WSL2, besser bekannt als Windows Subsystem Linux erlaubt es verschiedene Linux Distributionen unter Windows zu installieren. Normalerweise werden diese Installationen über die Kommandozeile bedient. Seit einiger Zeit unterstützt Kali Linux Win-KeX, was es erlaubt auf dem System wie auf einem Desktop zu arbeiten.
Win-Kex tut dies, indem es einen VNCServer mit der Xfce-Desktop-Umgebung innerhalb der Kali Linux WSL-Instanz startet. Danach startet ein TigerVNC-Windows-Client und übergibt automatisch die Befehle zur Verbindung mit dem VNC-Server.
Soweit so schön, bei der Installation gibt es dennoch einige Fallstricke.

Installation WSL2

Zunächst wird eine WSL2 Installation unter Windows benötigt.

Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux
dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart
dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /all /norestart
wsl --set-default-version 2

Installation und Update von Kali Linux via WSL

wsl –-install -d kali-linux

Nach der Vergabe des Benutzernamens und eines Passworts sollte das System stehen.

Nun tauchen allerdings die ersten Probleme auf. Denn eine apt update zeigt zunächst einen Keyring Fehler an, dieser kann einfach nachinstalliert werden.

wget --no-check-certificate -O kali-archive-keyring_2022.1_all.deb https://http.kali.org/pool/main/k/kali-archive-keyring/kali-archive-keyring_2022.1_all.deb

dpkg -i  kali-archive-keyring_2022.1_all.deb

sudo apt update

Beim kommenden Upgrade Vorgang (sudo apt upgrade) treten die nächsten Probleme auf.

Setting up libc6:amd64  ...
Checking for services that may need to be restarted...
Checking init scripts...
Nothing to restart.
sleep: cannot read realtime clock: Invalid argument
dpkg: error processing package libc6:amd64 (--configure):
 installed libc6:amd64 package post-installation script subprocess returned error exit status 1
Errors were encountered while processing:
 libc6:amd64
E: Sub-process /usr/bin/dpkg returned an error code (1)

Dieses Problem führt dazu, dass der Upgrade-Vorgang abbricht und ein sudo mit dem zuvor eingerichteten User ab sofort scheitert.

Sorry, try again.
Sorry, try again.
sudo: 3 incorrect password attempts

Die Lösung für dieses Problem ist ein manuelles Installieren von libcrypt1.

apt -y download libcrypt1
dpkg-deb -x libcrypt1_1%3a4.4.28-2_amd64.deb .
cp -av lib/x86_64-linux-gnu/* /lib/x86_64-linux-gnu/
apt -y --fix-broken install
apt upgrade

Nun sollte das System aktuell sein und stabil laufen. Im letzten Schritt wird jetzt Win-Kex installiert.

Win-Kex installieren

Dieser Schritt ist denkbar einfach.

sudo apt install -y kali-win-kex

Jetzt kann Win-Kex gestartet werden, achtet darauf, dass es mit sudo Rechten gestartet wird.

sudo kex --win

#Session wiederaufnehmen

sudo kex --win --start-client

Die wichtigste Taste dürfte F8 sein. Damit kann das Kontextmenü nach dem Start geladen werden, um zum Beispiel zwischen Vollbild und Fenstermodus zu wechseln.
Sollte es zu Verbindungsproblemen beim Start und Verbinden des VNC Servers kommen, kontrolliert eure Firewall Einstellungen.

Seit Kali 2022.2 wird Kin-Kex unterstützt, welches das Ausführen von Anwendungen mit sudo Rechten erlaubt.

Fazit

Es ist möglich, Kali unter Windows mit WSL2 zu installieren. Der Weg dahin ist aber weiterhin etwas steinig und wird Windows Nutzern sicher nicht leicht von der Hand gehen. Da bietet sich wohl weiterhin ein VirtualBox Image an, denn damit ist die Installation um einiges flüssiger.

 

Nach dem großen Erfolg von Chatroulette ist nun ein Desktop Client für Chatroulette erschienen. Das kleine Programm ist gerade mal ca. 800 KB groß und benötigt eine aktuelle Flash-Installation. Danach steht dem Video Chat Vergnügen nichts mehr im Wege.

Sicher eine gute Alternative für die browserbasierte Variante (chatroulette.com). Leider habe ich gerade nicht die Möglichkeit, das Programm ausführlich zu testen, werde aber einen ausführlichen Test nachliefern.

Kurz nachdem die finale Version 1.1 des bekannten Players erschienen ist, wurde eine Bugfix Version 1.1.2 nachgelegt. Gravierende Änderungen gibt es in der neuen Version nicht, denn die wichtigsten Updates gab es schon mit der Version 1.1.1 (HD, Windows 7). Erwähnen sollte man, dass es inzwischen nicht nur eine Hardwareunterstützung für Nvidia GPUs gibt, sondern auch für AMD Radeon GPUs. 

Changelog

• Extensions and scrips updates
• Miscellaneous fixes in interfaces
• Updated translations
• Various crashes and errors fixed
• TS and DVB demuxing fixes
• Audio filters fixes to solve the "mono" bug
• Fix of the direct3d output module that display nothing on older nVidia and ATI cards, when overlay was activated

Gestern hatte ich das Problem, dass ich eine *.mkv Datei auf dem Fernseher wiedergeben wollte, dazu musste ich sie in *.avi umwandeln. Gut dachte ich, nichts leichter als das. SUPER 2010, meinen Standardkonverter gestartet und die Datei umgewandelt. Leider kam dabei nur Murks heraus, das Bild stimmte, aber der Ton war nicht zu gebrauchen. Also machte ich mich auf die Suche nach einer Alternative. Diese war auch schnell gefunden. Nennt sich Format Factory und ist mir von vorne rein sympathischer als SUPER 2010, da übersichtlicher und gefühlt auch schneller. Die knapp 40 MB große Freeware gibt es seit Ende August in Version 2.5 und in 56 Sprachen.

Die Oberfläche ist klar strukturiert und man behält eher den Überblick, als bei anderen Konvertern. Auf der linken Seite könnt ihr auswählen in was ihr eine Datei umwandeln wollt, dabei werden zig Formate unterstützt.

Alle zu MP4/3GP/MPG/AVI/WMV/FLV/SWF.
Alle zu MP3/WMA/AMR/OGG/AAC/WAV.
Alle zu JPG/BMP/PNG/TIF/ICO/GIF/TGA.

