la voie a
dépassé une bosse ou deux que l’on se rend compte, en
apercevant, en arrière, et en haut, une pente menaçante, pourquoi le
train n’a pas suivi la route en apparence plus facile qui se trouve de
l’autre côté de la gorge.
De temps à autre les montagnes s’écartent et bercent entre elles
quelque vallée dorée aux lents cours d’eau, aux gras pâturages, et
aux hautes terres qui ressemblent à des parcs : c’est tantôt quelque
petite ville, tantôt le bruit de clochettes suspendues au cou des
vaches et qui tintent parmi des buissons d’arbustes à baies ; tantôt
des enfants qui n’ont jamais vu le soleil se lever ni se coucher, qui
poussent des cris lorsque passent les trains ; et tantôt de vrais
jardins entourant les maisons.
 A Calgary, il avait gelé et les dahlias étaient morts. Mais le
lendemain, voici que des capucines fleurissaient, indemnes, tout
près des quais de la gare, et l’air était lourd et liquide du souffle du
Pacifique ! On sentait changer l’esprit du pays à mesure que se
changeaient les contours des montagnes, à tel point que, parvenu
aux plaines plus basses du Fraser, il semblait que même les dunes
de Sussex devaient avoir plus d’affinité avec la Prairie que la
Colombie Britannique. Les gens de la Prairie remarquent la
différence, et les gens des Montagnes insistent — à tort, à mon avis
— là-dessus. Peut-être que cette magie s’explique par l’odeur
d’étranges plantes toujours vertes, ou de mousses inconnues en
dehors de ces parages ; ou bien il se peut que cette odeur soit
renvoyée, de parois en parois, des crevasses et gorges sans limite
d’âge ; mais, à mon avis, elle semblait sortir bien plutôt de l’immense
mer qui baigne l’Asie lointaine, l’Asie où les montagnes, les mines et
les forêts sont alliées entre elles.
Nous nous sommes reposés un jour, bien haut dans les
Montagnes Rocheuses, pour pouvoir visiter un lac taillé dans du jade
pur, et qui a la propriété de colorier de sa propre teinte chaque
image qui se reflète dans son sein. Une ceinture de bois de
charpente, brun et mort, sur le faîte d’un rocher escarpé, paraissait,
vu sens-dessus-dessous, comme de sombres cyprès montant
d’entre des gazons verts, tandis que les neiges reflétées à la surface
de l’eau étaient d’un vert pâle. En été beaucoup de touristes s’y
rendent, mais nous ne vîmes rien, sinon le lac enchanteur qui
s’étendait muet au milieu des forêts environnantes, où parmi de la
mousse grise et bleue poussaient des lichens rouges et orange. Nul
son à part le bruit du torrent qui se pressait à travers un
encombrement de bûches blanches comme des ossements
humains. Tout cela aurait pu appartenir au Thibet ou à quelque
vallée inexplorée derrière le Kinchinjunga et n’avait rien à voir avec
l’Ouest.
Au moment où notre voiture parcourait l’étroit sentier de la
colline, un poney de somme, couleur pie, avec des yeux d’un bleu
de porcelaine, déboucha à un tournant de la route, suivi de deux
femmes aux cheveux noirs, tête nue, portant des boléros de
passementerie en perles et montées à califourchon. Une longue file
de poneys trottinait derrière à travers les sapins. — Des Indiens qui
se déplacent, dis-je, c’est caractéristique !
Au moment où, secouées par leurs montures les femmes nous
dépassèrent, l’une d’elles tourna, très légèrement, les yeux vers
nous. Se mouvant dans cette figure d’un brun foncé, c’étaient là, à
n’en pas douter, les yeux intelligents et bien placés qui seuls
appartiennent à la blanche civilisée.
— Oui, répondit notre guide, lorsque la cavalcade eut doublé la
courbe suivante. C’est Madame une Telle et Mademoiselle une Telle.
La plupart du temps elles bivouaquent par ici trois mois tous les ans.
Si je ne me trompe, elles se rapprochent de la gare avant que la
neige ne vienne.
— Et où vont-elles ? demandai-je.
— Oh ! à peu près partout ; si vous voulez dire : d’où viennent-
elles en ce moment, eh bien la piste est là-bas.
