<div dir="ltr"><div class="gmail_extra">On Sun, May 22, 2016 at 6:55 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Definitely Bev :-)<div><br></div><div>In fact this is the kind of thing we should discuss.Should we start a formal process to bring this to a panel discussion? </div></div></blockquote><div><br><div class="gmail_default" style="font-family:monospace,monospace;display:inline">​Let's let this thought experiment play out a little bit longer<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">before we do that.<br>​</div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>I started developing a tool 'Nmapalyzer': <a href="https://github.com/ossecsoft/nmapalyzer" target="_blank">https://github.com/ossecsoft/nmapalyzer</a></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,'Segoe UI',Arial,freesans,sans-serif,'Apple Color Emoji','Segoe UI Emoji','Segoe UI Symbol'">Is a tool to identify the data packages sent by NMAP probes. </span><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,'Segoe UI',Arial,freesans,sans-serif,'Apple Color Emoji','Segoe UI Emoji','Segoe UI Symbol'">Reverse engineering of nmap TCP sent packages to a target machine</span></div><div><a href="https://www.gitbook.com/book/marylinh/nmapalyzer/details" target="_blank">https://www.gitbook.com/book/marylinh/nmapalyzer/details</a><br></div><div><br></div><div>So Bev, there are commercial solutions doing this and some OS but not extensively. My plan with the Nmapalyzer is to help detect network traffic(passive) and set  the information with a nice dashboard. It is in research phase right now.</div><span class=""><div><br></div></span></div></blockquote><div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">​A noble example, but one that will not be easy. Fy​odor designed nmap with options, when appropriately used, that allows nmap<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">to be evasive and avoid detection. Good luck with that. On<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">the plus side, most people running nmap scans do not have<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">the patience or prerequisite knowledge to use nmap in that<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">manner.<br><br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span class=""><div></div><div>>><span style="font-size:13px">But given that it IS open source, a hacker would simply fork it </span><span style="font-size:13px">on GitHub or BitBucket or wherever and just point fellow black hats at </span><span style="font-size:13px">the modified source at some other URL.</span></div><div><span style="font-size:13px"><br></span></div></span><div>Simply?😏 He do you have fellow blackhat friends that give you exploit kits for free?<span style="font-size:13px"><br></span></div></div></blockquote><div><br><div class="gmail_default" style="font-family:monospace,monospace;display:inline">​Okay; yo​</div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">​u got me on that one--in the general sense. But in the<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">case of ZAP and Phineas, I think he would release the tweaked<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">ZAP for free. Phineas is doing this more as hacktivism rather<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">than profit and hacktivists are generally not motivated by<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">money.<br>​</div>​</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><span style="font-size:13px"></span></div><div>blackhats don't give anything for free.Which blackhats are developing 'open source hacking tools' and giving tools for free like we do? No one, wether you pay 1 dollar or 300 for anything, they need to make a living.<br></div></div></blockquote><div><br><div class="gmail_default" style="font-family:monospace,monospace;display:inline">​Well, only hacktivists. I suppose whether you view them as<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">"black hats" or "gray hats" or "white hats" depends on<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">your perspective of whether or not they are engaging in<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">activities which you perceive as fair and just. But I think<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">that most in that crowd are 1) in violation of some laws,<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">and 2) freely share their hacktivist tools with their<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">colleagues for the greater cause.<br><br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div></div><div><span style="font-size:13px"><br></span></div><div>Have you check ZAP code? Maybe this part should not be at all documented . Believe me he will move to BURP or tamper data faster than just go and take the time to change this. and give it for free...</div><div><br></div><div>Now a professional blackhat will invest his time/money and distribute a version but it will charge some money for it, just as done with malware exploitation kits.</div><div><br></div><div>I bet you 100USD than the moment ZAP does this, download of this new version will decrease by 50% and  a blackhat will make a version for sale for a very good price in the dark web (charge USD20 instead of buying BURP for USD300/year)</div><div>Want to bet?</div></div></blockquote><div><br><div class="gmail_default" style="font-family:monospace,monospace;display:inline">​So, you are NOT disagreeing that ZAP would be modified and<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">made available, but rather that whether or not it would be<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">made available for free???<br><br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">So don't you see the here? What you are proposing--to<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">have ZAP be restrained in some manner (e.g., by ​looking<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">for some specific file name or a file with some specific<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">contents)--would in fact cause black hats to PROFIT from<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">modifying and then reselling ZAP? So rather than restricting<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">ZAP from the hands of malevolent people, you instead--as<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">a likely unintended consequence--cause these same people to<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">further profit from ZAP.<br><br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">Is that really what you want? I think not. We need to be<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">careful before we jump to conclusions here.  And even if<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">ZAP was not open source, the fact that it compiles into<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">Java byte code makes it trivial to decompile. (And obfuscators<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">can only do so much.)<br><br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">But let's not do something that will leave the end situation<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">worse than what we started. You are a hacker, so when you<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">propose these things, think like one and how you would go<br></div><div class="gmail_default" style="font-family:monospace,monospace;display:inline">about getting around those obstacles.<br></div></div></div><br>-<div class="gmail_default" style="font-family:monospace,monospace;display:inline">​kevin​</div><br>-- <br><div class="gmail_signature"><div dir="ltr"><div>Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a>    | Twitter: @KevinWWall<br>NSA: All your crypto bit are belong to us.</div></div></div>
</div></div>