Zusätzlich kann man DVDs oder CD rippen und jeglichen Film in Handy kompatible Formate  für iPhone oder BlackBerry konvertieren. Für die Konvertierung können bei Bedarf noch Profieinstellungen vorgenommen werden, ansonsten läuft die Umwandlung voll automatisch ab und ich konnte meine .mkv Datei schnell in .avi umwandeln. Den Film selbst konnte ich leider nicht lange auf dem Fernseher verfolgen, da ich quasi nach dem Vorspann eingeschlafen bin;)

Beim Ausführen von Skripten auf einer Linux Konsole, die apt install beinhalten, taucht folgende Meldung auf: 

WARNING : apt does not have a stable CLI interface. Use with caution in scripts.

Doch warum wird eine Warnung angezeigt? Die Lösung ist relativ simpel.

Vor Jahren hatte ich mal eine Übersicht von apt vs. apt-get veröffentlicht. Ich habe sie euch unten noch einmal eingebunden.
Im Artikel ist zu lesen, dass apt unter anderem einen grafischen Fortschrittsbalken ausgibt.

Genau das ist einer der Gründe, warum das Kommandozeilentool bei der Verwendung in Scripten ein WARNING meldet. Denn diese Fortschritts-Ausgabe kann von Scripten fehlerhaft interpretiert werden und ist im Prinzip nur für Endnutzer gemacht, aber nicht wirklich für Skripte. Darum sollte hier eher auf apt-get zurückgegriffen werden.

Gleiches gilt übrigens auch für apt show programm-name. Hier sollte besser apt-cache show programm-name verwendet werden.

apt vs. apt-get

apt Kommando	apt-get Kommando	Funktion
apt install	apt-get install	Pakete installieren
apt remove	apt-get remove	Pakete deinstallieren
apt list --upgradable	--	Anstehende Updates anzeigen
apt list	dpkg list	Pakete auflisten
apt purge	apt-get purge	Pakete und Konfiguration entfernen
apt update	apt-get update	Repository aktualisieren
apt upgrade	apt-get upgrade	Anstehende Pakete aktualisieren
apt full-upgrade	apt-get dist-upgrade	Anstehende Pakete aktualisieren und deinstallieren
apt autoremove	apt-get autoremove	Nicht benötigte Pakete deinstallieren
apt search	apt-cache search	Pakete suchen
apt show	apt-cache show	Paketdetails anzeigen
apt edit-sources	--	sources.list editieren

Nach einigen Releases sollte die Security Distributionen Liste mal wieder auf einen aktuellen Stand gebracht werden.

NST 36

Das Network Security Toolkit hat ein Service Release erhalten. Das Toolkit basiert auf Fedora 36 mit kernel-5.18.10-200.fc36.x86_64.

In der neuen Version wurden hauptsächlich Verbesserungen am Webbased User Interface vorgenommen. OpenVAS läuft nun als Podman Container. Der NST WUI ARP Scan besitzt eine RTT Spalte und die Netzwerkkarte kann jetzt direkt im Widget ausgewählt werden.

Im Großen und Ganzen handelt es sich hier um ein Service Release.

 

---

Parrot 5.1

Nach 6 Monaten hat Parrot Security seine erstes Servicerelease mit dem Kernel 5.18 veröffentlicht.

Eines der bekannten Parrot Tools AnonSurf, welches Traffic durch das Tor Netzwerk schleust, hat ein Update auf Version 4 erhalten. Die neue Oberfläche unterstützt jetzt Debian Systeme, die das alte resolvconf setup nicht unterstützen.

Die IoT Version wurde ebenfalls überarbeitet und hat endlich Wifi Unterstützung für Raspberry Pi 400 erhalten. Weitere IoT Änderungen sind enthalten. Als Schmankerl gibt es den MATE Desktop für alle ARM Nutzer.

 

---

Kali Linux 2022.3

Der Platzhirsch soll in diesem Update natürlich nicht fehlen, auch wenn die Version bereits im August veröffentlicht wurde.

Die wichtigsten Neuerungen sind hier eher in der Peripherie zu sehen, denn Kali hat nun einen Discord Server (https://discord.kali.org), was vielen den Einstieg erleichtern dürfte.

Ebenfalls interessant für neue PentesterInnen dürfte das Labor Paket kali-linux-labs sein. Dort sind DVWA - Damn Vulnerable Web Application und Juice Shop - OWASP Juice Shop zum Üben enthalten. Happy Hacking.

Auch die mobile Kali-Variante NetHunter hat ein größeres Update erhalten und kommt der vollen Android 12 Unterstützung immer näher.

Schlussendlich fehlt noch das übliche Tools-Update:

• BruteShark – Kleines aber feines Network Forensic Analysis Tool (NFAT) mit GUI
• DefectDojo – Von diesem Tool liest man in letzter Zeit immer öfters, damit lassen sich Schwachstellen verwalten und an Systeme wie Jira oder Slack pushen
• phpsploit – Klassisches C2 Stealth post-exploitation remote control framework
• shellfire - Exploiting Shell für Local File Inclusion (LFI), Remote File Intrution (RFI), SSTI (Server Side Template Injection) und weitere command injection vulnerabilities
• SprayingToolkit – Python Password spraying attacks für Lync/S4B, OWA and O365

 

---

Übersicht 10/22

 

Wie jedes Jahr im Herbst wurde auch 2022 eine neue PostgreSQL Version veröffentlicht.

Zu den größten Neuerungen von Version 15 zählt sicherlich die Einführung des MERGE Befehls. Zusätzlich wurde die logische Replikation um das Filtern nach Zeilen erweitert. Ebenfalls erwähnenswert ist die Einführung von zstd. Der Datenkompressionsalgorithmus aus dem Hause Facebook spart Zeit und Plattenplatz.

Alle Neuerungen lassen sich dem Release Log entnehmen.

Installation und Update auf PostgreSQL 15 unter Debian/Ubuntu

# Create the file repository configuration:
sudo sh -c 'echo "deb http://apt.postgresql.org/pub/repos/apt $(lsb_release -cs)-pgdg main" > /etc/apt/sources.list.d/pgdg.list'

# Import the repository signing key:
wget --quiet -O - https://www.postgresql.org/media/keys/ACCC4CF8.asc | sudo apt-key add -

# Update the package lists:
sudo apt-get update

# Install the latest version of PostgreSQL.
sudo apt-get -y install postgresql-15

# Sicherung erstellen
sudo su postgres
pg_dumpall > Sicherung
exit

#Vorhandene Cluster anzeigen
pg_lsclusters

#Neues Cluster anhalten
sudo pg_dropcluster --stop 15 main

#Vorhandenes Cluster aktualisieren
sudo pg_upgradecluster 14 main

# Neues Cluster prüfen
sudo pg_ctlcluster 15 main status
sudo pg_isready

#Altes Cluster verwerfen
sudo pg_dropcluster 14 main

Das kleine Tool shellclear automatisiert das Überprüfen der Shell History auf sensible Inhalte wie Passwörter oder Zugangstoken.

