<div dir="ltr">My replies:<br><div class="gmail_extra"><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><span class=""><div><br></div><div><b>>><span style="font-size:13px">OK, so I now have no idea if you are for your original proposal or against it ;)</span></b></div></span><div>I like to support based on facts. Data. Stats. We don't have any of this to support that ZAP is being more abused and that actually is really helping security. fact is there are more breaches now and more hactivist using and promoting ZAP for the bad reasons.<span class=""><br></span></div></div></blockquote><div><br></div><div>You should know that these sort of facts are virtually impossible to come by.<br></div><div>We have no way of tracking who's downloaded ZAP.<br></div><div>We have no way of knowing wh'o uses ZAP via repos like Kali.<br></div><div>We have no way of knowing who's built ZAP from the source code.<br><br></div><div>This is the same for all open source security tools.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span class=""><div><b>>><span style="font-size:13px"> </span><span style="font-size:13px">I did worry before I released ZAP that I might be adding to the problem rather than reducing it. </span><span style="font-size:13px">I dont believe thats the case now</span></b></div></span><div>How do you know? Do we have stats to support this is not the case? If you have data, show me.</div></div></div></blockquote><div><br></div><div>I dont "know". Realistically there is no way to know. I said "I believe". This is based on all of the interactions I have with people who use ZAP.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span class=""><div><br></div><div><b>>><span style="font-size:13px">I'm pretty sure that the vast majority of people who use ZAP use it for the right reasons</span></b></div></span><div><span style="font-size:13px">Again. Do we have stats to support your view? You could be bias </span>because ZAP is an 'attack' tool and the nature of it basically is for breaking into web apps.Do you feel responsible for this part?</div></div></div></blockquote><div><br></div><div>Of course I'm biased. We all are.<br></div> <blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span class=""><div><br></div><div><b>>><span style="font-size:13px">FYI the licences used for some of the code included in ZAP preclude the sale of any software that uses it.</span></b></div></span><div>Blackhats in the onion don't care about these licenses. They will sell a version if it makes a buck.</div></div></div></blockquote><div><br></div><div>That was kind of my point, but never mind.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span class=""><div><br></div><div><b>>><span style="font-size:13px">And as a side note, I dont think that the checks put in place by SaaS products are there to protect end users.</span></b></div><span style="font-size:13px"><b>They are to protect the SaaS service from being misused and therefore reducing their liability</b></span></span></div><div>Being misused.That is the point. How do you know that ZAP is not being misused by the majority? Actually that counts for all the attack tools in the appsec arena. However, ZAP has many free features that no commercial tool is giving for free. <span class=""><br><div><br></div><div><b>>><span style="font-size:13px">Nothing wrong with that, and its already a feature I planned to add to ZaaS.</span></b></div></span><div>To avoid misused I assume. but will the ZaaS be open source too? I mean, anyone can take the code and adapted too right? How do you know that won't be Zaas in the onion offering that service using Zaas?mmm looks like a business our blackhats could begin with...</div></div></div></blockquote><div><br></div><div>Yes, ZaaS will be open source.<br></div><div>Verification checks will be added to it to protect whoever runs ZaaS. We'll probably even make it configurable so that they dont have to edit the code to turn off these checks.<br></div><div>Those checks will not be there to protect sites that could be targeted by a ZaaS instance because they would be easy to disable.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span class=""><div><br></div><div><span style="font-size:13px"><b>>>I think it would probably be the end of ZAP as a popular security tool and that would actually make the internet a little bit less secure.</b></span><br></div></span><div>Popular among who? You bet less people will download it but since we have no stats of what kind of peeps are using it for, you cannot conclude this easily.<br></div></div></div></blockquote><div><br></div><div>Ditto all open source security tools.