Il indiqua du doigt une crevasse mince comme un cheveu qui
rayait la face de la montagne, et je le crus sur parole. Le même soir,
dans un hôtel tout à fait luxueux, une femme mince, vêtue d’une
robe de soirée fort jolie, s’amusait à regarder des photographies, et
les yeux, qui regardaient sous les cheveux bien soigneusement
arrangés, étaient ceux de la femme portant le boléro de perles
tressées et qui, montée sur un poney pie, avait dépassé notre
voiture.

Loué soit Allah pour la diversité de ses êtres ! Mais connaîtriez-

vous par hasard quelque autre pays au monde où deux femmes
pourraient s’en aller se promener pendant trois mois et tirer du fusil
en toute sécurité et avec le confort voulu ?
Ces montagnes ne se trouvent qu’à dix jours de Londres, et de
plus en plus les gens y viennent en villégiature. D’autres personnes,
celles auxquelles on n’aurait jamais pensé, achètent des vergers
dans la Colombie Britannique afin d’avoir une excuse pour visiter
tous les ans le beau pays, entraînant avec elles des amis
d’Angleterre. Cela existe indépendamment du flot ordinaire
d’émigrants, et sert à faire connaître le pays. Si vous demandiez à
un chemin de fer appartenant à l’État de tenter la chance, avec
l’espoir d’attirer des touristes, le Commissaire des Chemins de fer
vous démontrerait que la tentative ne pourrait jamais réussir, et que
ce serait mal de risquer l’argent du contribuable en construisant des
hôtels de première classe. Pourtant on pourrait faire du Sud Africain,
même maintenant, un rendez-vous de touristes, si seulement les
voies ferrées et les lignes de bateaux à vapeur possédaient la foi.
En y réfléchissant je soupçonne que l’on ne voulait pas me voir
apprécier trop hautement les mérites de la Colombie Britannique. Il
se peut que j’aie mal jugé, il se peut qu’elle ait été exprès mal
représentée ; mais il m’a bien semblé entendre parler, dans les
limites de son territoire plus que nulle part ailleurs, de « problèmes »
et de « crises » et de « situations ». Autant qu’on pouvait s’en rendre
compte, le problème le plus urgent de tous était de trouver assez
d’hommes et de femmes pour faire le travail nécessaire.
Bois de charpente, houille, minéraux, pêcheries, sol convenant à
des vergers, à des laiteries ou à des basses-cours, tout s’y trouve
dans un climat superbe. La beauté naturelle du ciel et la beauté
naturelle de la terre forment le pendant de ces dons magnifiques ;
ajoutez à cela des milliers de kilomètres de routes fluviales, abritées
et sûres pour le commerce côtier ; des ports profonds qui n’ont pas
besoin de drague ; des bases de ports libres de glace ; en un mot
tous les titres de propriété à la moitié du commerce de l’Asie.
Pour amuser et délecter le peuple, le saumon, la truite, la caille,
la perdrix s’ébattent à la fois devant et à travers les faubourgs de ses
capitales. Un peu de travail à la hache, et un peu aussi sur les
routes et voilà qu’une ville se trouve en possession d’un des plus
charmants parcs entourés d’eau que nous puissions trouver en
dehors des tropiques. Telle autre ville reçoit en cadeau une centaine
d’îles, de monticules, d’anses boisées, des étendues de plages et de
vallons, le tout installé comme exprès pour une vie de camp, pour
des pique-niques et des parties de canotage, sous des cieux qui ne
sont jamais trop chauds et rarement trop froids. S’il vous plaît de
lever les yeux de dessus les jardins presque tropicaux on peut voir, à
travers des baies bleues, des pics neigeux qui doivent être une
véritable réjouissance pour l’âme. Bien qu’on soit face à face avec
une mer d’où peut surgir n’importe quel présage de malheur, on
n’est pas obligé de protéger ses eaux ni d’en faire la police. On
ignore la grande sécheresse, l’épizootie, la peste, les invasions de
sauterelles et la brouissure tout autant qu’on ignore le vrai sens du
mot besoin ou crainte.