Unterstützt werden Shells wie Bash, Zsh, PowerShell und Fish. Das Tool greift auf ein Pattern-File zurück, welches beliebig erweitert werden kann.

Beim Start der Shell werden die Inhalte der History automatisch über dieses YAML-Pattern-File auf Passwörter und Token geprüft.

Sind sensible Inhalte vorhanden, werden diese gelistet und können gelöscht werden.

Momentan wird auf AWS Access Keys, Github Tokens, Gitlab Tokens, Slack, Cloudflare, Twitter, Facebook und vieles mehr getestet.

Installation

curl -sS https://raw.githubusercontent.com/rusty-ferris-club/shellclear/main/install/install.sh | bash

Einbinden in die Shell

nano ~/.bashrc
eval $(shellclear --init-shell)

bzw. 

nano ~/.zshrc
eval $(shellclear --init-shell)

Powershell

$PROFILE

Invoke-Expression (&shellclear --init-shell)

Fish

nano ~/.config/fish/config.fish

shellclear --init-shell | source

Verwendung

Durch das Einbinden in beispielsweise Zsh oder Bash prüft shellclear bei jedem Start automatisch auf sensible Inhalte in der History. Dieser Vorgang kann zusätzlich manuell gestartet und konfiguriert werden. Auch das Banner "your shell is clean from sensitive data" lässt sich ausblenden.

#sensible Inhalte suchen
shellclear find

#sensible Inhalte als Tabelle ausgeben
shellclear find --format table

#sensible Inhalte bereinigen
shellclear clear

#banner ausblenden
shellclear --no-banner

#eigene Config festlegen
shellclear config

#history verstecken
shellclear stash

Fazit

Kleiner Helfer für den Alltag, der tut, was er soll. Dank des YAML Formats ist das Tool beliebig erweiterbar. Abgesehen davon sind die größten Cloud-Firmen bereits integriert und das Tool erfüllt im Hintergrund seinen Zweck.

Um Cipher Suites auf Windows Servern zur verwalten, muss in die Registry (HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL) eingegriffen werden. Nartac Software möchte diesen Eingriff am offenen Herzen vereinfachen und bietet seit Jahren das Tool IIS Crypto an.

IIS Crypto 3.3

IIS Crypto ermöglicht die einfache Verwaltung von Server-Protokollen, Chipers, Hashes und Schlüsselaustauschalgorithmen unter einer Oberfläche.

Ich habe dieses Tool früher oft verwendet, um Windows Server zu härten. Es werden die Versionen 2008, 2012, 2016, 2019 und 2022 unterstützt. Am besten hat mir die Möglichkeit gefallen, Cipher Suites neu anzuordnen.

Neben Windows Server 2022 wurde in der aktuellen Version die Unterstützung für TLS 1.3 implementiert.

Vorhandene Vorlagen wurden angepasst. So werden im Strict Template nun CBC Ciphers Suites unter Windows 2016 und höher entfernt.

Fazit

Wenn man bedenkt, wie lange TLS 1.3 bereits im Einsatz ist, haben sich die Entwickler hinter IIS Crypto sehr (sehr) viel Zeit gelassen.

Unabhängig davon bietet das Tool mit seinen Best Practices (siehe Screenshot) unerfahrenen Nutzern eine einfache Möglichkeit, Windows Server zu härten und besser abzusichern.

Bereits im April dieses Jahres wurde Version 3 des Repository-Security-Tools Trufflehog veröffentlicht. Zeit, einen eigenen Artikel über das bekannte Kali Tool zu verfassen.

Was ist Trufflehog

Leaked credentials oder secret keys sollten nicht in Github Repositorys zu finden sein, dennoch passiert dies öfters als gedacht. Genau hier setzt das Tool truffleHog3 an, es scannt Repositorys und mehr auf Geheimnisse wie Zugangsdaten, API Keys usw.

Das Security-Tool durchläuft dabei die gesamte Commit-Historie jedes Branches, prüft jedes diff von jedem commit und sucht nach Geheimnissen.

Möglich wird dies unter anderem durch die Verwendung von regulären Ausdrücken und Entropie.

Mit der Version 3 unterstützt truffleHog inzwischen mehr als 700 verschiedene Key Types von AWS, Azure, Confluent oder Facebook. Eine Übersicht der Detektoren ist hier zu finden.

Folgende Code Quellen werden momentan unterstützt:

• git
• github
• gitlab
• S3
• filesystem
• syslog

Installation

Die Trufflehog Installation erfordert eine funktionierende GO Installation. Alternativ kann auch auf Python Pip zurückgegriffen werden, allerdings wird via Pip momentan keine aktuelle Version angeboten. Für einen Test bietet sich die Docker Variante an.

#Aktuellste Version
git clone https://github.com/trufflesecurity/trufflehog.git
cd trufflehog
go install oder go build

#Via Python Pip (allerdings steht hier nur Version 3.0.x zur Verfügung)
pip3 install trufflehog3

#Die aktuellste Version via Docker Paket laufen lassen

docker run -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest github --org=trufflesecurity

Anwendungsbeispiele

#Hilfe
trufflehog --help

#github scan mit Optionen
trufflehog github --repo=https://github.com/trufflesecurity/trufflehog

trufflehog github --repo=https://github.com/trufflesecurity/trufflehog --json --only-verified

#AWS scan
trufflehog s3 --bucket=<bucket name> --only-verified

#Dateisystem
trufflehog filesystem --directory=/home/guenny/ansible/repository

Da die aktuellste Version momentan nur via Source/Docker zur Verfügung steht, können Gitlab, S3 und Co nur darüber gescannt werden

  git [<flags>] <uri>
    Find credentials in git repositories.

  github [<flags>]
    Find credentials in GitHub repositories.

  gitlab --token=TOKEN [<flags>]
    Find credentials in GitLab repositories.

  filesystem --directory=DIRECTORY
    Find credentials in a filesystem.

  s3 [<flags>]
    Find credentials in S3 buckets.

  syslog [<flags>]
    Scan syslog

---

Passwörter und andere Geheimnisse aus Git-Repositories entfernen

Was tun, wenn ein Passwort gefunden wurde?

