ID.nl logo
Wat is ethisch hacken en hoe ga je ermee aan de slag?
© PXimport
Huis

Wat is ethisch hacken en hoe ga je ermee aan de slag?

Een hacker is iemand die probeert binnen te dringen in andermans computer. Het is strafbaar wanneer dat zonder toestemming van de eigenaar van de gegevens gebeurt. Hackers hebben vaak als doel gegevens te stelen, computers over te nemen of onbruikbaar te maken. Maar een ethisch hacker kent zijn grenzen, denkt goed na over wat hij doet en handelt verantwoordelijk. De professionals kunnen leuke premies opstrijken en worden zelfs ingehuurd door bedrijven.

Ethisch hacken is belangrijk en noodzakelijk geworden, omdat hiermee aanvallen van kwaadwillende hackers kunnen worden tegengegaan. Dat gebeurt door te anticiperen op de methodes die zij gebruiken om in systemen in te breken. Bedrijven willen hiermee voorkomen dat hackers toegang krijgen tot de informatiesystemen van hun organisaties. Ze willen kwetsbaarheden in systemen ontdekken en het potentiële risico ervan onderzoeken, voordat kwaadwillende hackers die ontdekken en misbruiken. Daarnaast willen bedrijven de beveiliging van hun organisatie analyseren, verbeteren en versterken. Ook het beleid wordt hierbij vaak onder de loep genomen.

Strafbaar

Digitaal inbreken, oftewel computervredebreuk, is strafbaar. Op het inbreken zelf staat al twee jaar celstraf. Maar wanneer ook informatie gestolen wordt of wordt afgetapt, kan deze straf al sneller oplopen richting vier jaar. Op het platleggen van systemen van anderen met bijvoorbeeld een DDoS-aanval (Distributed Denial Of Service) kan zelfs vijf jaar cel staan wanneer het vitale infrastructuur betreft. Bij ethisch hacken is het daarom ook belangrijk dat de aanvaller niet verdergaat dan strikt noodzakelijk is, want het overtreden van de wet brengt anders wel risico’s met zich mee.

©PXimport

Digitale vaardigheden

Een ethisch hacker heeft diepgaande kennis van de belangrijkste besturingssystemen, zoals Windows, Unix, Linux en macOS en weet alles van netwerkconcepten, verschillende technologieën en gerelateerde hardware en software. Doorgaans zijn ethisch hackers erg bekwaam in het gebruik van de Linux-shell, waarmee efficiënte interactie met computersystemen mogelijk is. Ook goede kennis van de basis van cryptografie is erg belangrijk: dat wordt namelijk gebruikt om elke systeem afzonderlijk digitaal te kunnen beschermen. Daarnaast hebben hackers vaak een programmeerachtergrond. Daardoor weten ze hoe software werkt en hoe ze zwakke plekken kunnen vinden en gebruiken. Een veelgebruikte programmeertaal is bijvoorbeeld Python: die is relatief gemakkelijk te leren en geschikt om snel beveiligingstaken mee te automatiseren.

Specialisaties

Een goede hacker heeft niet alleen veel technische kennis, maar ook andere vaardigheden die belangrijk zijn: bijvoorbeeld het vermogen om zich snel nieuwe technologieën eigen te maken. Ook het goed en analytisch kunnen benaderen van problemen speelt een grote rol en uiteraard moet je als ethisch hacker ook toegewijd zijn aan het beveiligingsbeleid van de organisatie en je bewust zijn van de lokale normen en wetten.

Behalve over veel kennis moet een ethisch hacker ook beschikken over allerlei ‘soft skills’, bepaalde persoonlijke eigenschappen. Zo zijn communicatieve vaardigheden uiterst belangrijk. Het schrijven en communiceren van opgedane bevindingen aan klanten vormt een groot onderdeel van het werk. Een rapportage moet gedetailleerd, duidelijk en beknopt zijn.

En natuurlijk speelt het creatief denkvermogen een belangrijke rol. Tijdens het hacken is het handig om na te denken vanuit het perspectief van een ontwikkelaar. Hoe heeft de ontwikkelaar de applicatie gebouwd? Heeft hij iets gemist? Hoe kan die fout worden misbruikt?

Responsible disclosure

Tegenwoordig kennen we ook de zogenaamde responsible disclosure of Coordinated Vulnerability Disclosure. Als een gebruiker of (ethisch) hacker een beveiligingsprobleem of kwetsbaarheid ontdekt, kan hij dit bij de betreffende organisatie melden en hen voldoende tijd geven om de gevonden zwakke plek aan te pakken, voordat de kwetsbaarheid aan de buitenwereld bekendgemaakt wordt. Veel organisaties hebben inmiddels een beleid opgesteld over hoe ze hiermee omgaan. Er kan bijvoorbeeld in staan dat de organisatie geen aangifte zal doen als de melder geen misbruik maakt van de zwakke plek. De melder moet dan natuurlijk geen malware plaatsen, data kopiëren, wijzigen of verwijderen of andere wijzigingen aanbrengen in het computersysteem.