Pareille terre est bonne pour un homme énergique. Elle n’est pas
trop mauvaise, non plus, pour le cagnard. J’avais été, je vous l’ai dit,
renseigné sur ses inconvénients. On me donnait nettement à
entendre qu’il n’y avait pas à compter avec certitude sur quelque
emploi que ce fût, et qu’un homme qui gagnait de formidables gages
pendant six mois de l’année serait à la charge de la communauté s’il
manquait de travail pendant les six autres. Je ne devais pas me
laisser tromper par des tableaux dorés placés devant mes yeux par
des gens intéressés (c’est-à-dire par presque tous ceux que je
rencontrais) et je devais tenir compte des difficultés et des déboires
qui pouvaient échoir à celui qui avait l’intention d’immigrer. Si j’en
avais réellement envie je consentirais à supporter bien des
inconvénients pour pouvoir m’installer sur la terre de la Colombie
Britannique, et si j’étais riche, et sans lien sauf l’Angleterre,
j’acquerrais bien vite à force d’argent une ferme ou une maison dans
ce pays pour le seul plaisir que cela donnerait.
J’oubliais, au milieu des gens qui croyaient fermement au
Canada, ces conspirateurs lugubres et dépourvus d’humour, mais
plus tard ce souvenir me laissa un goût amer à la bouche. Les cités,
comme les femmes, ne sauraient trop veiller à quel genre d’hommes
elles permettent de parler d’elles.
Le temps a changé Vancouver littéralement au point de la rendre
méconnaissable. Depuis la gare jusqu’au faubourg, et de nouveau
depuis les faubourgs jusqu’aux quais, chaque pas apportait du
nouveau. Là où je me souvenais d’avoir vu des espaces découverts
et des forêts indemnes, le tramway portait rapidement des gens hors
de la ville pour jouer une partie de « Lacrosse. » Vancouver est une
ville âgée car, seulement quelques jours avant mon arrivée, le Bébé
de Vancouver, — c’est-à-dire le premier enfant né à Vancouver —
venait de se marier.
Un bateau à vapeur — jadis bien connu dans Table-Bay — avait
débarqué quelques centaines de Sikhs et Jats du Punjab ; chaque
homme portait son paquet et les petits groupes déambulaient avec
inquiétude, seuls, marchant — car plusieurs avaient été soldats —
au pas. Oui, ils disaient qu’ils étaient venus dans ce pays pour
obtenir du travail. Des nouvelles leur étaient parvenues dans leurs
villages qu’on pouvait y gagner de bonnes journées. Leurs frères qui
les avaient précédés leur avaient envoyé la nouvelle — oui, et
parfois aussi l’argent pour payer le voyage. L’argent serait payé avec
les gages si considérables qu’on aurait plus tard. Avec intérêts ?
Assurément, avec intérêts. Est-ce que les hommes prêtent de
l’argent dans quelque pays que ce soit sans intérêt ? Ils attendaient
que leurs frères vinssent leur montrer d’abord où manger, ensuite
comment travailler. En attendant c’était un pays nouveau. Comment
saurait-on en parler ? Non, il ne ressemblait pas à Gurgaon ou
Shahpur ou Jullundur. La maladie (peste) avait envahi tous ces
pays. Elle était entrée dans le Punjab par toutes les routes et
beaucoup, — beaucoup, — beaucoup étaient morts. La moisson,
aussi, avait été défectueuse dans bien des endroits. Ayant entendu
parler de ces énormes gages, ils s’étaient embarqués sur le
vaisseau à cause du ventre, à cause de l’argent, à cause des
enfants.
— Y retourneraient-ils ?
Ils ricanèrent, tout en se poussant du coude. Le Sahib n’avait pas
très bien compris. Ils étaient venus à cause de l’argent — des
roupies, non, des dollars. Le Punjab était leur demeure, là-bas
étaient leurs villages, où attendaient leurs familles. Oui, sans doute,
sans aucun doute ils s’en retourneraient. A ce moment survinrent les
frères qui travaillaient dans les usines : cosmopolites portant des
habits de confection et fumant des cigarettes. — Par ici, vous autres,
s’écrièrent-ils. Les paquets furent replacés sur les épaules et les
turbans noués disparurent. Les dernières paroles que je saisis
étaient du vrai Sikh : — Mais l’argent, mon frère, l’argent dont tu
nous as parlé ?
Certains habitants du Punjab ont découvert que l’argent peut être
trop chèrement acheté.
Il y avait un Sikh dans une scierie qui, chez lui, avait été
conducteur de batterie de montagnes. Lui-même venait d’Amritsar
(oh ! agréable comme de l’eau froide dans un pays assoiffé, le son
d’un nom familier dans un beau pays !)
— Mais vous aviez votre pension. Pourquoi est-ce que vous êtes
venu ici ?
— Fils d’immortel, parce que j’ai manqué de bon sens ; et puis il y
avait la maladie à Amritsar.