Git Filter Branch bietet eine Möglichkeit, um dieses Problem zu beheben.

Beispielsweise:

git filter-branch --prune-empty --index-filter "git rm --cached -f --ignore-unmatch löschdatei" -- --all

Git Filter Branch ist ein sehr mächtiges Tool, daher verweist Github selbst auf den BFG Repo Cleaner und git filter-Repo

Mit ersterem lassen sich relativ einfach sensitive Dateien löschen oder ersetzen.

bfg --delete-files id_{dsa,rsa}  my-repo.git
bfg --replace-text passwords.txt  my-repo.git
git push --force

Wenn ein Passwort im letzten Commit vorhanden ist, würde übrigens auch amend ausreichen:

git commit --amend

Fazit

Vergessene Zugangsdaten in Repositorys schaffen unnötige Sicherheitslücken. Diese lassen sich mit TruffleHog einfach aufspüren. Das Tool unterstützt inzwischen weit mehr als nur Github. So lässt sich der gesamte Software Development Life Cycle/SDLC bei Bedarf überwachen.

Mit TruffleHog Enterprise bietet der Hersteller inzwischen eine GUI in der Cloud an, allerdings lässt er sich diese auch bezahlen. Für eine automatisierte Überwachung der eigenen Repositorys lassen sich alle Aufgaben via Kommandozeile erledigen.

---

---

Ähnliche Artikel

Security Tools: Trivy – Docker Container auf Sicherheitslücken durchsuchen

Nuclei - schneller Schwachstellen Scanner mit praktischen Vorlagen

Security: GVM 21.04 - mit Docker in 15 Minuten zum OpenVAS Schwachstellen Scanner

Das Tool Portmaster ist eine Endbenutzerfirewall, welche dem Anwender die volle Kontrolle über aus und eingehende Internetverbindungen zurückgibt. Im Oktober wurde Version 1.x der Firewall Portmaster veröffentlicht.

Für Windows Nutzer dürfte dieses Tool Gold wert sein, denn freie Tools mit guter Usability wie Portmaster sind im Microsoft Universum rar gesät. Linux Nutzer kommen ebenfalls nicht zu kurz, denn die Firewall kann auch von Debian/Ubuntu oder Fedora Anwendern installiert werden. Selbst für mobile Geräte stehen APKs bereit.

Blocklisten und Secure DNS

Neben den üblichen Firewallfunktionen mit detaillierter Traffic Darstellung und Auflistung einzelner Verbindungen beherrscht das Tool Blocklisten. Diese können über die Einstellungen in der Funktionsleiste angepasst werden. Beim ersten Start werden diese mit der Ersteinrichtung automatisch aktiviert.

Die Tracker Blocklisten sorgen für die Verbindungsunterdrückung zu Werbe-Netzwerken oder anderen Inhalten. Portmaster ersetzt somit quasi Tools wie Pi-Hole oder diverse Browser-Add-ons. Die genannten Filtereinstellungen sind unter Global Settings/Privacy Filter zu finden.

Portmaster verwendet zur DNS Auflösung DNS-over-TLS, dies geschieht in den Standardeinstellungen über Cloudflare, kann aber auf Quad9 oder AdGuard umgestellt werden. Die DNS-Server werden via URL-Scheme konfiguriert und bieten daher auch die Möglichkeit Community Settings zu hinterlegen

Unter Global Settings/Secure DNS können diese DNS-Server jederzeit angepasst, beziehungsweise entfernt werden. Ist nichts hinterlegt, werden die DNS-Server des Systems verwendet.

Features

Nachdem die Firewall das erste Mal in Betrieb genommen wurde, sollte der Einfachheit halber auf „Allow All und Prompt“ gestellt werden, sonst kann es durchaus zu viel Klickarbeit kommen, gerade unter Windows Systemen. Abseits davon bietet Portmaster alles, was sicherheitsbewusste Anwender mögen.

• Kontrolle über das Verhalten der installierten Programme

• Fliegender Wechsel zwischen den Standard-Netzwerkaktionen: Zulassen, Sperren, Nachfragen

• Statistiken über alle Verbindungen

• Adblocker und Trackerblocking

• Auflistung der geblockten Anfragen

• DNS-over-TLS

• P2P Verbindungen blockieren

• Quellcodekontrolle via github

Fazit

Als Application Firewall ist Portmaster auf jeden Fall eine Installation wert, alleine schon wegen der Vielzahl an Einstellungsmöglichkeiten und der Vielfalt des Monitorings.

Features wie SPN (Secure Private Network) lassen sich die Entwickler zwar bezahlen, allerdings sollte nicht jeder Nutzer verschiedene Länder IPS zu einzelnen Programmen zuweisen wollen, daher ist dieses nicht vorhandene Feature verkraftbar.

Portmaster hat auf meinem Windows System Windows Firewall Control inzwischen abgelöst.

Der Begriff OSINT (Open Source Intelligence) ist nicht erst seit 2022 ein allgemein bekannter Begriff, hat allerdings durch den Krieg in der Ukraine, Krisen und dem Durst nach Informationsgewinnung, viel Aufschwung erfahren. Das erste Mal wurde die Öffentlichkeit durch Bellingcat im Jahr 2012 darauf aufmerksam.

Der Begriff steht für die Informationsgewinnung aus öffentlichen Daten. Dabei helfen Tools, diese Daten zu analysieren, zu interpretieren und zu sortieren. Gerade im Netzwerkbereich finden sich hier spannende Programme.

Ich selbst nutze für persönliche Zwecke diverse öffentliche bzw. freie Tools, sei es zur Netzwerkanalyse, für verdächtige E-Mailheader oder zum DNS Check. Möglichkeiten gibt es sehr viele.

Dabei ist eine kleine Liste zusammen gekommen, welche ich euch gerne zur Verfügung stellen möchte.

Eine dauerhaft aktualisierte Liste findet ihr in Zukunft unter osint.itrig.de.