©PXimport

Bug bounty-platform

Responsible disclosure wordt verder ook wel bug bounty hunting genoemd. Op een speciaal daarvoor opgezet bug bounty-platform kan een klant ethisch hackers vinden die zichzelf beschikbaar stellen voor het hacken van websites. Vaak wordt hierbij vooraf een heel duidelijke scope en specifieke bedragen per gevonden soort kwetsbaarheid afgesproken. De klant betaalt de hackers voor het vinden daarvan. Het bedrag hangt uiteindelijk vaak af van hoe kritisch een kwetsbaarheid is. De eigenaren van het bug bounty-platform controleren de gevonden problemen en leveren de rapportage aan de klant.

De hackers op het platform zijn mensen die dit fulltime doen of studenten met kennis van informatica, freelancers die graag wat extra geld willen verdienen enzovoort. Er zijn inmiddels veel bedrijven met een eigen bug bounty-platform, zoals Facebook, Google, Apple en Github, maar er zijn ook algemene bug bounty-platformen waar meerdere bedrijven zich bij aansluiten. Er zijn veel betrouwbare en kwalitatief goede platformen, zowel nationaal als internationaal. HackerOne, BugCrowd en Intigriti zijn een aantal van de bekendste platformen.

©PXimport

Penetratietesten

Steeds meer bedrijven zetten ethisch hackers in om hun security te testen. Dat doen deze hackers door security assessments en penetratietests uit te voeren. Ze werken daarbij volgens bepaalde methodieken en voeren hun hacks systematisch uit.

Voordat een penetratietest (vaak afgekort tot pentest) daadwerkelijk wordt uitgevoerd, worden eerst de zogenoemde ‘rules of engagement’ opgesteld: een set vereisten en afspraken. Hierin is gedefinieerd hoe een penetratietest wordt uitgevoerd, welke methodologieën gebruikt worden, wat de begin- en einddatum van de test is, welke mijlpalen er zijn, welke doelen de penetratietest heeft, welke verplichtingen en verantwoordelijkheden er zijn enzovoort. Deze afspraken moeten onderling overeengekomen worden tussen zowel de klant als de tester, voordat aan de penetratietest begonnen kan worden.

Rules of engagement

De belangrijkste vereisten en afspraken voor een penetratietest zijn:

  • Toestemming om te mogen hacken en een geheimhoudingverklaring, door beide partijen ondertekend.
  • De omvang of scope van de opdracht: welk deel of onderdeel van de organisatie moet precies getest worden?
  • De duur van het project. Hierin worden zowel de start- als de einddatum genoemd.
  • De te gebruiken methodologie voor het uitvoeren van de penetratietest.
  • Het doel of de doelen van de penetratietest.
  • De technieken die zijn toegestaan om te gebruiken, maar ook de technieken die niet toegestaan zijn, zoals een denial-of-service-test (DDoS).
  • Alle verplichtingen en verantwoordelijkheden, zoals de omgang met aangetroffen gevoelige informatie (bijvoorbeeld creditcardgegevens).

Type penetratietest

Ook moet het type penetratietest worden bepaald. Een penetratietest kan black box, white box of grey box zijn, afhankelijk van wat de organisatie wil testen. Bij de black box-test wordt er weinig of geen informatie gegeven over het gespecificeerde doel. Het enige wat verstrekt wordt, zijn bijvoorbeeld de ip-adressen die getest moeten worden als het een netwerkpenetratietest betreft. Over de besturingssystemen, serverversies, open poorten enzovoort wordt niks vrijgegeven. En als het om een penetratietest van een webapplicatie gaat, wordt er geen broncode verstrekt, maar alleen de domeinnaam of url waartegen getest mag worden.

Bij een white box-penetratietest wordt juist bijna álle informatie verstrekt. Gaat het om een netwerkpentest, dan krijgt de hacker informatie over de applicatie, versienummers, type besturingssystemen enzovoort, en soms zelfs netwerktekeningen. Bij een webapplicatie-penetratietest wordt de broncode van de applicatie verstrekt, zodat er statische en dynamische broncode-analyse op uitgevoerd kan worden. White box komt het meest voor bij interne of on-site penetratietests, waarbij organisaties zich zorgen maken over het lekken van informatie.

Bij een grey box-penetratietest wordt wel wát informatie verstrekt, maar sommige informatie wordt, al dan niet met opzet, verborgen gehouden. De hacker krijgt bijvoorbeeld wel de ip-adressen die getest moeten worden, maar niet de exacte versienummers van achterliggende applicaties of services. Ook in het geval van webapplicaties kan extra informatie worden verstrekt, zoals accounts om mee te kunnen testen, database-informatie enzovoort.

Methodologieën

Er zijn verschillende soort methoden voor het uitvoeren van penetratietests. We gaan kort in op drie daarvan.

OSSTMM (Open Source Security Testing Methodology Manual) omvat in feite bijna alle stappen die geassocieerd worden met een penetratietest. De methode is beknopt, maar het proces is wel omslachtig, wat het moeilijk maakt om te implementeren. Wil je je echt verdiepen in OSSTMM, dan kun je een uitgebreide handleiding vinden op www.isecom.org/research.html.

