ACHTERGROND - Je bent op reis en je hebt weinig zin in torenhoge roaming- of internetkosten. Gelukkig biedt je hotel internet aan en zijn er zelfs gratis openbare hotspots vlakbij het strand of dat eethuis. En dus maak je daar gretig gebruik van. Goedkoop is het wel, maar of het ook veilig is...

Een internetverbinding hebben is een levensbehoefte geworden. In de eerste plaats thuis en op het werk, maar net zo goed ook onderweg. In het café of het restaurant, in het museum, op het stadsplein of in de trein zoek je haast automatisch naar een openbare, gratis hotspot. Zo'n hotspot is namelijk een welkom alternatief als je 3G-verbinding erg zwak is of om dure roamingkosten of mobiele datatarieven te vermijden. Handig en goedkoop dus, maar jammer genoeg niet zonder risico's!

Handige hotspot?

Wat veel gebruikers namelijk niet weten, is dat zo'n hotspot de gegevens naar alle potentiële ontvangers verstuurt, ongeveer zoals een radiozender dat doet. Dat houdt meteen in dat iedereen die met diezelfde hotspot verbonden is, het dataverkeer van de andere gebruikers kan afluisteren en zelfs heimelijk kan aanpassen. Dat geldt in de eerste plaats voor een niet-versleuteld openbaar netwerk, maar het kan je ook overkomen op (bijvoorbeeld) het versleutelde netwerk van je hotel. Althans, wanneer de hacker eveneens het inlogwachtwoord kent, bijvoorbeeld wanneer hij ook gast is in dat hotel.

Maar er zit nog meer risico vast aan een niet-versleuteld draadloos netwerk of aan een netwerk waarvan ook andere (niet noodzakelijk betrouwbare) personen de sleutel kennen. Het is voor een hacker immers een koud kunstje om zelf een hotspot op te zetten met een eigen accesspoint of desnoods met zijn smartphone of laptop (bijvoorbeeld met de app Shark for Root). Die mogelijkheid zit standaard ingebouwd in de meeste smartphones en zelfs in Windows. Wanneer die hacker nu zijn hotspot dezelfde naam geeft als een 'onschuldige' hotspot uit de buurt (zoals 'Starbucks' of 'McDonald's') en waar nodig hetzelfde wachtwoord gebruikt, dan is de kans groot dat jij met de verkeerde hotspot een verbinding opzet. Zeker wanneer het signaal van de hacker-hotspot sterker doorkomt dan dat van de bonafide hotspot.

©PXimport

Snel even een hotspotje opzetten ... Starbucks, misschien?

De hacker

Wanneer je met een draadloos netwerk bent verbonden waartoe ook een hacker toegang heeft, of je toestel een verbinding heeft opgezet met de hotspot van een hacker, dan zijn er verschillende scenario's mogelijk. Zeker in de (realistische) veronderstelling dat de hacker de nodige tools of apps heeft geïnstalleerd. We bespreken de verschillende scenario's in de volgende alinea's. De programma's die we hierbij noemen maken duidelijk dat deze lang niet allemaal voor illegale doeleinden gemaakt zijn. Ook heel dagelijkse tools zoals inSSIDer en Wireshark worden gebruikt (of misbruikt?).

Gegevens uitlezen

Met behulp van gespecialiseerde wifi-netwerkscanners (zoals inSSIDer, Fing, Wifi Analyzer en iNet) komt de hacker dan niet alleen het IP- en MAC-adres van je toestel te weten, maar ook de hostnaam. Bij Apple-apparaten bestaat die laatste vaak uit de volledige naam van de eigenaar van het apparaat. Sommige tools tonen tegelijk de services die op zo'n apparaat beschikbaar zijn. Zitten daar bijvoorbeeld UPnP-services of gedeelde netwerkshares zonder wachtwoordbeveiliging tussen, dan loop je alvast het risico dat de hacker zomaar in je documenten of vakantiefoto's kan rondsnuffelen.

©PXimport

Netwerkscanner Fing legt in één moeite ook de achterliggende clients en services bloot.

