Datenleck bei Facebook und SMS-Spam (updated)

Seit einigen Tagen erhalte ich teilweise mehrmals täglich SMS-Nachrichten, die thematisch immer den gleichen Inhalt haben:

  • Ihr Paket wird heute zugestellt.
  • Ihr Paket liegt zur Abholung bereit.
  • Ihr Paket wird in 30 Minuten zugestellt.
  • Ihr Paket wurde zum Absender zurück geschickt.

Natürlich in schlechtem Deutsch und ohne weitere Angaben. Gefolgt von einem verdächtigen Link, bei dem schon die Domain vollkommen abwegig aussieht. Hier hat sich also jemand nicht mal die Mühe gemacht, die Domains der großen Logistiker nachzuahmen. Teilweise fordern die SMS auch auf, dass man die eigenen Angaben vervollständigen müsse. Und immer: Man soll doch unbedingt auf den Link klicken.

Medienberichten zu folge betrifft dies eine Vielzahl von Handynutzern in Deutschland. Das BSI meldet, dass sich hinter dem Link in der Regel der Android-Trojaner FluBot verbirgt und man solle selbstverständlich keinesfalls den Link anklicken. Aber woher kommt diese Spam-Welle?

Nur wenige Tage zuvor wurden die Daten von 533 Millionen Facebook-Nutzern öffentlich. Neben persönlichen Informationen sind dabei auch die Telefonnummern der User veröffentlicht worden. Es ist allerdings nicht so einfach herauszufinden, ob man selbst von dem Datenleck betroffen ist. Facebook jedenfalls hat bereits mitgeteilt, dass sie NICHT die User darüber informieren möchten, ob sie betroffen sind.

Was kann man jetzt machen? Auf der Webseite https://fbleak.freddygreve.com/ kann man anhand des Links zur eigenen Facebook-Profil-Seite prüfen, ob man betroffen ist von dem Datenleck. Und nun? Kann man eigentlich wenig machen. Den Link nicht anzuklicken und die SMS zu löschen ist ja selbstverständlich. Leider hat man sonst nicht viele Möglichkeiten. Um sicherzugehen, nicht in eine Abofalle zu tappen, empfiehlt F. Greve die Drittanbietersperre beim Provider einzurichten. Problem ist dann nur, dass dann auch legitime Abbuchungen über die Mobilfunkrechnung nicht mehr möglich sind.

Den Umgang Facebooks mit dem Datenleck sehe ich kritisch. Es wirkt so, als würde es Facebook nicht im Ansatz interessieren, dass Ihnen Daten abhanden gekommen sind. Angeblich ist dies auf eine Sicherheitslücke zurückzuführen, die 2019 geschlossen wurde und damit ist der Fall für Facebook abgeschlossen. Zumindest eine umfassende Information der betroffenen User hätte ich von Facebook erwartet. Es sind schließlich nicht alle User so technik-affin und können die Fake-SMS als solche identifizieren.

Update:
Der SMS-Spam hat bei mir vor einigen Tagen plötzlich stoppt. Bisher habe ich noch keine Meldung gefunden, ob es hier ggf. ein Eingreifen der Provider gab oder was nun dafür gesorgt hat, dass die SMS aufhören.

100 Days of Hacking ?

Derzeit überlege ich, wie ich mein Wissen und meine Fähigkeiten im Bereich Penetration Testing zielgerichtet und strukturiert weiter ausbauen kann. Es gibt da diese Herausforderung #100daysofX, die sich an alle möglichen Verhaltensänderungen richtet. Bei der Challenge geht es darum, 100 Tage am Stück ohne Unterbrechung an einem Thema zu arbeiten. Dabei soll man jeden Tag mindestens 1 Stunde investieren und seinen Fortschritt idealerweise via Twitter öffentlich dokumentieren.

Die Idee finde ich gut, nur überlege ich gerade wie ich das am besten starten kann. Viele haben diese Challenge als 100 Days of Code gemacht. Bei Programmieren geht das vielleicht etwas leichter. Man kann sich immer wieder ein neues Framework oder eine fiktive Aufgabe überlegen und an dieser arbeiten.

