<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On May 22, 2015, at 12:12 PM, Steve Lord <<a href="mailto:stlord@gmail.com" class="">stlord@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class="">Hi Daniel,<br class=""><br class="">So after my talk, I sat down with Josh Corman from I am the Cavalry, and a chap called Felix from FSF Europe. There were a few ideas batted around, and I was wondering what your thoughts are on them. I totally get that this is out of the blue and a bit left field, so feel free to take your time and have a proper think, and let me know. Ultimately Iíll support whatever you think is right. I donít have a lot of free time to spare, but Iíll try to help where I can.<br class=""></div></blockquote><div><br class=""></div>Sounds great, man. Thanks for taking the time.</div><div><br class=""><blockquote type="cite" class=""><div class="">1. Perceptions of an OWASP Top 10.<br class=""><br class="">One area of agreement was that the OWASP Top 10 (the big one) is one of OWASPís most successful projects. However, because of itís success, itís viewed as a panacea and a standard rather than as a starting point for discussion. The IoT industry, insurers and regulators are looking for standards in this space, and thereís a strong chance that OWASP could be a strong influencer in this area. However, it would be a terrible shame to not learn from the mistakes of the Top 10, especially when thereís already other work in this space (specifically I am the Cavalryís 5 star programme).<br class=""></div></blockquote><div><br class=""></div>I agree that the OWASP structure has some limitations, including the history of its most famous projects, but I donít think itís a reason to abandon it as a platform for raising awareness. I think we just need to be thoughtful about our approach.</div><div><br class=""></div><div>As Iíll talk about below, I think weíre taking a much different track than most OWASP projects by giving prescriptive guidance, displayed prominently via tabs, for various groups to benefit from.</div><div><br class=""></div><div>The #1 thing that we on this project see out there is a desire for prescriptive advice. They want to know the few things that they should definitely be doing, and the few things that they should definitely be avoiding.</div><div><br class=""></div><div>I think thatís a spectacular use case for an OWASP project, and thatís precisely what weíre set out to deliver.</div><div><br class=""><blockquote type="cite" class=""><div class="">2. Structure of an OWASP IoT project.<br class=""><br class="">In my discussions, there was broad agreement that OWASP is at itís best influencing and supporting other projects. </div></blockquote><div><br class=""></div>Iíd say that differently I think. Iíd say that each project should have a focus, and that each should pivot out to other projects where necessary, but if itís just supporting other projects then it shouldnít exist at all. At that point itís just a distraction.</div><div><br class=""><blockquote type="cite" class=""><div class="">A Top 10 is fine, but is a single document that could be a component of a larger, broader role in IoT for OWASP. What would your views be on engaging people like <a href="http://Builditsecure.ly" class="">Builditsecure.ly</a>, I am the Cavalry and some vendors to assist in a broader IoT project?<br class=""></div></blockquote><div><br class=""></div>Great question. Iíve already had meetings with Mark and Zach of <a href="http://Builditsecure.ly" class="">Builditsecure.ly</a>, and have had a couple conversations with Josh as well about this, for the exact purpose of cross-project cooperation.</div><div><br class=""></div><div>My goal there was (and continues to be) to find out what each project is good at, and play to those strengths. I even did a post about it here: <a href="https://danielmiessler.com/blog/iot-community-project/" class="">https://danielmiessler.com/blog/iot-community-project/</a> </div><div><br class=""></div><div><img apple-inline="yes" id="8C007E0E-FC32-423F-8AAE-E39DF0047FE5" height="640" width="460" apple-width="yes" apple-height="yes" src="cid:ED085DA1-FE43-44C0-91CE-E25EA2599C28@danielmiessler.lan" class=""></div><div><br class=""></div><div>In short, the OWASP project is about quick prescriptive guidance for groups in various contexts, e.g., manufacturers, testers, developers, and consumers. <a href="http://BuildItSecure.ly" class="">BuildItSecure.ly</a> is about connecting researchers to SMBs to help get their products tested, and I Am The Cavalry is focused on securing IoT as it relates to public safety.</div><div><br class=""></div><div>I think thatís a pretty clean distinction, and I happily and frequently refer people to Mark/Zach/Joshís projects all the time.</div><div><br class=""></div><div><blockquote type="cite" class=""><div class="">Furthermore, how would you feel about OWASPís primary role in IoT being more of a point of presence for assisting vendors, developers and manufacturers in finding known good IoT info rather than relying on solely producing it ourselves? </div></blockquote><div><br class=""></div><div>I thought about that initially, but I donít think thereís as much force behind a project thatís a collection of links to go elsewhere as there is for one resource for prescriptive help. And from there they can go and read deeper in various other places.</div><div><br class=""></div><div>Hereís how we have it broken down in the top tabs:</div><div><br class=""></div><div><img apple-inline="yes" id="37AB7E96-E7D9-4D53-AD2E-045F75EA49A1" height="98" width="531" apple-width="yes" apple-height="yes" src="cid:334D0DA3-181C-4147-91DD-C786E6F5026B@danielmiessler.lan" class=""></div><div><br class=""></div>The tabs for each role/context are what we think is helpful, and weíve heard the same from users. Then in each section we have the following:</div><div><br class=""></div><div><img apple-inline="yes" id="236BE375-F122-414C-BA11-C26FCB69ED8C" height="283" width="531" apple-width="yes" apple-height="yes" src="cid:CAE9C063-B650-4E1D-A34F-6DF507AA44EB@danielmiessler.lan" class=""></div><div><br class=""></div><div>Itís not comprehensive. Itís not the end of the story. But itís a damn good start for addressing the biggest problems. And again, we can link out to other projects where appropriate.</div><div><br class=""></div><div>One thing Iíll mention here is that Iím not a fan of the ďTop 10Ē part of this project. Iím good with mapping the top attack surface areas, which is really what Iím focusing on, but I dislike the ďTop 10Ē legacy that weíre forced into. Iíd like to drop it from the name actually, but Iím concerned about the fallout given how familiar it is to people.</div><div><br class=""><blockquote type="cite" class=""><div class="">3. Modifications to the OWASP IoT Top 10<br class=""><br class="">How set in stone are you on the current line-up? How up for debate on the structure are you?<br class=""></div></blockquote><div><br class=""></div>Not at all set in stone. Really looking for feedback and modifications. Iím stoked about getting this feedback from you, and look forward to working with you to improve the project.</div><div><br class=""></div><div>Best,</div><div><br class=""></div><div apple-content-edited="true" class="">
<span><img height="73" width="124" apple-inline="yes" id="6BC2DD85-6A31-4B4F-B411-A621A9A7B0CA" apple-width="yes" apple-height="yes" src="cid:BA900F74-2E63-4E64-BAFB-5F096DA39D1A@danielmiessler.lan" class=""></span><div style="color: rgb(0, 0, 0); font-family: 'Equity Text A'; font-size: 18px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><br class="Apple-interchange-newline">Daniel Miessler</div><div style="color: rgb(0, 0, 0); font-family: 'Equity Text A'; font-size: 18px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">OWASP IoT Project Leader</div><div style="color: rgb(0, 0, 0); font-family: 'Equity Text A'; font-size: 18px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><a href="mailto:Daniel.Miessler@owasp.org" class="">Daniel.Miessler@owasp.org</a> </div>
</div>
<br class=""></body></html>