(L’historien dans cent ans d’ici pourra écrire un ouvrage sur les
changements économiques survenus par suite de la peste. Il existe
quelque part une étude fort intéressante des conséquences sociales
et commerciales résultant de la Peste Noire en Angleterre).
Sur un quai, et attendant un bateau à vapeur, une trentaine de
Sikhs, la plupart portant leurs vieux uniformes (ce qui ne devrait pas
être permis) conversaient à tue tête, de sorte que le hangar
résonnait comme une gare indienne. On leur fit entendre que s’ils
parlaient plus bas la vie en deviendrait plus facile ; ils adoptèrent la
proposition aussitôt. Alors un officier supérieur portant une médaille
de l’Inde Britannique demanda avec un empressement plein
d’espoir : — Le Sahib a-t-il reçu quelque ordre touchant l’endroit où
nous devons nous rendre ?
Hélas ! il n’en avait point reçu — rien que des bons vœux et des
salutations pour les fils de Khalsa, et, quatre par quatre ils s’en
furent.
On dit que lorsque éclata la petite révolte à Vancouver ces
« Païens » reçurent de la part des autres asiatiques l’invitation de
faire avec eux cause commune contre le Blanc. Ils refusèrent
alléguant qu’ils étaient sujets du Roi. Je me demande quels
racontars ils ont renvoyés à leurs villages et où et jusqu’à quel point
chaque détail de l’affaire fut discuté. Les Blancs oublient qu’aucune
partie de l’Empire ne saurait vivre ou mourir pour elle seule.
En voici un exemple, un peu comique, en ce qui touche le côté
matériel. Les merveilleuses eaux entre Vancouver et Victoria sont
remplies de baleines qui bondissent et se réjouissent dans le bleu
vigoureux tout autour du paquebot. Il y a donc « une baleinerie » sur
une île tout auprès et j’eus la chance de voyager avec un des
actionnaires.
— Les baleines sont de belles bêtes, me dit-il affectueusement.
Nous avons fait un contrat avec une maison écossaise pour chaque
barrique d’huile livrable d’ici plusieurs années. Elle passe pour être
la meilleure qui soit pour le nettoyage des harnais.
Il poursuivit en me disant comment un vaisseau rapide fait la
pêche à la baleine avec un obusier et fait éclater des obus à
l’intérieur de leur corps de façon qu’elles périssent immédiatement.
— Toute la vieille méthode de harpon et de bateau n’en finirait plus.
Nous les tuons tout de suite !
— Et comment leur enlevez-vous la peau ?
A l’en croire, ce vaisseau expéditif portait également à bord une
grande pompe à air, qui pompait de l’air dans la carcasse jusqu’à ce
qu’elle flottât convenablement en attendant qu’on pût s’en occuper.
A la fin de son carnage quotidien il revenait, remorquant parfois
quatre baleines gonflées, jusqu’à la baleinerie qui est une factorerie
nantie d’un outillage moderne. Les baleines sont traînées au
sommet d’une planche inclinée, tout comme les solives à la scierie,
et tout ce qui ne peut fournir de l’huile à l’usage du peaussier
écossais, ni être séché en vue du marché japonais, est transformé
en engrais puissants.
— Il n’y a pas d’engrais qui puisse rivaliser avec le nôtre, dit
l’actionnaire. Il renferme tant de calcaire. Voyez-vous, la seule chose
qui nous ait tracassés jusqu’ici, c’est leurs peaux. Mais nous avons
inventé un procédé maintenant pour les transformer en linoléum.
Oui, ce sont de belles bêtes. Celle-là — et il indiqua du doigt une
bosse noire au milieu d’une guirlande d’embrun, — pourrait être
découpée merveilleusement.
— Si vous marchez de ce train-là, lui dis-je, il ne vous en restera
pas.
— C’est vrai. Mais ça rapporte trente pour cent, et il y a quelques
années personne n’y croyait.
Je lui pardonnai tout à cause de cette dernière phrase.
 UNE CONCLUSION

Le Canada possède deux piliers de force et de beauté en

Québec et Victoria. La première se classe seule parmi ces villes-
mères dont personne ne peut dire « ceci me rappelle. » Pour vous
faire une idée de Victoria il faut prendre tout ce que l’œil admire le
plus à Bournemouth, Torquay, l’île de Wight, la Vallée fortunée à
Hong-Kong, le Doon, Sorrente, et Camps Bay ; ajoutez des
souvenirs des Mille Iles et disposez le tout autour de la baie de
Naples, avec quelques Himalayas comme arrière-plan.