NIST is uitgebreider dan OSSTMM en kan in kortdurende opdrachten toegepast worden. De stappen van deze methodologie zijn: plannen, ontdekken, aanvallen en rapporteren. Het testen begint al in de planningsfase; daar wordt ook besloten hoe de opdracht uitgevoerd wordt. De ontdekkingsfase is tweeledig, namelijk het verzamelen van informatie, netwerk scannen, service-identificatie en besturingssysteem-detectie, en in het tweede deel worden de kwetsbaarheden beoordeeld. Daarna volgt de aanvalsfase. Wordt er een nieuw doel (bijvoorbeeld een computer of server) ontdekt, dan wordt er weer teruggegaan naar de ontdekkingsfase. Dit proces wordt herhaald tot er geen doelen meer te ontdekken zijn. Een doelwit wordt aangevallen en vervolgens worden de resultaten gerapporteerd.

Naast de methodologieën die vooral gericht zijn op het uitvoeren van een netwerkpenetratietest is er ook een methodologie die speciaal gebouwd is voor het testen van webapplicaties. De OWASP-methodologie, die je vindt op www.owasp.org, wordt gevolgd bij het uitvoeren van applicatie-penetratietests. De OWASP testing guide bevat in feite alles waarop een webapplicatie getest zou moeten worden. Deze gids is uitgebreid en opgesteld door verschillende securitytesters voor webapplicaties.

©PXimport

Fases van penetratietests

Een penetratietest bestaat meestal uit een aantal standaardfases die doorlopen moeten worden. Scoping In deze fase wordt de opdracht duidelijk gespecificeerd en wordt de offerte opgesteld. Er wordt een scope voor de opdracht bepaald: wat mag wel en niet getest worden en welke technieken zijn toegestaan. Tevens wordt de tijdsduur afgesproken. Die kan variëren van een paar dagen tot enkele weken. Kick-off De kick-off meeting worden gehouden nadat de offerte getekend is en de scope overeengekomen is. Hiermee wordt de start van het project gemarkeerd. Tijdens een kick-off meeting worden technische en niet-technische zaken besproken, zoals de tijd en locatie van de test, contactpersonen, technische details, benodigde voorbereiding enzovoort. Ook worden NDA’s (Non Disclosure Agreement) en autorisatieformulieren getekend, zodat het hacken niet op illegale wijze gebeurt. Voorbereiding Tijdens deze fase worden eventuele filters of tussenliggende systemen uitgeschakeld, zodat alleen de afgesproken doelsystemen getest worden. Verder worden testgebruikersaccounts uitgeprobeerd met de verstrekte wachtwoorden, om er zeker van te zijn dat alles werkt zodra de test begint. Penetratietest In deze fase wordt de test zelf uitgevoerd. Review Tijdens een reviewmeeting of debriefing wordt de rapportage doorgelopen met de klant en de ethisch hacker(s). Zo kunnen eventuele vragen beantwoord worden, zodat de klant duidelijk weet hoe de kwetsbaarheden gevonden zijn en eventueel opgelost kunnen worden.

Soorten penetratietests

Er zijn verschillende soorten penetratietests. In een netwerkpenetratietest wordt een netwerkomgeving getest op potentiële beveiligingskwetsbaarheden en bedreigingen. De netwerkpenetratietest is onder te verdelen in een interne en een externe test. Bij de externe test worden de openbare ip-adressen getest, terwijl bij een interne test de tester onderdeel wordt van het interne netwerk. Dit kan door bijvoorbeeld toegang te krijgen via een VPN-verbinding of door fysiek achter een werkplek binnen het bedrijf plaats te nemen.

Social engineering is een test die onderdeel zou kunnen zijn van de netwerkpenetratietest. Hierbij worden de gebruikers binnen de organisatie aangevallen, bijvoorbeeld door middel van spear phishing-aanvallen en browser exploits.

De webapplicatie-penetratietest is er een die tegenwoordig veel voorkomt. Webapplicaties bevatten veel kritieke gegevens – zoals creditcardnummers, gebruikersnamen en wachtwoorden, zoals bij een webshop. De webapplicatie-pentest is daarom gebruikelijker dan de netwerkpenetratietest.

Een van de nieuwere soorten penetratietests is die voor mobiele applicaties. Bijna elke organisatie biedt tegenwoordig diensten aan klanten aan via een Android- en/of iOS-app. Omdat gebruikers daarin vaak persoonlijke gegevens verstrekken, is het natuurlijk heel belangrijk dat ook deze mobiele applicaties veilig zijn.

Als laatste noemen we nog de fysieke penetratietest. Hierbij probeert de tester bijvoorbeeld ongezien een gebouw van een organisatie binnen te lopen om zo fysieke beveiligingscontroles zoals sloten en RFID-kaartlezers te testen.

Rapportage

Het eindrapport is het cruciaalste onderdeel van de penetratietest. Dat is waar de klant uiteindelijk voor betaalt en dat is waar alle bevindingen en aanbevelingen in staan beschreven. De rapportage moet eenvoudig, duidelijk en begrijpelijk zijn. Correcte spelling en grammatica en ook een consistente stijl wat betreft schrijfwijze zijn belangrijk, net als een overzichtelijke hoofdstuk- en alinea-indeling.

Inhoudelijk mag het rapport uiteraard geen vragen oproepen. Zo moet de rapportage over gevonden kwetsbaarheden voorzien zijn van een gedetailleerde analyse met screenshots die het bewijs aantonen van een bevinding. False positives (kwetsbaarheden die dat eigenlijk niet zijn) moeten goed onderzocht en geëlimineerd zijn.