• https://whatmyuseragent.com
• https://robotsdb.de/robots-verzeichnis
• https://www.cimtools.net/en/extra/bots_list.php

• https://github.com/drwetter/testssl.sh

• https://ciphersuite.info
• https://crt.sh
• https://www.ssllabs.com/ssltest
• https://observatory.mozilla.org
• https://ciphersuite.info

• https://github.com/darkoperator/dnsrecon

• https://dnsdumpster.com
• https://www.whatsmydns.net
• https://toolbox.googleapps.com/apps/dig
• https://viewdns.info

• https://osint.sh
• https://urlscan.io
• https://www.brightcloud.com/tools/url-ip-lookup.php
• https://unshorten.me
• https://securitytrails.com
• https://www.maxmind.com/en/locate-my-ip-address

• https://www.bundesanzeiger.de
• https://www.insolvenzbekanntmachungen.de
• https://www.northdata.de

• https://grep.app

• https://github.com/robertdavidgraham/masscan

• https://www.shodan.io/explore
• https://search.censys.io
• https://fullhunt.io

Mail Analyse Tools (lokal)

• https://github.com/ninoseki/eml_analyzer
• https://github.com/cyberdefenders/email-header-analyzer
• https://thatsthem.com/reverse-email-lookup

• https://hunter.io
• https://emailrep.io
• https://eml-analyzer.herokuapp.com
• https://www.spf-record.de
• https://toolbox.googleapps.com/apps/messageheader

• https://github.com/mandiant/capa
• https://github.com/horsicq/Detect-It-Easy

• https://labs.inquest.net
• https://www.virustotal.com/gui/home/search
• https://www.filescan.io/scan

• https://telemetr.io (telegram)

• https://github.com/pyhackertarget/hackertarget
• https://github.com/laramies/theHarvester

• https://github.com/ninoseki/mitaka
• https://addons.mozilla.org/de/firefox/addon/hacktools

• https://bgp.he.net
• https://www.peeringdb.com
• https://bgp.tools
• https://bgpstream.crosswork.cisco.com

• https://github.com/jivoi/awesome-osint
• https://github.com/cipher387/osint_stuff_tool_collection
• https://osintframework.com

Schwachstellen - CVE (online)

• https://www.cvedetails.com
• https://www.cve.org
• https://www.opencve.io

• https://iknowwhereyourcatlives.com (Katzen)
• https://intelx.io (Darkweb)
• https://github.com/secdev/scapy (Traffic Tests)
• https://locust.io (Traffic Tests)

Website Traffic

• https://www.similarweb.com/de

• https://www.wappalyzer.com
• https://osint.sh/stack
• https://website.informer.com
• https://builtwith.com
• https://www.whatruns.com

Was ist apt-key?

Die Man Pages beschreiben apt-key wie folgt:

apt-key is used to manage the list of keys used by apt to authenticate packages. Packages which have been authenticated using these keys will be considered trusted.

apt-key wird verwendet, um die Liste der Schlüssel zu verwalten, die von apt zur Authentifizierung von Paketen verwendet werden. Pakete, die mit diesen Schlüsseln authentifiziert wurden, werden als vertrauenswürdig eingestuft.

Der Vollständigkeit halber hier der Punkt zur "deprecated" Meldung:

update (deprecated)
Update the local keyring with the archive keyring and remove from the local keyring the archive keys which are no longer valid. The archive keyring is shipped in the archive-keyring package of your distribution, e.g. the ubuntu-keyring package in Ubuntu.

Note that a distribution does not need to and in fact should not use this command any longer and instead ship keyring files in the /etc/apt/trusted.gpg.d/ directory directly as this avoids a dependency on gnupg and it is easier to manage keys by simply adding and removing files for maintainers and users alike.

Was bedeutet apt-key is deprecated?

In der Fehlermeldung "apt-key is deprecated. Manage keyring files in trusted.gpg.d" sind zwei Meldungen versteckt:

Bisher wurden Schlüssel in trusted.gpg verwaltet. In Zukunft sollten die Schlüssel einzeln unter trusted.gpg.d verwaltet werden. Der Grund für das Abschaffen des alten Vorgangs ist die schlicht die Sicherheit.

Zusätzlich wird apt-key als veraltet eingestuft. Da es sich hier nur um eine Warnung handelt, kann diese bis jetzt auch einfach ignoriert werden. Im Prinzip möchte sie den Nutzer weg von apt-key hin zu gpg schubsen und genau das möchte ich hier zeigen.

Bei einem apt update wirft ein Ubuntu beispielsweise folgenden Warnungen in Bezug auf nodejs und yarn Repositorys

reading package lists... Done
W: https://deb.nodesource.com/node_16.x/dists/jammy/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.
W: https://dl.yarnpkg.com/debian/dists/stable/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.

Lösung -  Schlüssel aus trusted.gpg in trusted.gpg.d umziehen

Die Lösung für die oben aufgeführte Problematik ist das bereits erwähnte Umschichten von trusted.gpg zu trusted.gpg.d.

Zunächst werden die betreffenden Schlüssel aufgelistet:

sudo apt-key list
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2014-06-13 [SC]
      9FD3 B784 BC1C 6FC3 1A8A  0A1C 1655 A0AB 6857 6280
uid           [ unknown] NodeSource <gpg@nodesource.com>
sub   rsa4096 2014-06-13 [E]

pub   rsa4096 2016-10-05 [SC]
      72EC F46A 56B4 AD39 C907  BBB7 1646 B01B 86E5 0310
uid           [ unknown] Yarn Packaging <yarn@dan.cx>
sub   rsa4096 2016-10-05 [E]
sub   rsa4096 2019-01-02 [S] [expires: 2023-01-24]
sub   rsa4096 2019-01-11 [S] [expires: 2023-01-24]

Schlüssel in eine eigene Datei verschieben

Danach die letzten 8 Zeichen der zweiten Zeile unter pub kopieren. In diesem Fall ist das 6857 6280. Das Leerzeichen zwischen den Zahlen muss entfernt werden.
Der zukünftige Name kann beliebig gewählt werden, es liegt allerdings nahe, ihn nach dem installierten Paket bzw. Repository zu benennen:

sudo apt-key export 68576280 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/nodejs-key.gpg
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

sudo apt-key export 86E50310 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/yarn-key.gpg
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

sudo apt-get update

Nun sollten die Warnungen der Vergangenheit angehören.

Neue Schlüssel hinzufügen

Sollte ein neuer Schlüssel hinzugefügt werden, wird in Zukunft nicht mehr mit apt-key gearbeitet, sondern gpg verwendet werden.