Pakketbesnuffeling

Met krachtige packet sniffers (zoals Kismet of Wireshark) kan de hacker bovendien al het onversleutelde dataverkeer opvangen en vastleggen voor verdere analyse. Op die manier komt hij snel te weten naar welke sites je surft en mogelijk zelfs wat je logingegevens zijn voor bepaalde diensten. Lang nog niet alle diensten vereisen namelijk een versleutelde verbinding bij het aanmelden. Of een webservice versleutelt bijvoorbeeld wel de aanmeldingsprocedure zelf, maar niet wat je verder allemaal naar die service verstuurt zodat de hacker dat allemaal wel te zien of te lezen krijgt.

De kans is overigens reëel dat je e-mailclient je loginnaam en het bijbehorende wachtwoord in leesbare vorm (plain text) over het netwerk verstuurt. Krijgt een hacker deze gegevens in handen, dan kan hij via dat account ook toegang krijgen tot heel wat andere diensten. Hij zal dan bijvoorbeeld eerst je wachtwoord wijzigen bij je e-mailservice en vervolgens bij andere diensten aangeven dat je je wachtwoord vergeten bent. Het nieuwe wachtwoord van die diensten wordt dan automatisch naar je mailbox gestuurd ... die op dit moment alleen de hacker nog kan openen.

©PXimport

Een netwerksniffer vist 'plain text' wachtwoorden (hier: uit Outlook) er zo uit!

Internetbankieren gehackt!

Eind mei maakte de nieuwssite nu.nl melding van een nieuw type aanval op elektronische transacties. Door een eigen hotspot op te zetten (bijvoorbeeld met het beruchte apparaat WiFi PineApple, dat allerlei hackingtools heeft ingebouwd) kan een hacker met behulp van zogenoemde SSL-stripping een bankiersessie overnemen en zich dus effectief als een 'man-in-the-middle' opwerpen. Hierdoor kan hij ongemerkt online transacties aanpassen en bijvoorbeeld het bankrekeningnummer van de begunstigde wijzigen. Intussen hebben de meeste banken dit lek wel gedicht en ervoor gezorgd dat de beveiliging van de verbinding wordt afgedwongen.

Het probleem is wel dat ook de browsers hun protocollen hiervoor moeten aanpassen en op het moment van dit schrijven is dat nog steeds niet gebeurd met Internet Explorer! "Dat is iets voor de eerstvolgende versie", aldus Microsoft. Voorlopig ben je dus veiliger af met een alternatieve browser zoals Chrome, Firefox of Safari.

©PXimport

WiFi Pineapple Mark V Standard: een hackershotspot voor nauwelijks 75 euro.

Sessieovername

Met speciale tools (zoals AndroidSheep dat een paar jaar geleden berucht was, maar nog altijd te downloaden en te gebruiken is) is het bijvoorbeeld ook mogelijk dat een hacker op eenvoudige manier je sessie met bepaalde webdiensten, zoals Facebook of Twitter, overneemt. Dat kan door het hotspotverkeer gericht af te luisteren naar sessiecookies voor die webdiensten. De hacker hoeft dan weinig meer te doen dan een cookie aan te klikken om zelf aan de slag te gaan met jouw reeds geauthentiseerde sessie. Op die manier krijgt hij toegang tot je account en hij kan bijvoorbeeld zelfs in jouw naam berichten posten.

Heeft de hacker een eigen, valse hotspot geactiveerd, dan ben je meteen ook vatbaar voor phishing-praktijken in een variant waar geen e-mail aan te pas komt. Hij hoeft daarvoor slechts een webserver op te starten en de verzoeken van je browser naar die server om te leiden. Zodra je je dan bij een bepaalde site wilt aanmelden kan hij een nagemaakte inlogpagina tonen, waarin je nietsvermoedend je login-ID invult. Je denkt dus dat je inlogt op de gewone website, maar stuurt je gegevens onbewust rechtstreeks naar de hacker.

De gebruiker

De moraal van dit verhaal mag duidelijk zijn: vermijd zoveel mogelijk publieke (gratis) hotspots, tenzij je er weinig problemen mee hebt dat iemand ongemerkt over je schouders mee kijkt. Privacygevoelige surfsessies en online bankieren horen wat ons betreft alvast niet thuis in zo'n onveilige omgeving. Wil je uit praktische of financiële overwegingen toch bij een openbaar draadloos netwerk aansluiten, dan neem je maar beter de volgende adviezen in acht.