Les agents de biens immeubles la recommandent comme un
petit morceau de l’Angleterre — l’île sur laquelle elle se trouve est à
peu près grande comme l’Angleterre — mais aucune Angleterre ne
se trouve placée au milieu de telles mers imprégnées du mystère de
l’océan plus vaste situé au delà. Les crépuscules élevés, tranquilles,
que l’on a tout le long des plages viennent de l’Orient antique qui est
là, tout près, sous la courbe du globe, et même en octobre le soleil
se lève chaud dès le début. La terre, le ciel, l’eau attendent à la
porte de chaque homme pour le contraindre, de vive force, à sortir
pour jouer, si d’aventure il quitte un instant des yeux son travail ; et
bien que certaines autres villes du Dominion ne comprennent pas
tout à fait cette disposition immorale de la Nature, ceux qui ont fait
fortune dans ces mêmes villes partent pour Victoria, et avec le zèle
qui caractérise les convertis, prônent et préservent ses beautés.
Nous sommes allés regarder un magasin de bœuf salé
appartenant à la marine, qui jadis avait été esquimau, dépôt de la
marine britannique. On y arrivait à travers des chemins plus beaux
que des sentiers anglais, serpentant le long de rives et de parcs
naturels, dont le moindre aurait fait la fortune d’une ville.
 — La plupart des villes, dit quelqu’un soudain, construisent leurs
routes à angle droit. C’est ce que nous faisons dans les quartiers
d’affaires. Qu’en pensez-vous ?
— Si je ne me trompe, certaines de ces grandes villes seront
forcées de dépenser des millions un jour ou l’autre en courbes ;
histoire de changer, lui dis-je ; vous possédez ce que nul argent ne
peut acheter.
— C’est bien ce que les gens nous disent quand on vient habiter
Victoria, — et ils ont de l’expérience.
Il est amusant de penser à quelque millionnaire arrivant tout
chaud de quelque gril rectangulaire de la civilisation occidentale en
train d’engager le bon habitant de Victoria à garder ses perspectives
variées et ses courbes reposantes à l’œil.
Il y a une vue, lorsque le brouillard du matin se lève du port où
les steamers relâchent, du Parlement d’une part, et d’un énorme
hôtel de l’autre qui, en tant que spécimen de quais et de façades,
s’adaptant et s’encastrant habilement ensemble, mérite qu’on vienne
de loin pour la contempler. On finissait l’hôtel. Le salon des dames,
long peut-être d’environ cent pieds sur quarante de large, avait un
plafond en plâtre, voûté et superbement orné de bosses,
d’arabesques et d’entrelacs, et qui, je ne sais pourquoi, paraissait
familier.
— Nous en avons vu une photographie dans La Vie au Grand Air,
nous expliqua l’entrepreneur. Cela nous a paru être juste ce qu’il
fallait pour la pièce, de sorte qu’un de nos plâtriers, un Français,
celui là-bas, l’a pris et l’a copié. Ça fait bien, n’est-ce pas ?
A peu près à l’époque où l’on installait le noble original en
Angleterre, Drake pouvait être en train de quitter, toutes voiles
dehors, cette même rive. Vous voyez donc que Victoria légalement
possède les droits d’auteur.
Je m’efforçais, en toute honnêteté, de rendre un peu de la
couleur, de la gaieté, de la gracieuseté de la ville et de l’île, mais
découvris en fin de compte que je parvenais seulement à entasser
des épithètes invraisemblables. Je me résignais à abandonner la
tâche, en renonçant à décrire mille autres merveilles, fâché d’avoir
perdu mon temps et le vôtre à m’occuper de messieurs à l’air
anxieux et qui parlaient de « désavantages ». Quelques vers,
découpés dans un journal, résument, me semble-t-il, leur attitude :

De même que Le Pays de peu de Loisir

Est l’endroit où s’accomplit la besogne,
De même Le Pays de peu de Plaisir
Est l’endroit où l’on peut prendre le plus d’amusement.
Dans Le Pays de multiples Soucis
Les Gens rient comme ils doivent le faire,
Bref, il y a toujours des Gens qui regimbent
Dans Le Pays cent fois trop bon.