Früher

curl -sS https://download.spotify.com/debian/pubkey_5E3C45D7B312C643.gpg | sudo apt-key add -

Heute

curl -sS https://download.spotify.com/debian/pubkey_7A3A762FAFD4A51F.gpg | sudo gpg --dearmor --yes -o /etc/apt/trusted.gpg.d/spotify.gpg

 

Weihnachten ist fast geschafft. Morgen tritt wieder einigermaßen Realität ein. Ich hoffe, ihr habt euch reich beschenken lassen. Seid nicht traurig, wenn es nicht der Audi A4 geworden ist, mit dem wären bei diesem Wetter (hier ca. ein halber Meter Pulverschnee + Eisschicht) sowieso nicht viele Meter gemacht worden.

Auch der Mallorca Flug war ja eher zum Scheitern verdammt, auf den Flughäfen musste man die Tage eine ganze Menge Geduld mitbringen.
Obwohl ich Weihnachten zu Hause verbracht habe und das Meiste "per pedes" zurücklegen konnte, ist der harte Winter nicht ganz an mir vorbeigegangen. Meine durchaus schon in die Jahre gekommenen Winterschuhe, sind förmlich auseinandergerissen. Die Sohle hat sich quasi stückweise aufgelöst. Jetzt heißt es Weihnachtsgeld gleich wieder investieren, sonst drohen kalte Füße.

Im Netz hat sich die letzten Tage auch nicht allzu viel getan, ist auch verständlich, denn die Familie hat ja zu dieser Zeit Vorrang. Ein paar Neuerungen gibt es trotzdem noch zu melden.

CCleaner 3.02

Eine neue Version des bekannten CCleaner (v3.02.1343) ist erschienen. Man kann nun eine Cookieliste importieren oder exportieren. Neu auf der Bereinigungsliste sind CloneCD, Ashampoo Burning Studio und ExamDiff. Alle Änderungen sind wie immer in der Version History zu finden.

12 Tage Geschenke von iTunes

Ich hatte schon darüber berichtet, heute beginnen die 12 Tage der Geschenke Downloads von Apple. Heute gibt es FBtv von Fettes Brot. Ein Minialbum mit 4 Videos. Viel Spaß damit

Amazon MP3 Feuerwerk

Auch Amazon hat zwischen den Jahren eine ähnliche Aktion. Hier gibt es bis ins neue Jahr jeden Tag einen Song von Top Künstlers des laufenden Jahres. Heute gibt es z.B. "Loca" von Shakira. Wem das gefällt der sollte schnell zuschlagen, denn es gibt jeden Song nur einen Tag lang.

Piwik 1.1

Das Analyse Tool hat kurz vor Weihnachten ein Update auf v 1.1 erfahren. Momentan ist die neue Version der Google Analytics Alternative aber noch in der Beta Phase. Einzig die mobile Version ist in der Version 1.1 stabil zu haben. Wer die Beta 4 der Standard Version schon testen möchte, der kann sie hier downloaden.

 

Das wars in Kürze. Bis bald, ich hoffe noch dieses Jahr

dann würde sie sich (Stand 2011) wie folgt zusammensetzen:

In der ersten Reihe sitzen die bekannten Verdächtigen aus dem Hause Twitter, Google, Facebook und Co.
Wobei Schülerin Twitter die klassische Schwatzbase darstellt und im It-Girl Club der Schule vorsitzt. Schüler Google ist ein Schnösel wie er im Buche steht. Er ist selbstverständlich im Yacht und Millionärs Club vertreten und nach eigener Aussage die Zukunft des Landes.
Kollege Facebook ist von der sportlichen Sorte und läuft gerade ganz vorne mit. Er ist der Engel des Footballteams und momentan in aller Munde. Mit seinem Nebensitzer kommt er zwar gut aus, hat aber mit dem Nerd Wikipedia nicht wirklich viel am Hut. Dieser verkopfte Bankdrücker ist ein wandelndes Lexikon und sitzt fast nur vor dem PC, um seinen IQ zu verbessern. In seiner Freizeit engagiert er sich außerdem im lokalen Star Trek Club. Für diese Trekkie Freizeit hat der Band Leader Last.fm gar nichts übrig, er kann höchstens den "Star Trek" Soundtrack auf der Gitarre runterrocken. Last.fm hängt schon lieber mit seinem Kumpel YouTube ab, denn der kann einigermaßen mit der Kamera umgehen und coole Musik oder Skatevideos abdrehen.
Flickr, das etwas komisch gekleidete Künstlerkind, muss sich da schon mit der dritten Reihe begnügen. Es kann zwar gute Bilder machen, jedoch kann diesen nicht jeder etwas abgewinnen. Lediglich, wenn mal wieder ein Schulprojekt ansteht, fragen die Klassenkameraden nach coolen Bildern. Neben Flickr sitzt der neugierige Reddit, er ist der Chef der Schülerzeitung. In seiner Zeitung druckt er jede Menge Klatsch und Tratsch über seine Mitschüler ab, zusätzlich macht er regelmäßig Abstimmungen zu aktuellen News der ganzen Schule. Sein Nebensitzer my[    ] drückt noch nicht so lange die Bank so weit hinten. my[    ] saß einmal weiter vorne und war bei den coolen der Schule mit dabei. Inzwischen haben im Schüler wie Facebook den Rang abgelaufen und er verfällt immer mehr in Depressionen, da sich immer mehr Freunde von ihm abwenden. Ein anderer Außenseiter macht die dritte Reihe komplett. Freidenker Wikileaks sagt und macht, was er will, das verschafft ihm nicht immer Freunde, gerade mit seiner Bekannten Twitter führt er immer heiße Diskussionen über das Unrecht dieser Welt. Manchmal kommt dann auch noch Kumpel Facebook dazu. Dieser hat zurzeit sowieso überall seine Nase drin, so langsam scheint das auch schon wieder einige zu nerven. Vielleicht wird er auch bald nach hinten gesetzt und muss mit my[   ] zusammen büffeln..... Na schauen wir mal, nächstes Jahr wissen wir mehr.

via Flowtown

Das ging schneller als gedacht, das Google+ Netzwerk hat seine Spieleplattform gestartet. Für manche wird GooglePlus nun um einiges attraktiver werden, andere verziehen wahrscheinlich jetzt schon das Gesicht.