Neem met je mobiele apparaat zo dicht mogelijk plaats bij de hotspot: dat verkleint het risico dat een valse hotspot die verbinding overneemt. Laat je apparaat niet automatisch een verbinding opzetten met een eerder gebruikt netwerk: ook dat verkleint de kans dat je (ongemerkt) met een valse hotspot in verbinding komt. Daartoe moet je dus regelmatig de lijst met netwerken opschonen. Op een Windows-toestel doe je dat in het Netwerkcentrum, bij Draadloze netwerken beheren. Op een Android vind je die lijst via Instellingen / Draadloos en netwerken / Wifi (via het optieknopje, Geavanceerd kun je hier meteen ook de optie Netwerkmelding - Melden wanneer een open netwerk beschikbaar is uitschakelen). Op een iOS-toestel kun je slechts de netwerken negeren die op dat ogenblik beschikbaar zijn: klik het I-pictogram aan naast de netwerknaam en kies Vergeet dit netwerk.

Controleer ook altijd goed alle aanmeldpagina's van websites, zeker wanneer de webpagina niet versleuteld blijkt (en dus niet met https:// begint). Zoals we hierboven al schreven kan zo'n pagina namelijk geheel vervalst zijn.

©PXimport

Versleuteld e-mailen met behulp van SSL/TLS of STARTTLS.

Openbaar netwerk

Let er tevens op dat je niet ongewild gegevens over het netwerk deelt. Op een Windows-computer zorg je er met name voor dat je bij een nieuw netwerk de optie 'openbaar netwerk' selecteert, zodat de firewall van Windows zichzelf zo instelt dat er van buitenaf niemand je shares of services als UPnP-AV (denk aan de Windows Media Player) kan benaderen. Een firewall op een smartphone of tablet is in principe niet nodig gezien daar standaard geen servers op actief zijn.

Verder maak je zoveel mogelijk gebruik van versleutelde communicatie. Dat geldt zowel voor je browser als voor je e-mailclient (bij IMAP/POP3 en bij SMTP stel je dan een beveiligde verbinding in, gewoonlijk iets als SSL/TLS of STARTTLS, selecteer echter niet de optie Alle certificaten accepteren). Een versleutelde verbinding verdient zeker de voorkeur: controleer regelmatig of je (nog steeds) via https:// en niet gewoon http:// surft en of het juiste sloticoontje op de juiste plaats in de adresbalk staat. Krijg je melding van een ongeldig certificaat, dan kan dat mogelijk wijzen op een hackersaanval. Doe je toch aan internetbankieren, gebruik dan zoveel mogelijk de bankier-app op een mobiel apparaat in plaats van je browser. Zo'n app is namelijk niet gevoelig voor SSL-stripping (zie ook kader 'Internetbankieren gehackt!').

©PXimport

Een hotspot stel je (met het oog op de firewall) het beste in als een 'openbaar netwerk'.

VPN

Idealiter verbind je je altijd via een VPN (virtual private network) omdat op die manier letterlijk alle dataverkeer versleuteld via een 'tunnel' naar een vertrouwde server loopt. Wees er je echter van bewust dat er ook tools bestaan die er specifiek op gericht zijn het netwerkverkeer te verstoren, zodat wel je VPN-connectie wordt onderbroken, maar niet je draadloze verbinding. Ga dus ook regelmatig na of je wel degelijk nog met je VPN-service verbonden bent.

©PXimport

Er bestaan verschillende VPN-services (hier: Hotspot Shield).

Versleutelde communicatie

Een verbinding via 3G/4G is hoe dan ook veel veiliger dan via een wifi-hotspot. Sinds de onthullingen van Edward Snowden weten we echter dat ook dat verkeer onderschept wordt, behalve als je stevige end-to-end-versleuteling gebruikt. Versleuteld bellen kan eigenlijk alleen zonder al te veel moeite met een Android-toestel, via de opensource-app RedPhone. Dat geldt eveneens voor het versturen van tekstberichten: dat kan op een Android met de gratis app TextSecure en op iOS tot op zekere hoogte met de app iCrypter (€ 2,69).

Versleuteld chatten wordt mogelijk gemaakt door het gratis ChatSecure. Deze app kan met verschillende chatprotocollen overweg en is zowel voor Android als iOS beschikbaar. Het e-mailverkeer kun je versleutelen via OpenPGP, bijvoorbeeld met de gratis app APG voor Android of iPGMail voor iOS (€ 1,79) maar dat vereist wel de nodige voorbereiding, met name voor het aanmaken van het vereiste inlogsleutels.