Ich plane mir das erstmal etwas durch. Eine Idee wäre, kontinuierlich an alten HackTheBox VMs zu arbeiten. Mir ist das allerdings zu unstrukturiert. Beim TryHackMe Advent of Cyber habe ich gemerkt, dass man bei diesen CTF-ähnlichen Challenges zwar sehr schnell mit sehr vielen Tools und Konzepten in Berührung gebracht wird, aber selten wirklich den Funktionsumfang, bspw. von Gobuster, betrachtet. Oder was kann man mit nmap alles machen und welche Konsequenzen haben die verschiedenen Scanoptionen?

Eine weitere Idee ist, dass ich mich an einem Buch orientiere. Zum Geburtstag habe ich mir das Buch „Exploit!“ von Gebeshuber, Teiniker und Zugaj schenken lassen. Alternativ habe ich aus dem selben Verlag noch das Buch „You’ve been hacked“ von Eilers hier, in das ich bisher auch nur punktuell reingelesen habe. Der Plan wäre dann das Buch durchzuarbeiten von Seite 1 bis zum Ende. Jeden Tag eine Stunde. Und dann werde ich ja sehen, wo ich zeitlich lande.

Humble Bundle Hacker 101

Es ist Dezember und damit wieder die Zeit der Geschenke. Geschenkt bekommt man zwar nichts im aktuellen Humble Bundle, jedoch ist der Preis so niedrig, dass es fast wie geschenkt ist.

Humble Bundle hat mit dem „Hacker 101“ Bundle mal wieder einige Klassiker aus dem Bereich der IT-Sicherheit von No Starch Press als E-Book im Angebot. Neben klassischen Büchern, wie Jon Ericksons „Hacking: The Art of Exploitation“ in der 2. Auflage, gibt es bei der aktuellen Aktion auch aktuellere Bücher wie „Black Hat Go“ von Steele, Patten und Kottmann (1. Aufl., 2020) oder „Web Security for Developers“ von Malcom McDonald (1. Aufl., 2020). Generell finde ich die Bücher von No Starch Press im Bereich IT-Security besonders gut und kaufe daher gerne auch die neuen Publikationen von diesem Verlag, weshalb ich hier auch auf dieses Humble Bundle hinweisen möchte.

Auch wenn ich einige der Bücher bereits in gedruckter Form besitze, hat sich das Bundle für mich gelohnt und ich habe für den Preis zugeschlagen. Für etwas mehr als 15 € erhält man alle 16 Fachbücher der Aktion. Einige davon hatte ich sowieso schon auf meiner Wunschliste. Und nebenbei unterstützt man auch einen guten Zweck. Einen Teil der Kosten kann man direkt an die National Coalition Against Censorship spenden.

Wer sich dafür interessiert, hier ist der Link zu diesem IT-Security- und Hacking-bezogenen Humble Bundle: https://www.humblebundle.com/books/hacking-101-no-starch-press-books

Achja, dies ist selbstverständlich nur eine Empfehlung und keine Aufforderung zum Kauf! (#unbezahlteWerbung) 🙂

Walkthrough – Lame (HTB)

In diesem Beitrag beschreibe ich meine erste Maschine, die ich bei Hack The Box gelöst habe. Da es meine erste Box war, brauchte ich leider an einer Stelle einen Hinweis. Dennoch war es interessant diese einfache Maschine zu lösen.

Recon

Nach dem Start der VM ist diese über das VPN von Hack The Box erreichbar. Mittels ping sehe ich, dass ich die Maschine unter der IP 10.10.10.3 erreichen kann.

Ein Scan der Ports mit nmap bringt mir:

PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3632/tcp open distccd

139 und 445 sind Ports für samba. Ein erster Verbindungsversuch klappt leider nicht. Der Befehl unten bringt nur eine Fehlermeldung.

Nach Recherche zu dem Fehler habe ich herausgefunden, dass die Maschine vermutlich SMBv1 verwendet, die seit langem deprecated ist. Mit der folgenden Option im Befehl kann man aber SMBv1 erzwingen:

Damit kann man sich mit der Maschine verbinden und bekommt folgende Infos:

Enter WORKGROUP\root’s password:
Anonymous login successful

Reconnecting with SMB1 for workgroup listing.
Anonymous login successful

In die einzelnen Verzeichnisse kann man sich entweder als anonymer User nicht verbinden oder es sind keine interessanten Daten enthalten, bspw. in /tmp .