A chaque pas de mon voyage des gens m’assurèrent que je

n’avais rien vu du Canada. Mineurs silencieux du Nord, fruitiers de la
vallée de Okanagan ; contremaîtres d’équipes d’ouvriers des voies
ferrées, venus depuis peu des écoles secondaires anglaises ;
l’habitant le plus vieux de la ville de Villeneuve, âgé de vingt-huit
ans ; certains Anglais qui vivaient sur la prairie et qui trouvaient le
moyen de se procurer de l’amusement, des bons camarades aussi
bien que de l’argent ; cultivateurs de blé et marchands de bestiaux,
tous deux animés d’un même esprit sincère ; agents électoraux ;
agents de la police montée, devenus expansifs au crépuscule, dans
les haltes au bord de la route ; employés qui dépendaient du bon
vouloir populaire et qui parlaient avec autant de précautions qu’ils en
mettaient à marcher ; même les créatures bizarres qui ne parlaient
pas anglais et l’affirmaient bruyamment dans le wagon-restaurant.
Voilà ce qu’un chacun ou une chacune, à sa façon, me donnait à
entendre. Il existait le même rapport entre mon excursion et leur
pays que celui qui existe entre une promenade sur un omnibus à
travers le Strand et la ville de Londres, de sorte que je connaissais
leurs impressions.
Mon excuse est que notre chair et notre sang nous intéressent
plus que n’importe qui d’autre ; et j’avais de par ma naissance les
mêmes droits sur eux et leur vie qu’eux-mêmes possédaient dans
toute autre partie de l’Empire. Parce qu’ils étaient devenus un
peuple dans l’Empire mon droit était reconnu et nul n’y fit aucune
objection, — ce qui ne serait pas arrivé il y a seulement quelques
années. On peut se tromper sur le sens de bien des indications le
long de la route, mais il n’y a pas moyen de se tromper sur l’esprit
d’une nationalité sensée et reconnue, qui remplit le pays d’un bout à
l’autre exactement comme le bourdonnement joyeux d’une grosse
dynamo bien appliquée à sa tâche forme un fond sur lequel se
détachent tous les autres bruits de l’atelier. Pour bien des raisons cet
esprit est venu tard, mais puisqu’il est venu, après l’époque des
bagatelles, des doutes, des dédains ouverts ou voilés, il y a moins
de danger qu’il s’égare au milieu de la richesse et du luxe
incommensurables qui lui échoueront. Les gens, les écoles, les
églises, la Presse selon sa mesure, et surtout les femmes,
comprennent sans manifestes que leur terre doit maintenant, comme
toujours, rester soumise à la Loi en actes, en paroles et en pensée.
C’est là leur marque de caste, l’arche de leur pacte, leur raison
d’être ce qu’ils sont. Dans les grandes cités, avec leurs listes de
contraventions publiées tout comme dans les villages ; dans les
petites villes occidentales grandes ouvertes où le présent est aussi
libre que les vies, et l’avenir aussi sûr que la propriété de leurs
habitants ; dans les villes côtières navrées et humiliées de leur
unique nuit de dissipation ( — Ce n’est pas notre habitude,
Monsieur, ce n’est pas notre habitude !), bien haut dans les
montagnes où les officiers de la loi poursuivent et ramènent
soigneusement à la justice le malfaiteur ébahi ; et derrière les
prairies bien ordonnées jusqu’aux terres stériles, aussi loin qu’un
homme blanc solitaire peut marcher, l’inflexible esprit de la race
rejoint, surveille, et exerce son contrôle. Cela ne s’exprime guère en
paroles, mais parfois dans des discussions intimes on a le privilège
d’entrevoir les feux intérieurs. Ils brûlent avec éclat.
— Nous ne voulons pas qu’on nous décivilise, nous, me dit le
premier à qui j’en parlais.
 C’était là la réponse partout, la note dominante, laconique, et
l’explication.
