<div dir="ltr">You can use anything for evil. This is a pointless conversation as eventually you will be talking about how you could suffocate someone by cramming bandages down their throat. <input name="virtru-metadata" type="hidden" value="{"email-policy":{"state":"closed","expirationUnit":"days","disableCopyPaste":false,"disablePrint":false,"disableForwarding":false,"expires":false,"isManaged":false},"attachments":{}}"><div><br></div><div>You ask which tools were created by hackers? All of them. None of them. Take your pick. Theres a very fine line between a hacker and a security pro. Its just a word. My point is it doesnt matter. Look at <a href="http://www.l0phtcrack.com/">http://www.l0phtcrack.com/</a> - Today its a security tool, but it was not always considered as such. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 23, 2016 at 12:51 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span class=""><span style="font-size:13px">>>Don't put too much faith in any infosec stat.</span><br></span><div>Would we agree at least that data breaches are rising and not decreasing? <br></div><div><br></div><div>My question was an ethical one: </div><div><b>Do creators of hacking tools feel any remorse regarding their tools being misused? </b></div><div><b>Do they feel they should take some responsibility by making the misused more difficult?</b></div><div><br></div><div>The answer is sound and clear.</div><div><br></div><div>Comparing hacking tools to screw drivers or unsafe cars is like comparing apple with oranges.</div><div>Google and LinkedIn are used for hacking , but google was not built to hack, ZAP was. </div><div><br></div><div>Now you better compare that to guns . <a href="http://science.howstuffworks.com/innovation/inventions/who-invented-the-first-gun.htm" target="_blank">Guns</a> were built to kill.</div><div>Do gun producers feel any remorse about their creations? How they are used or misused?</div><div>We can say guns defend us but they are also to blame of murders worldwide.</div><div><br></div><div>Unsafe cars are called back to return and producers get sued if people get killed because of them.</div><div><a href="http://www.bankrate.com/finance/auto/the-8-most-infamous-car-recalls-in-history-1.aspx" target="_blank">http://www.bankrate.com/finance/auto/the-8-most-infamous-car-recalls-in-history-1.aspx</a><br></div><span class=""><div><br></div><div>>><span style="font-size:13px">Hackers use tools developed for Security Pros. Security Pros use tools developed for hackers</span></div><div><br></div></span><div>@Tony, could you provide me a list of tools developed by hackers? </div><div>So far the <a href="http://pastebin.com/raw/GPSHF04A" target="_blank">list</a> Phineas provided had all offensive security tools built by 'Security Pro's'😝. </div><div>And his nice video contained a nice display using offensive security tools only.</div><div><br></div><div><b>>><span style="font-size:13px">In the end I feel that this discussing is a bit like the dilemma that </span><span style="font-size:13px">Alfred Nobel had in regards to dynamite. Perhaps we as OWASP can find </span><span style="font-size:13px">another way in help/promote security to become more mainstream. I am </span><span style="font-size:13px">hopeful that with this discussion we can find this way forward.</span></b></div><div><span style="font-size:13px"><br></span></div><div>YES. @Steven, to me, you could be more right.</div><div>We keep on thinking like we are,  focusing on the same old, nothing will change and hackers will keep on using offensive 'security' tools to compromise systems.</div><div><br></div><div>You might all want to read this research and the Washington post article and think a little more regarding the core of the discussion.</div><div><span style="font-family:'Times New Roman,Bold';font-size:9pt"><br></span></div><div><font face="arial, helvetica, sans-serif"><b>In this paper I'll evaluate how some of the most popular
security tools are intended to be used, how they have or
may be used in sinister ways, and how the risks
associated with them may be mitigated (If I am able to
determine that in my research). </b></font><br></div><div><div title="Page 1"><div><div><p><a href="https://sever.wustl.edu/degreeprograms/cyber-security-management/SiteAssets/DENTON%20FINAL%20PAPER%20Security%20Tools%20v5%207-27-15.pdf" target="_blank">https://sever.wustl.edu/degreeprograms/cyber-security-management/SiteAssets/DENTON%20FINAL%20PAPER%20Security%20Tools%20v5%207-27-15.pdf</a><br></p><p><a href="https://www.washingtonpost.com/postlive/the-ethics-of-hacking-101/2014/10/07/39529518-4014-11e4-b0ea-8141703bbf6f_story.html" target="_blank">https://www.washingtonpost.com/postlive/the-ethics-of-hacking-101/2014/10/07/39529518-4014-11e4-b0ea-8141703bbf6f_story.html</a><br></p><p><br></p><p>P.S: ZAP is an awesome tool, whether is used for evil or good. But lets not deny it,  that is being used for evil too.</p><p><br></p><p><br></p>
                                </div>
                        </div>
                </div></div><div><br></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><span class=""><br><div class="gmail_quote">On Mon, May 23, 2016 at 11:11 AM, Timothy D. Morgan <span dir="ltr"><<a href="mailto:tim.morgan@owasp.org" target="_blank">tim.morgan@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span><br>
> The stats regarding data breaches are uprise. Why? Now more than ever,<br>
> there are more data breaches and for what the data and stats tells me is<br>
> what ever is happening, we don't do enough or we do the wrong things to<br>
> help appsec security.<br>
<br>
</span>Don't put too much faith in any infosec stat.  When you look hard at how the<br>
data is collected, you quickly realize it is the tip of the tip of the tip of<br>
an iceberg.  There's huge room for bias in the collection.  It's easy to ask<br>
for more data, but getting *good* data of the *kind we want* is usually<br>
impossible.  After all, those that have the most knowledge of breaches are the<br>
intruders, not the defenders, and they usually aren't very forthcoming.<br>
<br>
tim<br>
<br>
<br>
</blockquote></div><br><br clear="all"><div><br></div></span><span class="">-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</span></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><font color="#888888">Tony Turner<br>OWASP Orlando Chapter Founder/Co-Leader</font></div><div><font color="#888888">WAFEC Project Leader</font></div><div><font color="#888888">STING Game Project Leader<br><a href="mailto:tony.turner@owasp.org" target="_blank">tony.turner@owasp.org</a></font><div><a href="https://www.owasp.org/index.php/Orlando" target="_blank">https://www.owasp.org/index.php/Orlando</a></div></div></div></div></div></div></div></div>
</div>