<div dir="ltr"><a href="https://mcurphey.wordpress.com/category/owasp/">https://mcurphey.wordpress.com/category/owasp/</a><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 19, 2016 at 8:25 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><font face="arial, helvetica, sans-serif" color="#000000">Hi All,<br></font><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000">Not sure if you have heard the news that Phineas Fisher, the hacker that hacked HackingTeam, has made public a couple of days ago a video showing how he hacked the Spanish (Catalan) police using ZAP.</font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000">Video in the mean time has been removed but I made a copy for anyone that wants it ;-P</font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000">Phineas goes ahead and made comments to encourage and teach others to 'hack back'(nice music background 'f*ck the police'). In his own words:</font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><b>“That's the plan,” the hacker told Motherboard in an email. “Like subverso says in the lyrics of the song at the end of the video, ‘el que comparte lo que aprende, es peligroso.’”</b><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000">While I'm a big fan of ZAP, this has hit a deep core in my conscious.</font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000">OWASP is supposed to be about 'Application Security' and right now, hackers like this are doing the opposite with the same tools we promote .</font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000">OWASP has a huge misbalance of tools between 'breakers' and 'defenders'. </font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000">ZAP on one side , with a quality and level of development that is competing with the commercial tools like Burp, but on the other side, to balance the equation, what are we actually doing to improve defense? What kind of defender projects does OWASP has to compete what ZAP is doing?</font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000">Sorry to say, none. No defender project at OWASP has a full time developer working on it nor the quality that ZAP does.</font></div><div><font face="arial, helvetica, sans-serif" color="#000000"> </font></div><div><font face="arial, helvetica, sans-serif" color="#000000">@Tom:</font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000">I think one of the things OWASP projects needs to focus on is to bring a balance and incentive the development of <b>Quality</b> defender projects to teach developers how to protect applications. Not to keep focusing on teaching hacking. Developers are not going to become hackers to protect applications. </font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font color="#000000" face="arial, helvetica, sans-serif">Mark Curphey, the co-fouder of OWASP had a vision to develop security tools for developers. And he left because OWASP management  focused in quantity and not in quality. Timo and I, the last reviewers were standing for this principle.But we couldn't fight how management though about and we left.</font></div><div><font color="#000000" face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><span style="line-height:21px"><b>"I do suspect that it maybe time for a different kind of open source software security project that focuses on a small number of high quality, high impact projects. ..</b></span></font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><b><br></b></font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><b>So long OWASP, you were a fun ride and I wish you the very best for the future. Remember that a “Jack of all trades is a master of none”!</b></font><font face="arial, helvetica, sans-serif" color="#000000"><span style="line-height:21px"><b>"</b></span><br></font></div><div><font face="arial, helvetica, sans-serif" color="#000000"><span style="line-height:21px"><b><br></b></span></font></div><div><span style="line-height:21px"><font face="arial, helvetica, sans-serif" color="#000000"><br></font></span></div><div><font face="arial, helvetica, sans-serif" color="#000000"><span style="line-height:21px">In the mean time Marc is the founder of </span>SRC:CLR, </font><span style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;background-color:transparent">based startup that helps companies use open-source code safely</span></div><div><span style="color:rgb(0,0,0);font-family:arial,helvetica,sans-serif;background-color:transparent"><br></span></div><div><a href="http://www.curphey.com" target="_blank">http://www.curphey.com</a><br></div><div><br></div><div>regards</div><span class="HOEnZb"><font color="#888888"><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>