En dehors de cela les Canadiens sont humains autant que nous
le sommes tous quand il s’agit d’éviter ou de contester une simple
vérité. Le devoir de développer leur pays leur est toujours présent à
l’esprit ; mais quand il est question de prendre des dispositions — de
meilleures dispositions — pour le défendre, ils se réfugient derrière
des paroles vagues, des anticipations puériles de miracles — tout à
fait à la manière impériale la mieux recommandée. Tous admettent
que le Canada est opulent ; très peu admettent qu’il est faible ; un
plus petit nombre encore que, s’il restait sans appui, il cesserait très
vite d’exister en tant que nation. A celui qui s’enquiert avec anxiété à
son sujet on répond qu’il fait son devoir envers l’Angleterre en
développant ses ressources ; que les gages offerts sont si élevés
qu’il ne peut être question de payer une armée ; il est réellement en
train de préparer de magnifiques projets pour la Défense, mais il ne
faut ni le presser ni lui faire la loi ; un peu de sage diplomatie est tout
ce dont il est besoin en cette ère si civilisée ; lorsque viendra la crise
quelque phénomène se produira (sûrement !). Et l’on termine très
souvent par un discours sur l’immoralité foncière de la guerre — tout
cela ayant à peu près autant de rapport avec la question que si l’on
promenait une tourterelle à travers les rues pour empêcher la peste.
La question vitale pour le Canada n’est pas ce qu’il pense ou ce
qu’il paie, mais ce qu’un ennemi pourrait estimer nécessaire de lui
faire payer. S’il continue à être opulent, tout en restant faible, il sera
attaqué sûrement sous un prétexte quelconque. Et alors il
succombera, et l’esprit qui l’anime disparaîtra avec son pavillon
lorsqu’il glissera le long de la drisse.
« Cela, c’est absurde, est la riposte que l’on vous fait toujours :
dans son propre intérêt l’Angleterre ne le permettrait jamais. Ce que
vous dites là présuppose la chute de l’Angleterre. »
Pas forcément. Rien de plus dangereux qu’un faux pas fait en
marchant ; mais quand l’Angleterre trébuche, l’Empire tremble. La
faiblesse du Canada, c’est le manque d’hommes. La faiblesse de
l’Angleterre, c’est l’excès de votants qui proposent de vivre aux frais
de l’État. Ceux-là s’indignent bruyamment lorsqu’on dépense des
crédits autrement que pour eux ; et puisque l’on consacre de l’argent
à la flotte et à l’armée pour protéger l’Empire pendant qu’il est en
train de se consolider, ils raisonnent que si l’Empire cessait d’exister
les armements cesseraient également ; l’argent ainsi épargné
pourrait être réservé à leur confort matériel. Ils s’enorgueillissent
d’être l’ennemi avoué et organisé de l’Empire qui, comme les autres
le voient bien, est tout disposé à leur donner la santé, la prospérité
et la puissance au delà de tout ce que leurs votes pourraient leur
valoir en Angleterre. Mais leurs chefs ont besoin de leurs votes en
Angleterre, comme ils ont besoin de leurs protestations et de leurs
malaises pour les aider dans leurs carrières municipales et
parlementaires. Aucun ingénieur ne modère la vapeur dans ses
propres chaudières.
De sorte que l’on ne leur dit guère autre chose que du mal du
grand héritage extérieur et on les tient claquemurés dans les villes
par des promesses de libres rations et d’amusements. Si l’Empire
était menacé, ils ne conseilleraient pas, dans leur propre intérêt, à
l’Angleterre de dépenser de l’argent pour lui. En conséquence, ce ne
serait pas un mal si les nations appartenant à l’Empire se trouvaient
être assez fortes pour encaisser au début quelques bons coups en
attendant que l’Angleterre pût se porter à leur secours.
Dans ce but, un apport d’hommes intègres, de valeur, devient
nécessaire de plus en plus chaque année pendant laquelle dure la
paix — d’hommes loyaux, propres, expérimentés en questions
gouvernementales, de femmes qui n’ignorent pas le sacrifice.
