<div dir="ltr"><div><div><div><div><div>Christian,<br><br></div>Unfortunately, while the "O" in OWASP most certainly applies to me, others have a right to their own privacy and it is not my place to invade upon it.  Just as I have continued to allow you to hold the decision on whether your evidence is made public, I will do the same for the others who have come forth.  The communications have been forwarded along to the Board for review with their approval, but it was specifically requested that this not become a matter of public record out of fear of retaliation by you.  Given your past tendencies to attack those who disagree with you, I believe this is a legitimate concern.  Yes, you have made this request in the past, and yes, I refuse your request yet again on the grounds that providing you with this material will lead to you attacking those who have specifically asked not to be identified.  I would, however, be happy to provide this documentation to Martin if he so desires.<br>
<br></div>Christian, if I could summarize your "situation" into a series of yes/no questions, I most certainly would.  Unfortunately, you are the single most complicated person I have ever come across.  That said, I did give you the opportunity to generate your own questions and you elected not do so.  If you wanted yes/no questions you could have had them.  That is your fault, not mine.  Are you saying that the questions which I copied and pasted verbatum from my e-mail are not the questions that I asked you?  Here is my "script" that I used for our conversation:<br>
<br><a href="https://docs.google.com/document/d/1TJAFF9UwUBKi-ulAGLkqytsulQX8mLKjCqQrwwNlwRM/edit?usp=sharing">https://docs.google.com/document/d/1TJAFF9UwUBKi-ulAGLkqytsulQX8mLKjCqQrwwNlwRM/edit?usp=sharing</a><br><br></div>
Now, I will say that I felt that you sufficiently answered some questions without me asking them so I opted to move on, but this is EXACTLY what we covered.  Any place in our conversation where you stated something was either in direct response to my question or of your own volition.  I have nothing to hide and have stated that I am more than happy to release our conversations to the public to decide.  <br>
<br></div>As for <a href="http://lists.owasp.org/pipermail/owasp-board/2014-February/013230.html">http://lists.owasp.org/pipermail/owasp-board/2014-February/013230.html</a>, this will not be applied to you retroactively.  This is meant to ensure that we do not have this same situation occur again in the future.  For you, Christian, our policy states "A revoked member will not be allowed to reapply for membership for a 
period not less than 24 months. The revoked member has the option to 
then reapply for membership with reinstatement pending approval by the 
board."  The Board has neither approved nor denied your request for reinstatement at this time.  At this time, you have rescinded your request for reinstatement so there is nothing for us to discuss here.<br><br></div>
~josh</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Feb 22, 2014 at 6:56 PM, Christian Heinrich <span dir="ltr"><<a href="mailto:christian.heinrich@cmlh.id.au" target="_blank">christian.heinrich@cmlh.id.au</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Josh,<br>
<br>
As you have cited "Open in OWASP" can you please release to me:<br>
1. A list of the people that you spoke to (without my knowledge or<br>
authorisation).<br>
2. Read only access to the audio recording and written statements of<br>
Brad Causey, Chris Gatford, Jason Li, Dinis Cruz and all other people<br>
provided in 1. above?<br>
<br>
The above is to ensure fairness related to:<br>
1. <a href="http://en.wikipedia.org/wiki/Witness_impeachment" target="_blank">http://en.wikipedia.org/wiki/Witness_impeachment</a> and;<br>
2. Your [Josh] own concern related to accusations of character<br>
assassination within OWASP in the past.<br>
<br>
For the record I have made the above request in the past which you<br>
[Josh] outright refused.  Yet you [Josh] have requested to release the<br>
recording of the conference calls with me and also claimed to have<br>
"nothing to hide".<br>
<br>
You [Josh] admit below that these "questions" are ambiguous and<br>
intended to elect a free flowing discussion (not a yes/no response) to<br>
capture a much greater scope then what you claimed was a possible<br>
agenda prior to the conference call.  Some of your statements are<br>
wrong and/or not based on fact either.   You never asked me these<br>
questions during the conference call and neither was I unable to<br>
reject them as you would have terminated the call.<br>
<br>
Based on <a href="http://lists.owasp.org/pipermail/owasp-board/2014-February/013230.html" target="_blank">http://lists.owasp.org/pipermail/owasp-board/2014-February/013230.html</a><br>
the OWASP Board has once again undertaken a "short cut" and will<br>
mislead the OWASP Leaders that a vote was held for my membership<br>
reinstatement and have deliberately sought to have me removed<br>
permanently from OWASP with the creation of "new" conditions intended<br>
to be enforced against me retrospectively and ongoing without prior<br>
notice or warning.<br>