Doelgroep

Uiteraard is het belangrijk om een duidelijk beeld te hebben van het publiek waarvoor je het rapport schrijft. Is het bedoeld voor managers en leidinggevenden of voor techneuten en ontwikkelaars? Een CEO is vaak niet geïnteresseerd in de exploit die gebruikt is om toegang te krijgen tot een bepaald systeem, terwijl een ontwikkelaar waarschijnlijk weer niet geïnteresseerd is in de risico’s en potentiële verliezen van het bedrijf. De ontwikkelaar wil graag de code begrijpen en gedetailleerde bevindingen lezen. De CEO zal voornamelijk geïnteresseerd zijn in het lezen van de samenvatting. Het is voor een ethisch hacker dus essentieel om het publiek voor zijn rapportage goed te kennen.

Onderdelen rapportage

Een goede rapportage van een penetratietest bestaat in ieder geval uit de volgende onderdelen:

  • Management-samenvatting: hierin worden de bevindingen in grote lijnen samengevat. Deze samenvatting wordt gebruikt voor het rapporteren aan het hoger management.
  • Alle opgedane bevindingen die in detail een beschrijving geven van elk veiligheidsprobleem.
  • Een score die de impact op de software of het systeem aangeeft. Hiermee kan de juiste prioriteit bepaald worden bij het geven van aanbevelingen.
  • Aanbevelingen met een aantal adviezen voor het verbeteren van het veiligheidsniveau op de korte en de lange termijn.
  • Scenario’s waarin manieren worden beschreven voor het combineren van meerdere kwetsbaarheden om te komen tot een specifieke aanval. Dit is meestal ook een soort worst case-scenario.

Kwetsbaarhedenscan of pentest?

Bij een kwetsbaarhedenscan (ook wel vulnerability assessment genoemd) worden kwetsbaarheden of zwakheden binnen toegankelijke diensten geïdentificeerd. Hierbij wordt in de breedte gekeken naar kwetsbaarheden; de informatie in de rapportage blijft daarbij vrij oppervlakkig. De kwetsbaarheid wordt gemeld, maar er wordt over het algemeen niet verder geprobeerd om deze actief uit te buiten om verder te kunnen binnendringen. Meestal wordt zo’n scan uitgevoerd met geautomatiseerde tools, zoals Nessus en OpenVAS. De gevonden kwetsbaarheden kunnen handmatig worden geverifieerd, om eventuele fouten eruit te halen.

Een penetratietest wordt meestal ook gestart met een kwetsbaarhedenscan. Maar waar een vulnerability assessment niet verder gaan dan het identificeren van kwetsbaarheden, gaat een pentest juist verder de diepte in. Er zal geprobeerd worden om via de gevonden kwetsbaarheid verder het netwerk binnen te dringen. Ook wordt gekeken in hoeverre het mogelijk is om meerdere gevonden kwetsbaarheden te kunnen combineren.

Het grote verschil tussen deze twee tests is dus de diepte én breedte waarin gekeken wordt. Bovendien wordt bij een pentest gekeken of specifieke onderzoeksvragen beantwoord kunnen worden, iets wat bij een kwetsbaarhedenscan niet het geval is.

©PXimport

Social engineering

Hoewel een hacker voornamelijk in het digitale domein werkt, is social engineering vaak een belangrijk gereedschap. Bij social engineering wordt geprobeerd om via de gebruikers van een systeem of de werknemers van een bedrijf binnen te komen. Een systeem is immers zo sterk als de zwakste schakel en dat zijn vaak mensen die met deze systemen werken.

Bij social engineering wordt feitelijk gebruikgemaakt van menselijke zwakheden en niet van kwetsbaarheden in software of systemen. Deze fouten zijn dan ook veel lastiger te voorkomen dan inbraken via software. Daardoor behoort deze manier van aanvallen ook tot een van de grootste risico’s voor de beveiliging van een organisatie.

Bij social engineering wordt gebruikgemaakt van menselijk interactie en worden mensen vaak gemanipuleerd om daarmee normale beveiligingsprocedures te doorbreken. Zo kan een hacker vervolgens toegang krijgen tot bijvoorbeeld systemen, netwerken of fysieke locaties. Social engineers spelen vaak in op emoties en rekenen op de behulpzaamheid van de meeste mensen. Ze doen zich bijvoorbeeld voor als een collega met een urgent probleem – en natuurlijk wil je die wel even helpen door bijvoorbeeld het wachtwoord van het bedrijfsnetwerk door te mailen. Ook onzorgvuldigheid, nieuwsgierigheid, angst, verlangen en onwetendheid zijn psychologische ‘zwakke plekken’ waar dit soort hackers zich veel op richten.

Eerste stap

Hackers gebruiken social engineering vaak als eerste stap voor grotere aanvallen. In een eerste fase wordt onderzoek gedaan en verkenning uitgevoerd van het doelwit. Een veelvoorkomende tactiek is dat de social engineer focust op het gedrag en de patronen van werknemers die lage toegangsrechten hebben, maar wel zorgen voor de eerste toegang, zoals de receptionist of bewaker. Maar het kan ook zijn dat iemand wordt verleid tot het downloaden van software of het onthullen van bepaalde vertrouwelijke informatie.