smb: > dir
. D 0 Tue Jul 14 09:39:02 2020
.. DR 0 Sun May 20 20:36:12 2012
5118.jsvc_up R 0 Tue Jul 14 09:09:05 2020
.ICE-unix DH 0 Tue Jul 14 09:07:57 2020
.X11-unix DH 0 Tue Jul 14 09:08:22 2020
.X0-lock HR 11 Tue Jul 14 09:08:22 2020

7282168 blocks of size 1024. 5678808 blocks available

Exploit

Die Maschine nutzt also SMBv1. Dies ist die Stelle, an der ich Hilfe brauchte. Wenn man nach CVEs sucht zu SMBv1, findet man extrem viele und mir fiel es im ersten Moment schwer, hier etwas brauchbares zu finden in der Menge.

Der CVE-2007-2447 ist die richtige Adresse. Denn zu diesem CVE gibt es ein fertiges Modul in Metasploit. Der folgende Befehl startet das Modul in Metasploit:

Mit „show options“ werden die Parameter angezeigt und „set RHOSTS 10.10.10.3“ legt die Ziel-IP-Adresse fest. Der Befehl „exploit“ führt das Script anschließend aus und liefert direkt eine root-Shell auf dem Opfer-System.

Hier finden sich dann die Flags in /home/makis (user-flag) bzw. in /home/root (root-flag).

Zusammenfassung

Das grundsätzliche Problem des Opfer-Systems ist das veraltete Samba. In der Version 1, die auch seit längerem deprecated ist, finden sich viele Sicherheitslücken und das Metasploit-Modul funktioniert erschreckend einfach. Dass man damit sofort eine root-Shell auf dem Zielsystem hat, ist als besonders kritisch anzusehen.

Masterthesis abgeschlossen

Die letzten Monate war es sehr ruhig hier. Aber nicht nur hier, sondern generell meine gesamte Social-Media-Aktivität.

In den vergangenen Monaten lag mein Fokus neben dem Job zu 100% auf meiner Masterthesis und dem Abschluss meines Studiums. Seit September 2019 habe ich an der Arbeit geschrieben und diese Ende Februar diesen Jahres endlich abgegegeben. Den Abschluss bildete nun mein Kolloquium am 15. Mai. Jetzt warte ich nur noch auf das Zeugnis, das laut der Professorin, die als Zweitprüfer zugewiesen wurde, in den nächsten Wochen ankommen sollte.

Das Thema der Arbeit war der Incident-Response-Prozess für Cloud-Native-Applikationen in AWS. Hierzu wurden im Theorieteil der Arbeit zunächst der Incident-Response-Prozess, was eigentlich Cloud-Native-Anwendungen sind und die Basics von Infrastrukturen in AWS vorgestellt.

Die Methodik umfasste die Vorstellung der relevanten Dienste von AWS und deren Bewertung hinsichtlich der Eignung im Incident-Repsonse-Prozess.

Die Ergebnisse der Arbeit geben einen Überblick, welche AWS-Dienste in welcher Phase des Incident-Response-Prozess geeignet sind. Allerdings lässt sich auch erkennen, dass es hier starke Abhängigkeiten zu den eingesetzten Architekturen bei AWS gibt. Insgesamt wurde die Arbeit mit 1,7 bewertet, womit ich zufrieden bin in Anbetracht der Tatsache, dass ich das Studium neben meinem Vollzeit-Job absolviert habe.

Nun ist jedenfalls wieder Zeit da für andere Dinge. Und wohin dieser Blog geht? Wir werden sehen.

Ein neues Notebook muss her

Mein bisheriges Notebook hat nun schon 7 Jahre auf dem Buckel. Es hat mich durch den Bachelor gebracht und auch durch 75 % des Master-Studiengangs. In 7 Jahren verändert sich doch so einiges, auch die eigenen Ansprüche und Gewohnheiten. Daher war ich in den letzten Monaten auf der Suche nach einem Nachfolger.

Mein bisheriges Notebook

Im Jahr 2012 hatte ich mir das ASUS Notebook K55VM gekauft. Mit i5 Prozessor (Dual-Core) und 8 GB DDR3 RAM. Als Storage war eine 750 GB HDD verbaut. Sogar zum Gaming war das Notebook damals einigermaßen geeignet. Die 8 GB RAM waren nicht schlecht und es war immerhin eine NVIDIA GeForce GT 630M verbaut mit 2 GB RAM. Für damalige Verhältnisse und zu dem damaligen Preis echt ordentlich.