Laut Google sollen sich Spielemeldungen nicht auf den Aktivitätsstream anderer auswirken, hier gibt es somit schon einmal Entwarnung. Zum Start von Google Games werden 16 Spiele angeboten, schön zu sehen ist, das der deutsche Hersteller wooga, mit seinen drei Top Titeln Monster World, Diamond Dash und Bubble Island mit dabei ist. Weitere Titel sind:

• Angry Birds
• Bejeweld Blitz
• City of Wonder
• Collapse Blast
• Crime City
• Dragon Age Legends
• Dragons of Atlantis
• Edge World
• Floot it
• Sudoku
• Wild Ones
• Zombie Lane
• Zynga Poker

Die Gaming Plattform ist unter http://plus.google.com/games erreichbar, wird aber für alle User erst nach und nach freigeschaltet. Daher nicht wundern, wenn ihr eine Fehlermeldung bekommt, sondern abwarten und Tee trinken oder wie Google empfiehlt einen Hangout starten :)

Happy Gaming

Auf Bohncore findet zurzeit die zweite Runde der Blogparade: "Die Webworker Quellenbibel" statt. Nachdem die erste Runde 170 neue Quellen hervorgebracht hat, die gebündelt als PDF heruntergeladen werden können, möchte ich zur zweiten Runde meinen Teil an Quellen beitragen.

Alle Quellen werde ich hier bestimmt nicht auflisten können, aber ein kleiner Einblick erfreut ja jedes Leserherz. Da Bohncore einige Kategorien vorgibt, möchte ich mich der Einfachheit halber auch daran halten. Nicht jede Quelle passt genau in jede Kategorie, das ist eben oft Ermessenssache. Englische Quellen habe ich bewusst außen vor gelassen.

 

• Bloggen
  • Weblog ABC
  • avatter
• Webwork
  • Web Ideas
  • Der Webarchitekt
  • Croudsourcing Blog
  • Deutsche Startups
• WordPress
  • perun
• Design
  • DasWebDesignBlog
  • Frisch inspiriert
  • Sylvis Blog
  • egoo
• Webdesign & Webentwicklung
  • Webmaster-Zentrale
  • KulturbanauseBlog
• Tech & Internet
  • fsklog
  • Linux und Ich
  • Timbobs Blog
  • Google Watch Blog
  • Bjoerns Windows Blog
  • fixmbr
  • t3n
  • Enterprise Efficiency
  • Sören Hentzschel
  • Stadt-bremerhaven
• Social Media
  • Thomas Huttner
  • Gpluseins
  • allfacebook
  • Onlinelupe
• Affiliate- & Online-Marketing
  • Selbständig im Netz
  • Blogprojekt
  • Exciting Commerce
  • eisy
• SEO
  • Die Internetkapitäne
  • Prometeo

Flightradar24

Auch wenn die Aschewolken in letzter Zeit etwas nachlassen und nur noch rudimentär auftreten, ist es dennoch interessant zu sehen, wie viel über unseren Köpfen eigentlich los ist. Als der isländische Vulkan sich noch in vollen Zügen erbrochen hat, konnte man nur anhand der Zahlen ermessen, um wie viel Flugausfälle es sich weltweit gehandelt hat.

Auf der Seite flightradar24 kann man mithilfe von Google Maps gut sehen, wie viel im Luftraum momentan ist. Man kann in einer ausklappbaren Liste am rechten Rand alle Flugzeuge sehen, dir zurzeit in der Luft sind. Außerdem ist es möglich sich über Filter einzelne Flugzeuge herauszupicken und nach Geschwindigkeit bzw. Höhe anzeigen zu lassen.

Alles in allem eine interessante Seite, um auch mal bei vulkanischer Inaktivität z.B. das Urlaubsflugzeug der Verwandtschaft im Auge zu behalten.

 

Wie bereits angekündigt, bietet Google inzwischen die SSL Suche für seinen Dienst an.

Bisher ist der Dienst nur in Englisch nutzbar, wer also die deutsche Suche bevorzugt, muss sich noch ein wenig gedulden.

Für den Firefox gibt es bereits ein Plugin, welches die Suche in den Browser automatisch einbindet.

Wissen wie's geht

Wiegehtdas.tv heißt ein neuer Klon aus deutschen Landen. Vorbild ist das amerikanische eHow.com. Auf der Seite werden an Hand von Google Suchanfragen sogenannte "Erklärvideos" veröffentlicht. Dabei entstehen Videos wie: "Was tue ich, wenn mein Handy ins Wasser gefallen ist" oder "Wie schärfe ich eine Schere". Bis jetzt ist das Angebot noch recht mager, hoffen wir mal das es schnell anwächst.

 

Discounto.de

Discounto ist eine Schnäppchensuchmaschine, welche sich auf Discounter spezialisiert hat. Man hat die Möglichkeit, sich alle Discounterangebote aus der näheren Umgebung anzeigen zu lassen und durch die Angebote zu surfen. Das ganze gibt es auch als IPhone App, wobei hier eine Routenfunktion zum nächsten Discounter an Board ist.

 

Sprachen lernen leicht gemacht

Lyricstraining.com ist eine neue Form des Fremdsprachenlernens. Die Seite bietet die Möglichkeit, durch YouTube-Videos andere Sprachen zu verinnerlichen. Es wird auf Videos in verschiedenen Sprachen zurückgegriffen (z.Z. 6 Sprachen) welche dann in 3 Modi geübt werden können. Wobei man bei den ersten 2 Modi einen Lückentext auszufüllen muss, der dritte Modus heißt alles eingeben. Man sollte also auch gut tippen können, um alles einwandfrei zu meistern. Hauptproblem der Seite ist momentan, dass nicht alle Videos anschaubar sind, da die Lizenzen von Land zu Land verschieden sind.

Da ich nach ein paar Tagen "endlich" wieder im verregneten Deutschland angekommen bin, hier ein paar "Rig-Links" zu den Themen der letzten Tage:

• Firefox 4 ist in einer dritten Beta erschienen.

• Flattr, der Social Payment Service hat sich für alle geöffnet

• Pidgin, der Allround Messenger ist in Version 2.7.3 erschienen

 

• Google Street View ist immer noch in aller Munde, hat aber inzwischen ein Widerspruchsformular für seinen Service online gestellt.
• Ebenfalls neu aus dem Hause Google ist die erste Beta des Chrome 6 Browsers
• Adobe hat eine neue Flash-Version veröffentlicht (10.1.82.76)
• Und die VZ Netzwerke bekommen ein Wohnzimmer

Das war es auf die Schnelle, später mehr

So nach einem langen Wochenende im Schwarzwald ohne DSL, mit nur wenig UMTS und somit quasi netzfrei, geht es hier wie gewohnt weiter. Eigentlich waren es ja echt nur ein paar Tage, aber es hat sich natürlich einiges getan. Nicht nur, dass ich endlich einen neuen fahrbaren Untersatz habe (nicht gerade einen BMW X6, aber ein Golf tut es ja auch) und mich etwas sichere fühle auf der Autobahn, nein auch im Netz hat sich etwas getan.