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div></div><div><br></div><div>Hey Simon, this whole discussion is a psychological confrontation regarding building attack tools that are being misused.</div><div>So please, forgive me if I'm confronting you with did, but I just wanted to check how do developers of these tools feels about</div><div><br></div><div>The stats regarding data breaches are uprise. Why? Now more than ever, there are more data breaches and for what the data and stats tells me is what ever is happening, we don't do enough or we do the wrong things to help appsec security.</div><div><a href="http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/" target="_blank">http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/</a></div></div></div></blockquote><div><br></div><div>OK, you've made your point.<br></div><div>I disagree with you, and I suspect we will just have to agree to disagree :)<br></div><div>So far everyone who's contacted me directly or in response to <a href="https://twitter.com/psiinon/status/734670336780828673">https://twitter.com/psiinon/status/734670336780828673</a> has agreed with me.<br><br></div><div>I look forward to feedback from other people on this list.<br><br></div><div>Cheers,<br><br></div><div>Simon<br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><br></div><div><br></div><div>regards</div><span class=""><font color="#888888"><div><br></div><div>Johanna</div><div><br></div><div><br></div></font></span></div></div><div class=""><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 23, 2016 at 4:50 AM, psiinon <span dir="ltr"><<a href="mailto:psiinon@gmail.com" target="_blank">psiinon@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div>OK, so I now have no idea if you are for your original proposal or against it ;)<br><br></div>I think its a bad idea.<br><br></div><div>As I mentioned before, I did worry before I released ZAP that I might be adding to the problem rather than reducing it.<br></div><div>I dont believe thats the case now, but if I ever do come to the conclusion that ZAP is making the internet less secure then I'll stop working on it.<br></div><div>I'm pretty sure that the vast majority of people who use ZAP use it for the right reasons, and they more than make up for the minority who use it for the wrong reasons.<br></div><div><br><div>FYI the licences used for some of the code included in ZAP preclude the sale of any software that uses it.<br></div><div>We
 can not legally charge money for the ZAP software. Even if we could, I 
always wanted ZAP to be a completely free tool that anyone can use and get involved in developing.<br></div><div>I've always stated that there will be no 'pro' version of ZAP and I'm not going to go back on that.<br></div><br></div>And as a side note, I dont think that the checks put in place by SaaS products are there to protect end users.<br></div>They are to protect the SaaS service from being misused and therefore reducing their liability.<br></div>Nothing wrong with that, and its already a feature I planned to add to ZaaS.<br></div>I'm not aware of any desktop tool implementing such a feature _except_ as a way to protect revenues.<br></div>If anyone has any counter examples please shout.<br><br></div><div>So, the reasons why I'm against adding verification checks to desktop ZAP:<br><br></div><div><div>ZAP will not be usable against many legitimate sites, such as 
deliberately vulnerable test sites and sites taking part in bounty 
programs.<br></div>Such checks would significantly reduce the number of people using ZAP. If I'm right in my above assumption then many more people who currently use it for good will stop using it that the ones who use it for bad things.<br></div>Most users will just stop using ZAP and will either use nothing or alternative tools.<br><div>Some people will fork ZAP and remove those checks. These forks will either get out of date or will be updated independently of the 'official' repos, completely fragmenting ZAP development.<br></div><div>Some people will offer 'cracked' versions of ZAP, many of which will probably be infected by malware.<br><br></div>I think it would probably be the end of ZAP as a popular security tool and that would actually make the internet a little bit less secure.<br><div><div>Anyone can of course fork ZAP and put verifications steps in, but I would be extremely surprised if such a fork would take off.<br></div><div></div>I'd be interested in other people views on this, but dont expect to see verification in _desktop_ ZAP any time soon ;)<br></div><br><div>Cheers,<br><br></div><div>Simon<br></div><br></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Mon, May 23, 2016 at 2:17 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div><div dir="ltr"><span><font face="arial, helvetica, sans-serif"><b><div style="display:inline">On </div><div style="display:inline">the plus side, most people running nmap scans do not have </div><div style="display:inline">the patience or prerequisite knowledge to use nmap in that </div><div style="display:inline">manner.