©PXimport

Versleuteld bellen kan met de gratis Android-app RedPhone.

Ben je op koffiegebied een echte fijnproever? Misschien is deze gloednieuwe automatische espressomachine van Siemens dan wel iets voor jou. Dit stijlvol vormgegeven apparaat ondersteunt maar liefst 35 koffiesoorten. Naast gangbare smaken als cappuccino, espresso en americano maak je met de EQ700 Integral net zo makkelijk exotischer dranken. Een ristretto, flat white of cold brew macchiato? Geen probleem! We nemen de proef op de som.

Siemens heeft zijn nieuwste espressomachines zorgvuldig verpakt. Op de productdoos staan zelfs instructies over hoe je de EQ700 Integral het best kunt uitpakken. Het is een behoorlijk groot en zwaar apparaat: respectievelijk 38 × 35,2 × 46,7 centimeter en 10,7 kilo. Reserveer dus voldoende ruimte in je beoogde koffiecorner. In de verpakking zit nog een klein doosje met losse accessoires, zoals een rooster, een aanbrenghulp voor het waterfilter, een teststrip voor de waterhardheid en een Nederlandstalige handleiding.

©Maikel Dijkhuizen

Robuuste behuizing

Siemens hanteert voor dit model weliswaar een stevige adviesprijs van 1249 euro, maar daar krijg je wel een stijlvol vormgegeven koffiemachine met een hoge bouwkwaliteit voor terug. Het apparaat is afgewerkt met roestvrij staal en stevig kunststof. Mooi meegenomen is dat alle losse onderdelen wel een stootje kunnen hebben, zoals het deksel van het bonenreservoir en de lekschaal. Alles voelt zeer solide aan.

De watertank van 2,4 liter heeft een handig handvat. Die vul je dus eenvoudig onder de kraan. Het bovenste vak biedt plek aan 320 gram bonen, terwijl je 700 milliliter in het melkreservoir kwijt kunt. Wil je melkdranken bereiden, dan klik je het benodigde reservoir aan de zijkant vast.

Duidelijk aanraakscherm

Het heldere touchscreen van 5 inch is een echte blikvanger. Dankzij het gebruiksvriendelijke menu laat de EQ700 Integral zich makkelijk bedienen. Als je de koffiemachine voor de eerste keer inschakelt, neem je eerst enkele instellingen door. Kies op het scherm onder andere de Nederlandse taal en koppel de koffiemachine optioneel aan de Home Connect-app op een smartphone (waarover later meer).

Neem even de tijd om het apparaat gebruiksklaar te maken. Je dient onder meer het waterfilter te ontluchten en de waterhardheid in te stellen. Volgens Siemens is het noodzakelijk om dit filter elke twee maanden te vervangen, maar je kunt de koffiemachine ook prima zonder gebruiken. Vermoedelijk moet je het apparaat dan wel wat vaker ontkalken.

©Maikel Dijkhuizen

Koffie bereiden

Een kopje koffie bereiden werkt simpel. Tik op het aanraakscherm op de soort koffie die je wilt drinken. De afbeeldingen zijn erg duidelijk, zodat gebruikers zich niet snel zullen vergissen. Je stelt bij elke variant de koffiesterkte, de hoeveelheid en het aromaprofiel in. Voor het aromaniveau selecteer je de optie Mild, Gebalanceerd of Karakteristiek. Kies je een melkdrank, dan tik je op het scherm eveneens op de gewenste hoeveelheid. Een nuttige functie is dat je elke koffiesoort met de gewenste bereidingsopties aan je favorieten kunt toevoegen.

Onder het tabblad Klassiekers vind je alle bekende koffiesoorten. Wil je eens wat anders uitproberen, dan tref je bij coffeeWorld nog véél meer variaties, waaronder wiener melange, café au lait en slow brew. Bij elke soort lees je op het scherm een korte beschrijving. Verder kies je via coffeeWorld+ ook nog koffierecepten in de Home Connect-app. Gebruik de app daarnaast om de bereiding op afstand te starten, instellingen te wijzigen en nieuwe software-updates te installeren.