Eine neue Version des Notepad++ (Version 5.8.1) ist erschienen. Dabei handelt es sich um einen freien Editor, der gut als Ersatz fürs Notepad geeignet ist. Microsofts Virenscanner Security Essentials ist nun für kleine Firmen frei verfügbar und AVG hat die Version 2011 seiner Antivirus Suite veröffentlicht. Für Twitter gibt es ein neues Tool namens TwtRoulette, nicht zu verwechseln mit Chatroulette, die Zahlen aktiver Nutzer wird es wohl nicht in die Höhe treiben. Google hat eine News-Seite erstellt, auf der ihr stets die neusten Tools der Firma vorgestellt bekommt.

Bleibt die Frage, ob man so etwas benötigt? Die Onlinelupe stellte die Tage 111 Blogs vor, bei create or die gab es wieder einen Casual Friday und bei facebookmarketing kann man nun Facebook Pages tracken ... so könnte es nun noch eine Weile weiter gehen, aber um euch nicht völlig zu überrennen, wird hier ein Schlussstrich gezogen und wird lassen das Wochenende ruhen.

Da mir leider erst die letzten Tage aufgefallen ist, dass mein RSS-Feed nicht so richtig funktioniert, hier mal ein kleiner Bericht zu den Neuerungen. Doch zuerst mal eine kurze Erklärung, was RSS überhaupt ist.

RSS steht für Rich Simple Syndication oder Rich Side Summary. Im Prinzip handelt es sich dabei um ein XML basiertes Dateiformat, das heißt das Format ist maschinenlesbar und kann weiterverwendet werden. RSS speichert also Artikel einer Webseite in eine XML-Datei. In dieser Datei befinden sich dann nur die Artikeldaten und keine Informationen zum Layout.  Das ganze nennt man dann RSS-Feed. Diesen Feed kann man mit dem Browser oder externen Programmen (Feed Reader) auslesen, sozusagen abonnieren. Hier im Blog ist das an zwei Stellen möglich. Einmal über die Adressleiste im Firefox oder über den Button in der Seitenleiste.

Auf anderen Seiten könnt ihr RSS-Feeds immer an dem Symbol mit den Funkwellen erkennen.

Sobald man auf den Button geklickt hat, erscheint eine neue Seite, auf der ihr auswählen könnt, wie ihr den Feed abonnieren wollt.

Auf der rechten Seite werden bekannte Feedreader Anbieter eingeblendet, wie z.B. Google Reader oder Netvibes. Wenn ihr aber Mozilla Firefox für eure RSS-Feeds verwenden wollt, dann müsst ihr auf "Show Feed as XML" klicken. Dort könnt ihr den Feed dann als "Dynamisches Lesezeichen" in eure vorhandenen Bookmarks einfügen. Sobald ihr den Feed abonniert habt, bekommt ihr automatisch die neuesten Artikel angezeigt.

Neu an der ganzen Sache ist nun der Feed Manager Anbieter. Ein Feed Manager ist sinnvoll für Statistiken bzw. für eine zentrale Feed-Adresse. Denn sollte sich die Feed-Adresse mal ändern, wie in meinem Fall jetzt, bleibt dem Leser der Feed erhalten. Bisher hatte ich dafür Feedburner benutzt. Zufrieden war ich damit leider nie, denn erstens wurde mein Feed schlecht aktualisiert und zweitens funktionierte die URL Weiterleitung der einzelnen Artikel nicht. Das heißt, sobald man auf einen Artikellink klickte, wurde man stets zur Startseite des Blogs weitergeleitet und nicht zum Artikel.

Das Problem ist mir ungünstigerweise erst vor Kurzem aufgefallen. Feedburner konvertiert die URLs um und aus einem "/" wird ein "2%F". Bedauerlicherweise konnte ich keine Lösung für das Problem finden und habe somit den Anbieter gewechselt. Der neue Anbieter nennt sich Feedcat, ist auf den ersten Blick übersichtlicher und im Endeffekt hoffentlich auch zuverlässiger. Der neue Feed ist unter http://feed.feedcat.net/ITrig zu finden und sollte nun auch einwandfrei funktionieren. Also weiterhin viel Spaß beim Lesen.

 

Der Oktober ist ja bekanntlich der Monat, in dem die meisten Äpfel geerntet werden. Viele von euch werden bei früh-herbstlichen Spaziergängen bestimmt schon Bäume entdeckt haben, die voll mit Äpfeln hängen und keiner will sie haben.

Diese Äpfel umsonst an den Mann zu bringen, hat sich Mundraub.org zur Aufgabe gemacht. Wobei es dem Projekt nicht nur um Äpfel geht, sondern um jegliches Obst bzw. Nüsse, Beeren und Kräuter, die herrenlos ihr Dasein fristen. Das Prinzip basiert auf Google Maps. Hier kann auf einer Karte jeden potenziellen Baum oder Strauch, der verlassen am Wegesrand steht, eingetragen oder gefunden werden kann. 

Die Betreiber weisen ausdrücklich darauf hin, dass nur frei verfügbares Obst oder Gemüse "geerntet" werden darf.

"Wahre Mundräuber gehen behutsam mit den Bäumen, der umgebenden Natur und den dort lebenden Tieren um und lassen beim leisesten Zweifel über die Freigabe eines Baumes die Finger von den Früchtchen und haben Freude daran, dem fruchtigen Ort etwas zurückzuschenken – sei es einfach durch ein gutes Gespräch rund um kostbares Obst, einen Besuch im nahegelegenen Hofladen oder Café oder sogar durch ein Engagement bei der Pflege von Obstbäumen."

Auf der Deutschlandkarte könnt ihr anhand der Symbole erkennen, um welche Art von Baum oder Strauch es sich handelt. Folgende Sorten sind "im Angebot"

Ich denke, bei der Auswahl sollte sich jeder den Gang zum Supermarkt mal sparen können, denn die Karte ist schon ganz gut gefüllt. Eine super Idee von den 5 Leuten hinter Mundraub.org, denn bevor das Obst verfault, kann man es auch essen.