</div></b><br></font></span><div><div style="display:inline"><font face="arial, helvetica, sans-serif">>>Exactly so the most known patterns probes of this type would be identified.Only a very selected group of hackers know how to play with Nmap in this way...</font></div></div><span><div><div style="display:inline"><font face="arial, helvetica, sans-serif"><br></font></div></div><div><b><font face="arial, helvetica, sans-serif"><div style="display:inline">>></div>So, you are NOT disagreeing that ZAP would be modified and made available, but rather that whether or not it would be made available for free???</font></b></div><div><font face="arial, helvetica, sans-serif"><br></font></div></span><div><font face="arial, helvetica, sans-serif">Yes. It is a business opportunity. Right? pay Burp USD 300/year or adapt ZAP 😝 and charge for it.</font></div><span><div><font face="arial, helvetica, sans-serif"><br></font></div><div><b><font face="arial, helvetica, sans-serif">>>-would in fact cause black hats to PROFIT from modifying and then reselling ZAP? So rather than restricting ZAP from the hands of malevolent people, you instead--as a likely unintended consequence--cause these same people to further profit from ZAP.</font></b></div><div><div style="display:inline"><font face="arial, helvetica, sans-serif"><br></font></div></div></span><div><div style="display:inline"><font face="arial, helvetica, sans-serif">Well, reality is, they already are profiting. We are giving the whole Zap for free 😁.Now we cause them more trouble but off course this is also a business opportunity for those with resources. I honestly think that we make their lives more difficult because now instead of downloading Zap for FREE they have to pay 😝</font></div></div><span><div><div style="display:inline"><font face="arial, helvetica, sans-serif"><br></font></div></div><div><b><font face="arial, helvetica, sans-serif"><div style="display:inline">>></div>But let's not do something that will leave the end situation worse than what we started. You are a hacker, so when you propose these things, think like one and how you would go about getting around those obstacles.</font></b></div><div><b><font face="arial, helvetica, sans-serif"><br></font></b></div></span><div><font face="arial, helvetica, sans-serif">Well that why I asked you , did you get into ZAP code? You talk like is the easiest thing to do. </font></div><div><font face="arial, helvetica, sans-serif">How many pentesters here can get into ZAP development? No many I assure you.</font></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">I think Kevin, you are thinking way too complex about cyber criminals/hacktivits.<br></font></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">Most use the same darn tools <i>for free</i> we make available to them.Some , just some adapt them, write their own scripts and for this, they use the same darn OS tools like Nmap and Kali distro and the powerful NSE engine to write on top their exploits or automate their attacks.</font></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">I for example took NSE and have adapted to my purposes. Wrote a Joomla exploit but i'm not releasing that.I have no need to show what I do, just for myself.I honestly don't want to help others to hack.</font></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><div style="display:inline"><font face="arial, helvetica, sans-serif">check Phineas hacking tutorial:</font></div></div><div><font face="arial, helvetica, sans-serif"><div style="display:inline">"</div><span style="color:rgba(35,37,40,0.7)">There are a lot of hackers in that world who are better than I am, but disgracefully fritter away their knowledge working as "defence" contractors, for intelligence agencies, protecting banks and corporations and defending the established order"</span></font></div><div>So Phineas is just another pen tester working for the other side...or God knows maybe be Security Specialist during the day, Hacker at night.</div><div><br></div><div>Did you know that OWASP had a Luzsec hacker just like that. Maybe Phineas is just an OWASP volunteer...God knows😎<br></div><div><a href="http://www.reuters.com/article/us-cyber-arrests-martyn-idUSBRE82807M20120309" target="_blank">http://www.reuters.com/article/us-cyber-arrests-martyn-idUSBRE82807M20120309</a><br></div><div><br></div><div>"<span style="font-family:arial,helvetica,sans-serif">Darren Martyn, who was named in an indictment unsealed in Manhattan federal court on Tuesday, was a local chapter leader of the Open Web Application Security Project, which develops open-source applications to improve security, according to an official at the international group."