<br>
I would recommend you, as an OWASP Board Member, desist from posting<br>
further threats and comment on the governance mailing list as their<br>
sole purpose is entrapment and to influence public opinion against me,<br>
including the independent audit of the lack of due process related to<br>
my termination, by inferring that I am unreasonable and have something<br>
to hide.<br>
<br>
I seek the path of lest resistance in resolving this dispute with the<br>
OWASP Board and a positive outcome for all involved.<br>
<div class="im HOEnZb"><br>
On Sat, Feb 22, 2014 at 5:42 PM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org">josh.sokol@owasp.org</a>> wrote:<br>
> Christian,<br>
><br>
</div><div class="HOEnZb"><div class="h5">>> "You are more than welcome to schedule an interview for on the record<br>
>> comment provided a list of question are agreed upon beforehand?"<br>
><br>
><br>
> This was the exact purpose of these two previous interviews.  I'm not sure<br>
> what you thought the point of it was if it was not on the record.  I<br>
> certainly would not want to waste my time with a conversation that would<br>
> serve no purpose.  I could not possibly "induce" an audio interview that you<br>
> requested, and attended, knowing in advance that I had scheduled it via<br>
> GoToMeeting with the intent of recording it for our records as well as<br>
> yours.  To support this:<br>
><br>
>> "Not following the "O" in "OWASP" has bit us many times in the past and in<br>
>> a situation like this where claims have been made around character<br>
>> assassination, I feel quite strongly that all of these discussions should<br>
>> take place on record."<br>
>> (<a href="http://lists.owasp.org/pipermail/owasp-board/2014-January/012946.html" target="_blank">http://lists.owasp.org/pipermail/owasp-board/2014-January/012946.html</a>)<br>
><br>
><br>
> AND<br>
><br>
>> My statement about a public call was not a joke.  It was based on your<br>
>> request that this discussion be held in the light.  I can't speak for how<br>
>> the Board has done things in the past, but unless you specifically desire to<br>
>> have the discussions private, then I believe they shouldn't be.  My actions<br>
>> as a Board member should be performed in full view of the members who<br>
>> elected me.  Because of this, I have waived my right to privacy on this<br>
>> matter as well.  There is no alterior motive, only a desire for<br>
>> transparency.<br>
>> (<a href="http://lists.owasp.org/pipermail/owasp-board/2014-January/013009.html" target="_blank">http://lists.owasp.org/pipermail/owasp-board/2014-January/013009.html</a>)<br>
><br>
><br>
> And this from you, but it was not sent to the mailing list.  That said, all<br>
> of the Board members plus Kate and Sarah received it:<br>
><br>
>> I have no objection to recording the call provided I receive a list of<br>
>> questions prior so there aren't any "surprises" related to entrapment. (Thu,<br>
>> Jan 16, 2014 at 7:34 PM "Re: Fwd: Josh & Christian - Conference Call")<br>
><br>
><br>
> You agreed to the call and you agreed to the recording.  It was only once<br>
> you got on the call that you cited "inducement" and I offered to terminate<br>
> the call at that point.<br>
><br>
> Your statement that you were not provided a list of questions is just<br>
> straight up lies and I'm going to call you on that as well.  I made several<br>
> attempts to allow you to generate the list of questions yourself due to your<br>
> threats of entrapment.<br>
><br>
>> "I certainly would hate to be accused of entrapment.  That said, I want to<br>
>> ensure that you have the opportunity to speak your mind and worry that I may<br>
>> not ask the right questions for you to do so.  Perhaps it would make sense<br>
>> if you wrote down some questions for me to consider?  I could tailor them a<br>
>> bit if necessary (and will provide in advance of course) but it would both<br>
>> save me time in generating them myself and ensures that you have the<br>
>> opportunity to say what you need to say.  I will warn, however, that our<br>
>> conversation loses its candidness with this approach and it really becomes<br>
>> more like me taking a prepared statement rather than having a conversation.<br>
>> But I would like to hear what you have to say, so if that's what you're<br>
>> comfortable with, it works for me." (Thu, Jan 16, 2014 at 9:55 PM "Re: Fwd:<br>
>> Josh & Christian - Conference Call")<br>
><br>
><br>
> When you failed to generate the list of questions, I responded as follows:<br>
><br>
>> I would gladly hear your views on the Google Hacking inquiry and any<br>
>> assertions you have as to why the information in it may be inaccurate and/or<br>
>> the penalty unjust.  I would gladly hear your views on why you feel that<br>
>> your suspension ultimately turned into a full membership revocation.  I<br>
>> would gladly hear your views on why you feel that the membership revocation<br>
>> has lasted as long as it has.  More importantly, I would gladly hear your<br>
>> views on why you feel that the membership revocation should be lifted and<br>
>> your membership reinstated.  I would like to hear your views on the<br>