Vormen van social engineering

Er zijn veel verschillende vormen van social engineering. De populairste vormen leggen we nader uit. Daarnaast zijn er nog meer social engineering vormen, zoals pretexting, water-holing, baiting, quid pro quo enzovoort. Wil je je echt verder verdiepen in social engineering, dan vind je online veel informatie over deze minder bekende soorten. Zoals gezegd kijken we hier vooral naar de bekendste. Phishing Bij phishing stuurt een hacker frauduleuze e-mails vermomd als legitieme e-mail, waarbij hij probeert inlognamen en wachtwoorden te verkrijgen of malware in computeromgeving te introduceren door gebruikers te verleiden een e-mailbijlage te openen. Vaak lijkt het alsof de e-mail afkomstig is van een vertrouwde bron: zo wordt de ontvanger misleid om informatie te delen of een bepaalde actie uit te voeren. Spear-phishing Deze vorm van phishing is vergelijkbaar met de normale phishing, maar is specifiek gericht op een bepaald individu of bepaalde organisatie. Vishing Bij vishing wordt social engineering uitgevoerd via de telefoon. Deze vorm van phishing wordt ook wel voice phishing genoemd. Het doelwit wordt gebeld door een automatisch systeem van spraakberichten en zo gevraagd naar gevoelige informatie. Smishing Bij smishing word je via een sms-bericht benaderd en wordt op die manier geprobeerd inloggegevens, pincodes of creditcard-informatie te verkrijgen. Tailgating/piggybacking Het binnendringen van een elektronisch beveiligde zone door al dan niet gebruik te maken van de beleefdheid van andere mensen wordt tailgating of piggybacking genoemd. Een ander houdt bewust of onbewust de deur voor je open, waardoor je binnenkomt.

©PXimport

▼ Volgende artikel
Review WOLF-Garten multi-star systeem: hoog en laag voor huis en tuin
© AK | ID.nl
Huis

Review WOLF-Garten multi-star systeem: hoog en laag voor huis en tuin

Trapje op, trapje af, of juist telkens moeten bukken: sommige schoonmaak- en tuinklussen zijn én slecht voor je rug én kosten extra veel tijd. Daar heeft WOLF-Garten iets op gevonden: multi-star. Dit systeem bestaat uit een steel (in verschillende lengtes én als uitschuifsteel verkrijgbaar) waarop meer dan 70 verschillende opzetstukken passen. Handig? Je leest het in deze review.

Fantastisch
Conclusie

Met het WOLF-Garten multi-star systeem haal je een allround schoonmaak- en klusarsenaal in huis. Zowel de steel als de geteste opzetstukken zijn solide, makkelijk in gebruik en doen hun werk goed. Handig is dat de Variosteel zowel voor werk op hoogte als voor grondwerk geschikt is, en dat het losse handvat dat bijvoorbeeld bij de 2-in-1 raamreiniger zit ook op andere opzetstukken past. Wel zijn de opzetstukken aan de prijzige kant. Begin daarom met opzetstukken die je regelmatig nodig hebt en kies bewust de juiste lengte steel: dat bespaart geld én gewicht. Al met al is dit een systeem waar we enthousiast over zijn: het resultaat, het gebruiksgemak en de hoeveelheid tijd (en frustratie!) die het scheelt maakt dat wij uitkomen op een dik verdiende 9.

Plus- en minpunten
  • Veel opzetstukken
  • Opzetstukken makkelijk verwisselbaar
  • Steel en opzetstukken solide
  • Veel opzetstukken wentelbaar en/of kantelbaar
  • Goed resultaat, ook op grote hoogte
  • Steel kan zwaar worden (afhankelijk van model)
  • Prijzig

©AK | ID.nl

Voor elke schoonmaak- of tuinklus een apart stukje gereedschap: een gemiddeld keukenkastje of schuurtje is zo vol. Het is dan ook niet vreemd dat steeds meer merken komen met combinatie-oplossingen, waarbij je bijvoorbeeld maar één accu nodig hebt die op verschillende soorten elektrisch gereedschap past. Of één steel voor verschillende opzetstukken. Dat is op zich geen uniek idee: er zijn wel meer merken die dat in het assortiment hebben. Maar vaak gaat het dan alleen om opzetstukken waarmee je kunt schoonmaken, of alleen om opzetgereedschap voor in de tuin.

De kracht van WOLF-Garten zit hem vooral in de enorme keuze die je hebt. Behalve dat je kunt kiezen uit verschillende stelen (van verschillende materialen en van verschillende lengtes) is ook het aantal opzetstukken erg groot. Grofweg kun je die verdelen in twee categorieën: voor de tuin of voor de schoonmaak. In die eerste categorie vallen bijvoorbeeld schoffels, voegenborstels, boomscharen, takkenzagen, gazonharken en verticuteerkammen, terwijl je bij schoonmaak moet denken aan bezems, wissers en schrobbers. In totaal kun je kiezen uit ongeveer zeventig verschillende opzetstukken. Waarmee je dus de hoogte in kunt of juist niet te diep door de knieën hoeft.

Voor deze test kregen wij de aluminium Variosteel ZM-V4 (lengte 220-400 centimeter) opgestuurd, samen met vier opzetstukken: een raamwasser, een flexibele ragebol, een twee-in-een dakgootreiniger en een twee-in-een raamreiniger (wasser + wisser). De telescopische steel is ook verkrijgbaar in een V3-uitvoering (170-300 centimeter) en in een V-uitvoering (90-150 centimeter).