</span></div><div><br></div><div><br></div></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Sun, May 22, 2016 at 8:03 PM, Kevin W. Wall <span dir="ltr"><<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><span>On Sun, May 22, 2016 at 6:55 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br></span><div class="gmail_quote"><span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Definitely Bev :-)<div><br></div><div>In fact this is the kind of thing we should discuss.Should we start a formal process to bring this to a panel discussion? </div></div></blockquote></span><div><br><div style="font-family:monospace,monospace;display:inline">​Let's let this thought experiment play out a little bit longer<br></div><div style="font-family:monospace,monospace;display:inline">before we do that.<br>​</div> </div><span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>I started developing a tool 'Nmapalyzer': <a href="https://github.com/ossecsoft/nmapalyzer" target="_blank">https://github.com/ossecsoft/nmapalyzer</a></div><div><span style="color:rgb(51,51,51);font-family:"Helvetica Neue",Helvetica,"Segoe UI",Arial,freesans,sans-serif,"Apple Color Emoji","Segoe UI Emoji","Segoe UI Symbol"">Is a tool to identify the data packages sent by NMAP probes. </span><span style="color:rgb(51,51,51);font-family:"Helvetica Neue",Helvetica,"Segoe UI",Arial,freesans,sans-serif,"Apple Color Emoji","Segoe UI Emoji","Segoe UI Symbol"">Reverse engineering of nmap TCP sent packages to a target machine</span></div><div><a href="https://www.gitbook.com/book/marylinh/nmapalyzer/details" target="_blank">https://www.gitbook.com/book/marylinh/nmapalyzer/details</a><br></div><div><br></div><div>So Bev, there are commercial solutions doing this and some OS but not extensively. My plan with the Nmapalyzer is to help detect network traffic(passive) and set  the information with a nice dashboard. It is in research phase right now.</div><span><div><br></div></span></div></blockquote></span><div><div style="font-family:monospace,monospace;display:inline">​A noble example, but one that will not be easy. Fy​odor designed nmap with options, when appropriately used, that allows nmap<br></div><div style="font-family:monospace,monospace;display:inline">to be evasive and avoid detection. Good luck with that. On<br></div><div style="font-family:monospace,monospace;display:inline">the plus side, most people running nmap scans do not have<br></div><div style="font-family:monospace,monospace;display:inline">the patience or prerequisite knowledge to use nmap in that<br></div><div style="font-family:monospace,monospace;display:inline">manner.<br><br></div></div><span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><span><div></div><div>>><span style="font-size:13px">But given that it IS open source, a hacker would simply fork it </span><span style="font-size:13px">on GitHub or BitBucket or wherever and just point fellow black hats at </span><span style="font-size:13px">the modified source at some other URL.</span></div><div><span style="font-size:13px"><br></span></div></span><div>Simply?😏 He do you have fellow blackhat friends that give you exploit kits for free?<span style="font-size:13px"><br></span></div></div></blockquote></span><div><br><div style="font-family:monospace,monospace;display:inline">​Okay; yo​</div><div style="font-family:monospace,monospace;display:inline">​u got me on that one--in the general sense. But in the<br></div><div style="font-family:monospace,monospace;display:inline">case of ZAP and Phineas, I think he would release the tweaked<br></div><div style="font-family:monospace,monospace;display:inline">ZAP for free. Phineas is doing this more as hacktivism rather<br></div><div style="font-family:monospace,monospace;display:inline">than profit and hacktivists are generally not motivated by<br></div><div style="font-family:monospace,monospace;display:inline">money.<br>​</div>​</div><span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span style="font-size:13px"></span></div><div>blackhats don't give anything for free.Which blackhats are developing 'open source hacking tools' and giving tools for free like we do? No one, wether you pay 1 dollar or 300 for anything, they need to make a living.