Leider genügt das heute nur noch bedingt. Die fehlende SSD-Festplatte merkt man bei jedem Neustart, da dieser sich sehr … sehr lange zieht. Und mit dem Gaming ist es auch vorbei. Selbst alte Spiele belasten das System so sehr, dass der Prozessor wegen Überhitzung aussteigt. Inzwischen habe ich auch andere Ideen, wofür ich das Notebook benötige, und da reichen mir 8 GB bei weitem nicht mehr aus. Wer schon mal Kali Linux als VM mit weniger als 2 GB RAM gestartet hat, weiß, was ich meine.

Meine Anforderungen

Ich wollte nun also ein ähnliches Notebook, aber in schnell. Kein 5 kg Gaming-Notebook, aber trotzdem mit Power für Gaming. Kein 5.000 € Gerät, aber trotzdem mit guter CPU und so viel RAM wie möglich.

Grundsätzlich benutze ich das Gerät für die üblichen Office-Anwendungen mit 15 Zoll Bildschirmdiagonale. Surfen, Texte, Tabellen, Präsentationen, Coding. Ich möchte aber auch gern meine Fähigkeiten im Bereich Offensive Security weiter ausbauen. Also benötige ich Kali Linux und diverse VMs auch mehr Arbeitsspeicher, mind. 16 GB, besser 32 GB. Der Akku sollte auch länger als 60 Minuten aushalten bei einfacher Office-Last. Außerdem war mir eine beleuchtete Tastatur wichtig, da dies mittlerweile eigentlich Standard sein sollte, am besten mit separatem Ziffernblock. Und nicht zuletzt sollten auch aktuelle Spiele ohne größere Problemen und bei normalen Einstellungen flüssig laufen. Also muss eine solide Grafikkarte dabei sein. Idealerweise sollte auch der Storage nicht zu kurz kommen. Mit HDDs will ich mich eigentlich nicht mehr rumschlagen (hallo Gaming-Notebooks!), sondern die verbaute SSD sollte bereits eine solide Größe haben, am besten 1 TB.

Die Auswahl

Da ich mit meinem ASUS sehr zufrieden war, und bis auf die Haltbarkeit vom Akku keine Probleme hatte, wollte ich gern bei ASUS bleiben. Hier hatte ich mir das neueste, bis jetzt nicht erschienene Zenbook Pro Duo angesehen. Bei den aktuell verfügbaren ASUS Zenbooks finde ich, dass das Preis-Leistungsverhältnis nicht so richtig passt. Außerdem habe ich gelesen, dass viele mit der Verarbeitung nicht zufrieden sind, was bei einem 2.000 € Notebook kein Thema sein sollte.

Auf der Suche nach weiteren Ultrabooks bin ich auf Huawei und weitere Hersteller gestoßen. Interessant fand ich dabei das MSI GS65 Stealth Thin Notebook. Allerdings fand ich auch hier das Preis-Leistungsverhältnis nicht so gut, die Tastatur wäre ohne Ziffernblock und die Beschriftung etwas … gewöhnungsbedürftig.

Der Kauf

Hängen geblieben bin ich schlussendlich bei Gigabyte. Den Hersteller kannte ich bisher nur aus dem Hardwarebereich für Desktop-PCs, da ich bspw. eine Grafikkarte von Gigabyte hatte und diese erst kürzlich wieder durch eine Gigabyte ersetzt habe.

Bei meiner Suche nach einem leistungsstarken Notebook wurde das Gigabyte Aero 15X empfohlen. Und was soll ich sagen, das ist nun auch geworden. Es hat erstmal 15 Zoll Bildschirm und eine Tastatur mit Beleuchtung. Check. Außerdem 16 GB DDR 4 RAM, der auch noch erweitert werden kann auf bis zu 64 GB! Check!! CPU ist das einzige „Manko“ ist, dass es „nur“ einen i7 8750H mit 6 Cores ist. Aber der Aufpreis zum i9 mit 8 Cores ist echt immens, bei allen Herstellern. Als Storage ist meine Wunschgröße verbaut, 1 TB als SSD. Zu guter letzt kommt auch das Gaming nicht zu kurz mit einer NVIDIA GeForce RTX 2070 mit 8 GB RAM. Der Bildschirm ist auch noch PANTONE zertifiziert, dass mir bei der Bildbearbeitung auch entgegen kommen sollte. Aktuell scheint das Notebook bei einigen Händlern in der Aktion zu sein, so dass ich es für 1.999 € ergattern konnte.