Eerste indruk

Zowel de steel als de opzetstukken voelen solide aan. Het uitschuiven van de steel gaat snel en simpel en opzetstukken verwisselen is letterlijk een kwestie van klik-en-klaar. Sommige opzetstukken kun je kantelen of draaien. De stelschroeven waarmee je dat doet zijn groot en makkelijk te bedienen, ook wanneer je wat minder kracht in je handen hebt. Allemaal geen gedoe dus. Fijn, want gedoe wil nog wel eens een reden zijn om (vooral) schoonmaakklussen uit te stellen.

©AK | ID.nl

De stelschroeven waarmee je de hulpstukken kunt kantelen of in een andere positie zetten zijn groot en gemakkelijk te draaien.

De steel: lang, langer, langst

De Variosteel die wij opgestuurd kregen, de ZM-V4, meet in niet-uitgeschoven toestand 2,2 meter. Daarmee kom je in de meeste gevallen al een eind. Helemaal uitgeschoven kom je zelfs uit op 4 meter. Dat is ruim voldoende om bijvoorbeeld de ramen van de bovenverdieping te lappen. Ook als hij helemaal is uitgeschoven, is hij nog goed hanteerbaar: hij gaat niet 'zwabberen'.

De uitschuifbuis heeft meerdere ronde gaten, op regelmatige afstand van elkaar. Door op de grote grijze greep bovenaan te drukken, schuif je de buis uit tot de gewenste lengte. Het bijpassende gat klikt dan automatisch over een pal aan de binnenkant. Zo blijft de buis stevig op zijn plek tijdens het gebruik. Je hoeft dus niet bang te zijn dat hij halverwege ineens omlaag zakt.

Wel wordt de steel na wat langer gebruik zwaar. Dat heeft te maken met de uitvoering (de ZM-V4 weegt 1,3 kilo, terwijl zijn kleinere broertje de ZM-V3 ongeveer een kilo weegt), maar ook met het feit dat je boven je hoofd werkt. Wij hebben de steel niet getest met opzetstukken voor de tuin (waarbij je niet de hoogte in gaat, maar er bijvoorbeeld mee schoffelt); we kunnen ons voorstellen dat je in dat geval geen of veel minder last van vermoeide armen hebt.

Omdat de steel zo stabiel blijft, werkt hij lekker accuraat, ook op hoogte. Met het ragebol-opzetstuk hebben we spinrag verwijderd van de daklijst van ons test-object. Dat ging én goed én snel: binnen een minuut of vijf was alles weg. Veel meer dan gewoon een rondje lopen om de stacaravan was het niet. De tijdsbesparing is hierbij enorm: we hebben deze klus ook weleens gedaan met de keukentrap en toen kostte het ruim een uur. Trap neerzetten, trap op, spinnenwebben wegvegen, trap af, trap verzetten en repeat (keer dertig ofzo).

💡 De juiste lengte

Is het multi-star-systeem iets voor jou? Bepaal dan vooraf welke lengte je echt nodig hebt. Behalve het verschil in gewicht zit er uiteraard ook een verschil in prijs. Waar de adviesprijs van de ZM-V4 op ongeveer 68 euro ligt, betaal je voor de ZM-V3 bij de meeste winkels tussen de 40 en 46 euro. Mocht je de extra centimeters niet nodig hebben, dan bespaar je al snel een paar tientjes.

©AK | ID.nl

Helemaal uitgeschoven is de steel maar liefst 4 meter lang.

Opzetstukken

Raamwasser: breed en flexibel

De naam 'raamwasser' dekt wat ons betreft niet helemaal de lading. Zeker, de EW-M (prijs ongeveer 29,95 euro) is prima geschikt voor het lappen van je ramen. Maar door zijn riante werkbreedte van 35 centimeter kun je hem ook gebruiken voor het schoonmaken van bijvoorbeeld je zonnepanelen. Wij hebben hem gebruikt voor het schoonmaken van de buitenkant van de caravan. Je kunt hem desgewenst instellen in een hoek tot 110 graden.

De mop neemt veel water op – in de praktijk betekent dat vooral dat je hem niet om de paar tellen weer in de emmer met sop hoeft te hangen. Wat hij ook veel opneemt, is vuil: na gebruik was hij behoorlijk vies. Gelukkig kun je de mophoes er makkelijk afhalen (wat een uitvinding toch, klittenband). In de wasmachine en klaar!

©AK | ID.nl

De raamwasser is verstelbaar in verschillende posities.

Ragebol: dág spinnenwebben!

Je kunt nog zo schoon en netjes zijn, er zijn altijd hoekjes en randjes waar toch nog spinnenweb zit. Binnenshuis lossen we dat op door aan zoonlief (bijna 1 meter 90) te vragen of hij even met de stofzuigerslang langs het plafond wil gaan. Maar het zelf kunnen is ook fijn.

Nadat we de flexibele ragebol (BM 25 M; adviesprijs 29,99 euro) op de steel hadden geklikt en de steel hadden uitgeschoven tot de gewenste lengte, hebben we de daklijst spinragvrij gemaakt. Prettig daarbij was dat de kop zich makkelijk laat kantelen (zie foto). Dat en de schuine kanten van de ragebol zorgden ervoor dat we overal goed bij konden, ook in lastige hoekjes.

©AK | ID.nl

De ragebol is kantelbaar.