<br></div></div></blockquote></span><div><br><div style="font-family:monospace,monospace;display:inline">​Well, only hacktivists. I suppose whether you view them as<br></div><div style="font-family:monospace,monospace;display:inline">"black hats" or "gray hats" or "white hats" depends on<br></div><div style="font-family:monospace,monospace;display:inline">your perspective of whether or not they are engaging in<br></div><div style="font-family:monospace,monospace;display:inline">activities which you perceive as fair and just. But I think<br></div><div style="font-family:monospace,monospace;display:inline">that most in that crowd are 1) in violation of some laws,<br></div><div style="font-family:monospace,monospace;display:inline">and 2) freely share their hacktivist tools with their<br></div><div style="font-family:monospace,monospace;display:inline">colleagues for the greater cause.<br><br></div></div><span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div><span style="font-size:13px"><br></span></div><div>Have you check ZAP code? Maybe this part should not be at all documented . Believe me he will move to BURP or tamper data faster than just go and take the time to change this. and give it for free...</div><div><br></div><div>Now a professional blackhat will invest his time/money and distribute a version but it will charge some money for it, just as done with malware exploitation kits.</div><div><br></div><div>I bet you 100USD than the moment ZAP does this, download of this new version will decrease by 50% and  a blackhat will make a version for sale for a very good price in the dark web (charge USD20 instead of buying BURP for USD300/year)</div><div>Want to bet?</div></div></blockquote></span><div><br><div style="font-family:monospace,monospace;display:inline">​So, you are NOT disagreeing that ZAP would be modified and<br></div><div style="font-family:monospace,monospace;display:inline">made available, but rather that whether or not it would be<br></div><div style="font-family:monospace,monospace;display:inline">made available for free???<br><br></div><div style="font-family:monospace,monospace;display:inline">So don't you see the here? What you are proposing--to<br></div><div style="font-family:monospace,monospace;display:inline">have ZAP be restrained in some manner (e.g., by ​looking<br></div><div style="font-family:monospace,monospace;display:inline">for some specific file name or a file with some specific<br></div><div style="font-family:monospace,monospace;display:inline">contents)--would in fact cause black hats to PROFIT from<br></div><div style="font-family:monospace,monospace;display:inline">modifying and then reselling ZAP? So rather than restricting<br></div><div style="font-family:monospace,monospace;display:inline">ZAP from the hands of malevolent people, you instead--as<br></div><div style="font-family:monospace,monospace;display:inline">a likely unintended consequence--cause these same people to<br></div><div style="font-family:monospace,monospace;display:inline">further profit from ZAP.<br><br></div><div style="font-family:monospace,monospace;display:inline">Is that really what you want? I think not. We need to be<br></div><div style="font-family:monospace,monospace;display:inline">careful before we jump to conclusions here.  And even if<br></div><div style="font-family:monospace,monospace;display:inline">ZAP was not open source, the fact that it compiles into<br></div><div style="font-family:monospace,monospace;display:inline">Java byte code makes it trivial to decompile. (And obfuscators<br></div><div style="font-family:monospace,monospace;display:inline">can only do so much.)<br><br></div><div style="font-family:monospace,monospace;display:inline">But let's not do something that will leave the end situation<br></div><div style="font-family:monospace,monospace;display:inline">worse than what we started. You are a hacker, so when you<br></div><div style="font-family:monospace,monospace;display:inline">propose these things, think like one and how you would go<br></div><div style="font-family:monospace,monospace;display:inline">about getting around those obstacles.<br></div></div></div><br>-<div style="font-family:monospace,monospace;display:inline">​kevin​</div><span><br>-- <br><div><div dir="ltr"><div>Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a>    | Twitter: @KevinWWall<br>NSA: All your crypto bit are belong to us.</div></div></div>
</span></div></div>
</blockquote></div><br><br clear="all"><div><br></div></div></div><span>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</span></div>
<br></div></div><span>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></span></blockquote></div><span><font color="#888888"><br><br clear="all"><br>-- <br><div><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><a href="https://www.owasp.org/index.php/ZAP" target="_blank">OWASP ZAP</a> Project leader<br></div>
</div></div>