En cela les Messieurs qui proposent que leurs voisins les
entretiennent nous servent d’utiles alliés. Ils ont réussi à rendre
inquiètes les classes se trouvant immédiatement au-dessus d’eux
qui constituent la classe ouvrière anglaise. Cette classe, en effet,
n’est pas encore contaminée par la tentation de la paresse
entretenue par l’État, ou par le manque de responsabilité garanti par
l’État. L’Angleterre a des millions de gens de cette espèce,
silencieux, appliqués, accoutumés même maintenant à pourvoir aux
besoins de leurs propres rejetons, à les élever dans la ferme crainte
du Seigneur, et dans le seul désir de n’être récompensés que pour
ce qu’ils ont fait. Il y a quelques années seulement cette classe
n’aurait pas eu même l’envie de bouger ; aujourd’hui elle ressent
l’inquiétude générale. Ils vivent dans son atmosphère. Des amis qui
d’aventure leur viennent emprunter du sucre ou du thé leur ont
appris en plaisantant, ou avec des menaces, que bientôt viendraient
des jours heureux où celui qui refuserait de donner de bon gré en
verrait de dures. La perspective ne fait appel ni à leur raison ni à
leurs carnets de caisse d’Épargne. Ils entendent, — ils n’ont pas
besoin de lire — les discours prononcés le dimanche matin. Une de
leurs préoccupations est d’envoyer leurs enfants à l’école du
dimanche par des voies détournées, de peur qu’ils n’entendent et
n’apprennent d’abominables blasphèmes. Lorsqu’on dévalise les
caisses de petites boutiques ou lorsque l’apache extorque de
l’argent aux femmes de sa famille avec une brutalité plus grande
qu’à l’ordinaire, ils savent, parce qu’ils souffrent, quels sont les
principes que l’on met en pratique. Si on pouvait sans bruit indiquer
à ces gens un moyen tranquille d’en sortir, beaucoup d’entre eux
feraient rentrer leurs épargnes (ils sont plus riches qu’ils n’en ont
l’air), et fileraient sans rien dire. Dans les campagnes anglaises,
aussi bien que dans les villes, il existe un sentiment — qui n’est pas
encore de la panique, mais une sorte de panique atténuée — que
l’avenir ne sera rien moins que gai pour ceux qui travaillent, ou qui
ont l’habitude de travailler. Tout cela est à notre avantage.
Le Canada pourra servir au mieux ses propres intérêts et ceux
de l’Empire en exploitant systématiquement ce nouveau terrain de
recrutement. Maintenant que le Sud de l’Afrique, avec la seule
exception de la Rhodésie, se trouve paralysé, et que l’Australie n’a
pas encore appris les choses qui sont nécessaires à sa paix, le
Canada a la meilleure chance du monde d’attirer des hommes de
valeur et des capitaux dans le Dominion. Mais les hommes ont
beaucoup plus d’importance que l’argent. Il se peut qu’ils ne soient
pas de prime abord aussi habiles avec la houe que l’habitant de
Bessarabie ou que celui du Bokhariot, ou telle race à la mode, quelle
qu’elle soit. Mais ils ont des qualités de courage, de bonne humeur,
et certaine vertu à toute épreuve, choses pas entièrement à
dédaigner. Ils ne se tiendront pas à l’écart de la vie de la terre ni ne
feront des prières en des langues inconnues à des saints Byzantins ;
tandis que, d’autre part, cette même ténacité, cette même prudence
qui les a tenus attachés jusqu’à présent à l’Angleterre, les aideront à
jeter de profondes racines ailleurs. Il y a plus de chance pour que,
eux, plutôt que d’autres classes, amènent leurs femmes, et ces
femmes-là fonderont des foyers sacrés et individuels. Une Colonie
de la Couronne, peu estimée, dit proverbialement qu’aucune région
n’est réellement colonisée tant qu’on ne voit pas de pots de musc
sur les rebords des fenêtres — signe certain qu’une famille anglaise
est venue s’y installer. On ne peut savoir exactement combien de
gens, parmi la population étrangère que le bateau débarque,
possèdent quelque chose d’approchant ces idées-là. Dans certain
pays nous avons vu une panique financière renvoyer de véritables
armées d’étrangers aux pays avec lesquels ils niaient toute
allégeance. Que feraient-ils, ou ceux qui leur ressemblent, en temps
de réel danger, puisque aucun instinct de leur corps ou de leur âme
ne les forcerait à attendre jusqu’à ce que la tempête eût pris fin ?
A n’en point douter la conclusion de toute la question dans
l’Empire entier ne doit-elle pas être qu’il faut amener des hommes et
des femmes de notre souche, ayant nos habitudes, notre langue,
nos espoirs, par tous les moyens possibles que comporte une
politique bien réglée ? Le temps ne nous sera pas alloué en quantité
suffisante pour que nous nous multipliions jusqu’au moment
d’imposer une paix incontestable, mais en puisant dans l’Angleterre
nous pourrons rapidement effectuer la transfusion dans ses veines
de ce qui nous manque de sa force, et, grâce à cette opération,
obtenir par une saignée bienfaisante sa propre santé de corps et
d’esprit.
En attendant, le seul ennemi sérieux de l’Empire, dedans ou
dehors, c’est cette même Démocratie qui dépend de l’Empire pour
tout ce qui concerne son confort individuel, et en considération
duquel nous insistons au moyen des arguments qui précèdent.