Bisher kann ich nicht meckern. Erste Tests mit älteren Spielen wie Total War: Rome 2 sind bisher sehr gut gelaufen und auch mein aktueller Zeitfresser Magic The Gathering: Arena läuft mit hohen Einstellungen absolut flüssig und sieht dabei sehr gut auf dem Bildschirm aus.

Einzige Unschönheiten die mir bisher aufgefallen sind betreffen die Tastaturbeleuchtung und die Webcam. Die Beleuchtung lässt sich dimmen und farblich ändern, leider flackern dabei die LEDs leicht. Der andere Minuspunkt ist die Webcam. Diese ist nicht oben angebracht am Bildschirmrand sondern unten und wird dadurch eher zu einer Nosecam. Schade eigentlich, weil das Notebook sonst extrem viel richtig macht.

Erfahrungsbericht Seminar Architecting on AWS

AWS. Bei diesen drei Buchstaben musste ich immer an zahllose Blog-Einträge und Youtube-Videos denken, von denen ich nur die Hälfte verstanden habe. Und das war schon viel. Und an endlose merkwürdige 3D-Symbole und unerklärliche Bezeichnungen, wie S3, EC2, IGW, VPC, SNS, SQS, … die Liste ließe sich endlich fortführen.

Architecting on AWS

Ich hatte nun die Gelegenheit den Kurs „Architecting on AWS“ zu besuchen. Es handelt sich dabei nicht um ein paar Online-Videos von Amazon, sondern um eine echte Präsenzschulung. Anbieter der Schulung war bei mir der TÜV Rheinland, da Amazon hier mit verschiedenen Schulungsanbietern zusammen arbeitet. Mein Ziel war es, in dem Kurs endlich AWS besser zu verstehen und zu lernen, wie man in der Amazon Cloud Systeme richtig aufsetzt, welche Möglichkeiten es gibt, was die einzelnen Services machen und wie das alles am Ende zusammenhängt.

Meine Erwartungen wurden nicht enttäuscht. Zu Beginn der Schulung zeigte der Trainer eine Architekurskizze einer Systemungebung in AWS mit unendlich vielen Symbolen und Linien. Das Ziel der Schulung war es, dieses Bild am Ende zu verstehen, erklären zu können und selbst eigene Architekturen in AWS zu entwerfen und aufbauen zu können. Im nächsten Schritt wurde alles ausgeblendet, bis auf S3. Und so lernten wir eine statische Webseite in S3 zu hosten. Mit jedem Modul wurde die Skizze Schritt für Schritt wieder eingeblendet und wir haben uns so einen Service nach dem anderen erarbeitet. Dabei ging es nicht nur um die grundlegenden Funktionen, sondern auch um Vorteile, Nachteile, Einsatzmöglichkeiten, Anwendungsfälle und auch mögliche Fallstricke bzw. Anwendungsfälle, für die der Service nicht geeignet ist.

Ich bin total begeistert von der Schulung und dem Trainer. Ich habe in den drei Tagen so viel gelernt über den konkreten Einsatz von AWS, dass ich die Schulung eigentlich jedem empfehlen kann, der in AWS endlich durchstarten will. Allein und nur mit Online-Ressourcen hätte es erheblich länger gedauert alles zu verstehen und ich bin davon überzeugt, dass ich nicht so viel mitgenommen hätte, wie in den vergangenen Tagen. Der Kurs vermittelt einem konkret und hands-on Wissen, um wirklich eigenständig AWS nutzen zu können, auch ohne offizielle Zertifizierung. Diese kann aber natürlich auch bei Amazon abgelegt werden.

Fazit

Nur die Schulung besuchen reicht aber nicht. Ich werde ich den nächsten Tagen das gelernte selbst wiederholen und versuchen, die Beispiele aus der Schulung selbst nochmal in AWS aufzubauen. Das schöne ist ja, mit einem Klick steht einem alles zur Verfügung, und wenn man rechtzeitig die Instanzen und Services wieder abschaltet, entstehen auch nur minimal kosten.