Dakgootreiniger: vegen en scheppen

Eén van de vervelendste klussen om te doen vinden wij de dakgoot schoonmaken. Niet alleen omdat we ook daarvoor weer een trapje nodig hebben, maar vooral omdat het vies is en er altijd bladrommel achterblijft. Fijn aan de GC-M (adviesprijs 50,99 euro) is dat hij twee dingen kan: blad bij elkaar vegen met de borstel en blad uit de dakgoot scheppen met het schepje. Daarbij kun je zowel de borstel als de schep in verschillende hoeken zetten, terwijl je het schepje ook nog kunt kantelen. Op de dag dat we aan het werk waren, scheen de zon. De dagen daarvoor had het niet geregend en de bladermassa in de dakgoot was dus niet kletsnat. Maar het vocht dat erin zat, liep grotendeels weg door de smalle openingen in het schepje. Minder geklieder dus. Ook hier geldt dat het belangrijk is om de juiste stoklengte te gebruiken. Wil je de dakgoot van een schuurtje doen waar je eigenlijk net bij kan? Dan kun je de dakgootreiniger beter op een los handvat klikken (zie de alinea over de raamreiniger).

©AK | ID.nl

Met de borstel veeg je bladeren en ander vuil naar één kant ...

©AK | ID.nl

...waarna je ze er met het schepje makkelijk eruit schept.

2-in-1 raamreiniger: wassen en wissen zonder wisselen

Het opzetstuk waar we het meest enthousiast over zijn is de KW-M/ZM015 (adviesprijs 36,99 euro): aan de ene kant een afneembare en uitwasbare mop (met een werkbreedte van 28 centimeter), aan de andere kant een trekker. Hij wordt geleverd met een apart handvat (zie foto), zodat je hem ook kunt gebruiken voor ramen waar je wel gewoon bij kunt. Handig: de andere opzetstukken passen ook op dit handvat.

Nadat we de raamreiniger op de steel hadden bevestigd (klik-klaar, echt fijn) was het tijd om te beginnen aan onze minst favoriete huishoudklus: de buitenramen lappen. Aangezien uw recensent van dienst slechts 1,60 meter hoog is, betekent dit altijd: de keukentrap en veel gehannes (want: en de spons en de wisser tegelijk beethouden is niet handig. En telkens het trapje af om de spons nat te maken ook niet). Gaat het makkelijker met multi-star?

Kort antwoord: JA! Langer antwoord: Ja, zeker. Met name het feit dat we meteen na het natmaken van de ramen de wisser eroverheen konden halen en in één beweging overal bij konden maakte een wereld van verschil. Geen stukken die al aan het opdrogen waren (en dus strepen), en vooral niet meer die ellendige keukentrap. Binnen twee minuten was de raampartij van de slaapkamer gedaan, waarbij we ook en passant al het houtwerk van de kozijnen hadden meegepakt. Het eindresultaat: schoon en streeploos. En vooral: geen frustratie!

💡 Goed laten uitlekken

Net als bij de raamwasser neemt ook het mopgedeelte van de KW-M/ZM015 erg veel water op. Door hem eerst goed te laten uitlekken, voorkom je dat er erg veel water over je kozijnen loopt.

©AK | ID.nl

De korte steel die je bij de raamreiniger krijgt, past ook op veel van de andere opzetstukken.

©AK | ID.nl

Conclusie: WOLF-Garten multi-star systeem kopen?

Met het WOLF-Garten multi-star systeem haal je een allround schoonmaak- en klusarsenaal in huis. Zowel de steel als de geteste opzetstukken zijn solide (je krijgt er 35 jaar garantie op), makkelijk in gebruik en doen hun werk goed. Het feit dat je de Variosteel twee richtingen op kunt gebruiken (de hoogte in of juist voor grondwerk) is prettig, net als het feit dat het losse handvat dat bijvoorbeeld bij de 2-in-1 raamreiniger zit ook op andere opzetstukken past. Wel zijn de opzetstukken aan de prijzige kant. 30 euro voor een ragebol die je misschien hooguit één keer per jaar gebruikt is veel geld. Kies dus, vooral als je start met dit systeem, in eerste instantie opzetstukken die je regelmatig gaat gebruiken. Uitbreiden kan altijd nog. Denk ook goed na welke (uitschuif)lengte je echt nodig hebt. Dat scheelt geld, maar ook gewicht. Al met al is dit een systeem waar we enthousiast over zijn: het resultaat, het gebruiksgemak en de hoeveelheid tijd (en frustratie!) die het scheelt maakt dat wij tot een dik verdiende 9 komen.


Gebruik de groene pijltjes (< en >) om alle besproken producten te kunnen zien


▼ Volgende artikel
Kleine keuken? Zo maak je slim gebruik van elke centimeter
© Jacek Kadaj
Huis

Kleine keuken? Zo maak je slim gebruik van elke centimeter

Niet iedereen heeft een ruime woonkeuken. Misschien woon je in een flat, een klein appartement of heb je bewust gekozen voor een tiny house. Maar ook in een compacte keuken kun je verrassend veel kwijt – zolang je maar slim omgaat met de beschikbare ruimte.

Een kleine keuken betekent dat je wat creatiever om moet gaan met je beschikbare ruimte. In dit artikel geven je een aantal handvatten!