>> rationale behind the recent commotion on the mailing lists and private<br>
>> communications and why this is different from the activity which got your<br>
>> membership revoked previously.  And most important in my mind, I would like<br>
>> to hear your views on your intent should your membership me reinstated.  The<br>
>> Board reinstating your membership is equivalent to OWASP forgiving any past<br>
>> actions and is a statement that we are willing to move forward with you as<br>
>> part of the organization.  Are you willing and able to do the same?  Those<br>
>> are the questions that you should expect from me on the call since you do<br>
>> not seem interested in taking me up on my offer to allow you to generate the<br>
>> questions yourself.  (Sun, Jan 19, 2014 at 3:15 AM "Re: Fwd: Josh &<br>
>> Christian - Conference Call")<br>
><br>
><br>
> The questions for the second call were even more explicit:<br>
><br>
>> "the following are the questions and topics that I would like to<br>
>> ask/discuss during our call later this week:<br>
>><br>
>> 1) The original finding from the Google Hacking Inquiry was only that you<br>
>> had not published your source code.  The consequence, as determined by the<br>
>> Board, was a 3 month suspension of your OWASP membership.  Can you please<br>
>> tell me why you feel that the original 3 month suspension turned into a full<br>
>> membership revocation?<br>
>><br>
>> 2) I believe the original revocation was supposed to have been for a two<br>
>> year term which would have ended several years ago.  Did you ask to have<br>
>> your membership reinstated?  Why do you feel that the revocation is still in<br>
>> place after that original revocation was up?<br>
>><br>
>> 3) Even recently there have been negative communications from yourself to<br>
>> OWASP members both via the mailing list and in private.  Can you please<br>
>> explain your reasoning behind these negative communications?<br>
>><br>
>> 4) You have requested of the Board to reinstate your OWASP membership.<br>
>> Can you please explain why you feel that the membership revocation should be<br>
>> lifted and your OWASP membership be reinstated?<br>
>><br>
>> 5) Can you please tell me what your intent would be if the Board were to<br>
>> rule in favor of having your membership reinstated?  Would you participate<br>
>> in OWASP as a positive contributor?  Would you be willing to lay aside any<br>
>> negative feelings and abide by the OWASP Code of Ethics?"  (Wed, Jan 29,<br>
>> 2014 at 2:55 PM "Topics of Discussion for This Weeks Call")<br>
><br>
><br>
> Your requests to assist you are just attempts to draw OWASP into your own<br>
> personal grudges with others.  The OWASP Board has no place in helping you<br>
> do whatever it is you think you're doing with these people and it is<br>
> completely out of the scope of your request for reinstatement, which you<br>
> have now requested us to drop.<br>
><br>
> I have absolutely nothing to hide and my e-mails above show that I have made<br>
> every attempt to make my communications with you completely transparent.  It<br>
> is you, Sir, that has requested that certain records not be released in<br>
> public.  If anyone is trying to hide something, it is you.<br>
><br>
> I support 100% whatever Martin would like to do here.  If that means taking<br>
> an independent inquiry, I am quite confident that he will come to the same<br>
> conclusions that everyone else has come to.<br>
><br>
> I find it repulsive that you say that the Board is taking shortcuts on this.<br>
> I have spoken with over a dozen people related to you and your behavior.  I<br>
> have requested now, three times, the names and contact information for those<br>
> you would like me to speak who support you, and you continue to ignore the<br>
> request.  Just because I have refused to involve myself or the Board in your<br>
> personal grudges, does not mean that we've taken the shortcut.  It means<br>
> that I recognize that the scope of our engagement was the Google Hacking<br>
> Inquiry and your request for reinstatement.  Everything else is simply your<br>
> attempt to waste time and deflect attention to others instead of yourself.<br>
><br>
> Given what I've stated above, let me be clear.  You have now elected to take<br>
> two shots at my integrity when I have been completely open about everything<br>
> here.  I no longer have the time to engage you in these discussions as they<br>
> are no longer productive and have again gone negative.  I'm going to ask you<br>
> to please deal directly with Martin going forward as I no longer feel that I<br>
> can remain unbiased in this matter.  You've now taken two shots at my<br>
> integrity.  If you do it again, I would be happy to release all records of<br>
> our communications to the public as I have absolutely nothing to hide.  It<br>
> is you that has asked for them not to be shared.<br>
<br>
<br>
<br>
</div></div><div class="HOEnZb"><div class="h5">--<br>
Regards,<br>
Christian Heinrich<br>
<br>
<a href="http://cmlh.id.au/contact" target="_blank">http://cmlh.id.au/contact</a><br>
</div></div></blockquote></div><br></div>