Jetzt muss ich aber weg, ich muss noch eine High-Availability-Umgebung mit mehreren Auto-Scaling-Groups in AWS einrichten. 🙂

Der Anfang vom Ende …

… des Masterstudiums.

Die vergangenen Wochen waren geprägt von viel Schreibarbeit. Ich habe inzwischen alle Hausarbeiten aus meinem Masterstudium abgeschlossen. Die Themen waren moderne Authentifikationsverfahren für Webanwendungen im Modul IT-Sicherheit, Serverless für Webanwendungen im Modul Softwareengineering für verteilte Anwendungen und zuletzt Sicherheitsanforderungen im agilen Softwareentwicklungsprozess für das Modul IT-Security-Management.

Damit bin ich jetzt durch alle Module des Masterstudiengangs durch. Das Thema für meine Masterthesis konnte ich mit meinem Wunschbetreuer bereits im April/Mai festziehen. Dadurch konnte ich heute endlich meinen Antrag zur Masterprüfung vorbereiten und werde diesen morgen absenden. Wenn alles nach Plan verläuft und das Prüfungsamt der Wilhelm Büchner Hochschule zustimmt, starte ich dann am 02.09.2019 (erster Werktag des Monats) offiziell mit der Thesis. Für die Bearbeitung habe ich insgesamt 6 Monate Zeit, muss also Ende Februar 2020 spätestens abgeben.

Das scheint noch sehr weit weg, aber davon sich nicht in Sicherheit wiegen lassen. Sechs Monate sind für eine Abschlussarbeit von 100 Seiten Nettotext trotzdem nicht so viel Zeit.

Ich bin froh, dass ich es geschafft habe doch noch bis August alle Prüfungsleistungen zu erbringen. Dies war mein Ziel zu Beginn des Jahres. Auch wenn es viel Verzicht mit sich gebracht hat, bin ich froh, dass ich mich durchgebissen habe und mit der Masterthesis stehe ich nun am Anfang vom Ende meines Studiums.

Meine erste Bug Bounty Meldung – ausgerechnet bei Facebook

Gestern ist mir -mehr durch Zufall als durch bewusstes Suchen- ein Sicherheitsproblem bei Instagram aufgefallen, als ich jemanden helfen wollte. So beginnt meine erste Sicherheitsmeldung im Rahmen eines Bug-Bounty-Programms und dann ausgerechnet bei Facebook.

Instagram gehört zu Facebook und es gibt von Facebook ein offizielles Bug-Bounty-Programm. Weitere Infos kann man hier finden. Wenn man der Meinung ist, dass man ein Sicherheitsproblem gefunden hat, kann man dieses hier melden. Das Formular zum Melden ist relativ überschaubar. Man gibt an, was man gefunden hat, welche Auswirkungen dies hat und wie man den Fehler reproduzieren kann. Bedingung von Facebook ist, dass man das gefundene Problem nicht veröffentlicht, bis es von den Security Engineers von Facebook geprüft und behoben wurde. Im Gegenzug stellt Facebook dem Melder eine Belohnung (Bounty) in Aussicht. Laut Beschreibung mind. 500 $, kann aber je nach schwere der Sicherheitslücke auch mehr werden. Darüber hinaus wird man auf einer Art Wall of Fame namentlich genannt – ok, geschenkt. 😉

Ich denke meine gefundene Schwachstelle ist nicht extrem kritisch, trotzdem war ich überrascht, dass sie überhaupt existiert. Sobald Facebook meine Meldung geprüft hat, kann ich hier hoffentlich mehr ins Detail gehen. Gleichzeitig bin ich natürlich gespannt, wie schnell meine Anfrage bearbeitet wird von Facebook und ob diese tatsächlich als Sicherheitslücke eingestuft wird. Ich werde hier auf jeden Fall berichten, egal wie die Geschichte am Ende ausgeht.

Es ist ruhig … zu ruhig

Huch, über Weihnachten ist es hier sehr ruhig geworden und das direkt nach dem Start. Das sollte so nicht sein. Im Dezember ist das Projekt im Studium gestartet und das kostet im Moment auch den letzten Rest freier Zeit, daher fehlt mir im Moment die Zeit hier in der Qualität zu bloggen, die ich eigentlich bringen möchte. Nebenbei versuche ich noch Hausarbeiten zu schreiben unter anderem zum Thema Progressive WebApps. Also alles in allem viel zu tun, aber der Blog ist nicht vergessen!