  • Hoe benut je de beschikbare ruimte nou optimaal?
  • Waar valt er nog precies winst (mee) te behalen?

Sommige mensen zeggen weleens dat de keuken het kloppende hart van het huis is. Je begint er je dag met een kop koffie, zit er 's middags met de kinderen om de (school)dag door te spreken en kookt er 's avonds een lekkere maaltijd. Het is ook een plek waar je steeds meer spullen verzamelt. Denk aan pannen, borden, potten, snijplanken, schoonmaakmiddelen enzovoorts. Hoe kleiner je keuken is, hoe lastiger het wordt om al die spullen netjes op te bergen. Maar het kán wel: een kwestie van je keuken goed indelen en alle beschikbare ruimte benutten.

Hang planken en rekken op

Heb je weinig plek (over) op je aanrecht maar nog wel ruimte aan de muur? Dan is het ophangen van een paar planken een goed idee. Kies bij voorkeur planken die passen bij de stijl van je keuken. Omdat de planken in een kleine keuken vooral functioneel moeten zijn (elke centimeter ruimte telt) is het slim om er vooral dingen op te zetten die je vaak nodig hebt. Denk bijvoorbeeld aan potjes met specerijen, glazen of borden.

Is je muur stevig genoeg voor planken?

Controleer voordat je gaten boort of schroeven vastdraait wat voor muur je voor je hebt. Een massieve draagmuur van beton of baksteen is ideaal: daar kun je zonder problemen stevige pluggen en schroeven in bevestigen. Gipswanden of voorzetwanden van gipsplaat zijn kwetsbaarder. Daar moet je speciale pluggen voor gebruiken, zoals hollewandpluggen of keilbouten, afhankelijk van het gewicht dat je erop kwijt wilt. Hoe zwaarder de spullen op de plank, hoe belangrijker een goede verankering. Twijfel je? Tik dan met je knokkels op de muur: klinkt het hol, dan heb je waarschijnlijk met een lichte voorzetwand te maken. Zet in dat geval liever geen zware pannen of breekbaar servies op de plank.

Zorg wel voor overzicht. Grote lepels en spatels kun je bijvoorbeeld verzamelen in een glazen pot of een oude vaas. Daarmee geef je spullen die je al hebt meteen een nieuwe functie. Kijk ook of je ruimte hebt voor bijvoorbeeld een magnetische messenhouder, een rekje of haken. Daar kun je dan scharen, gardes en opscheplepels aan ophangen.

©Marina

Kastdeurtjes hebben twee kanten...

Niet alles hoeft in het zicht. Kijk eens naar de binnenkant van je keukenkastjes. Daar kun je vaak nog best aan hoop aan kwijt. Bevestig wat kleine haakjes en hang daar bijvoorbeeld je afwasborstel en pannenlappen aan. Of hang een klein deurrekje op. Daarin kun je spullen als aluminiumfolie, boterhamzakjes of schoonmaakdoekjes in opbergen kwijt. Let wel op dat je de kastdeur nog goed kunt sluiten.

Keukenkastjes slim indelen

Heb je iets meer ruimte in je keukenkastjes tot je beschikking? Dan kun je ook de onderkant van de planken gebruiken om je wijnglazen aan op te hangen. Er zijn bijvoorbeeld metalen ophangsystemen te koop waar je de glazen zo in schuift. Zorg er wel voor dat er onder die glazen voldoende ruimte overblijft.

Schoonmaakspullen nemen ook al gauw veel ruimte in. Je kunt ze natuurlijk allemaal mooi in het gelid achter elkaar zetten, maar je kunt ze ook allemaal in een emmer doen en alles zo in één keer in het kastje zetten. Dat scheelt ruimte, omdat je zo de hoogte van het kastje beter benut. Bonus: als je wilt gaan schoonmaken, heb je dan meteen alles bij de hand!

Ook slim: gebruik mandjes of opbergdozen om kleine spulletjes in op te bergen. Kunststof opbergboxen kun je bovendien makkelijk stapelen. Doe spullen die je weinig gebruikt in de onderste doos. Wanneer je er een etiket op plakt waarop je de inhoud van de box noteert, blijft alles lekker overzichtelijk.

Hoekkast? Draaiplateau!

Tot slot hebben we nog een tip voor als je een hoekkast in de keuken hebt. Die bieden op zich veel ruimte, maar je komt er zo moeilijk bij. Dat ondervang je door er een onderhoekcarrousel (ja mensen, dat is een bestaande term!) in te plaatsen. Het is een soort draaiplateau met verschillende planken waar je veel op kwijt kunt. Zo'n carrousel is vooral handig voor pannen. Wanneer je de kastdeur opent, komt het plateau automatisch naar buiten. Je benut dus echt alle ruimte in de hoekkast, terwijl je tegelijkertijd geen moeite hoeft te doen om er iets uit te pakken.

©rois010

Kleine keuken? Toch genoeg ruimte!

Je ziet dat je meer ruimte hebt in een kleine keuken dan je misschien zou denken. In een bestaande keuken kun je al de nodige aanpassingen doen zodat je zoveel mogelijk spullen kwijt kunt. Ga je een nieuwe keuken kopen? Zelfs als die niet zo groot is, zijn er veel mogelijkheden. Vraag je keukenleverancier om advies: die hebben vaak nog meer tips voor je!