De EQ700 Integral heeft onderhuids verschillende sensors. Die zorgen voor de juiste temperatuur en een goede verhouding tussen koffie en water. De keramische molen is verrassend stil. Boven de koffie- en melkuitloop bevinden zich twee felle ledlampen. Kortom, zet gerust ook in het donker een kopje koffie. Het allerbelangrijkste is natuurlijk dat de dranken lekker smaken. Daarover kunnen we kort zijn, want onder leiding van deze espressomachine bereid je heerlijke koffie.

©Maikel Dijkhuizen

Espressomachine reinigen

Elke uitgebreide koffiemachine vereist het nodige onderhoud, en dat is bij de EQ700 Integral niet anders. Siemens maakt het zijn gebruikers zo makkelijk mogelijk. Zo start de machine na elke melkdrank op eigen houtje een stoomspoeling om het kanaal voor de melktoevoer te reinigen. Zoals je van een apparaat in deze prijsklasse mag verwachten, kun je ook een ontkalkingsprogramma starten. Op jouw verzoek lees je op het scherm hoe je verschillende componenten kunt reinigen, zoals de zetgroep en drankuitloop. De instructies zijn erg duidelijk, waardoor je de papieren handleiding eigenlijk niet eens nodig hebt.

Siemens EQ700 Integral kopen?

Probeer je graag diverse koffievariaties uit, dan is de EQ700 Integral zeer geschikt. Je kunt naar hartenlust met uiteenlopende soorten en drankopties experimenteren. Houd je het liever alleen bij cappuccino, espresso en normale koffie? Dan zijn er goedkopere alternatieven op de markt.

Philips Hue is voor velen hét merk als het om slimme lampen gaat, maar de verlichting is niet goedkoop. Dat weet de fabrikant ook. Een nieuwe lijn Essential-lampen sluit een paar compromissen in ruil voor een veel lagere prijs. In deze review lees je hoe de Philips Hue Essential-lampen bevallen en waar je op inlevert ten opzichte van reguliere Hue-verlichting.

De Hue Essential-lijn is verkrijgbaar in diverse uitvoeringen, waaronder de door ons geteste E27-lampen die wittinten en kleuren kunnen tonen. We ontvingen een doos met drie E27-peertjes, die samen 50 euro kosten en die je direct kunt gebruiken - ook zonder Philips Hue-bridge. De lampen communiceren namelijk via bluetooth. Met een duidelijke maar: om de lampen te bedienen, moet je namelijk binnenshuis zijn. Wil je op een andere locatie je verlichting aanpassen, dan is er geen bluetooth-verbinding en kun je weinig uithalen. De Bridge (50 euro of 90 euro voor de Bridge Pro) lost dit probleem op. De bridge communiceert met de lampen en is zelf via wifi benaderbaar, waardoor jij overal met een internetverbinding je lampen kunt aansturen.

©Rens Blom

Installeren

De Essential-lampen installeren is een fluitje van een cent. Je pakt de Philips Hue-app erbij, scant de qr-code op een peertje en draait hem in een lamp. Daarna bepaal je de kleur van de lamp en kun je eventueel andere instellingen aanpassen. Dit werkt allemaal als een trein, zoals we van Philips Hue-verlichting gewend zijn. De Essential-lampen functioneren ook helemaal naar behoren binnen ons bestaande Hue-ecosysteem met niet-Essential-lampen. Scènes, automatiseringen en accessoires zijn allemaal te koppelen. Hier merk je duidelijk dat je producten van hetzelfde merk gebruikt.

©Rens Blom

Verschillen met reguliere Hue-lampen

Om de Essential-peertjes goedkoper in de markt te zetten, sluit Philips Hue een paar compromissen. De levensduur van een Essential-lamp is volgens de fabrikant maximaal 15 duizend uur, tegenover maximaal 25 duizend uur voor een reguliere Hue-lamp. Dat kun je op de lange termijn dus merken: je hebt dan sneller een nieuw peertje nodig. Twee andere verschillen kun je juist elke dag ervaren, al hangt dat ervan af of je ook duurdere Hue-lampen gebruikt. Want waar de standaard Hue-verlichting dimbaar is tot 0,2 procent, dimt een Essential-lamp tot 2 procent. Een Essential-lampje geeft op zijn laagste stand dus meer licht, wat mogelijk storend kan zijn als je de lamp als permanent nachtlampje gebruikt. Wij hebben ons er niet aan gestoord.

©Rens Blom

Tot slot het derde verschil: de zogeheten kleurmenging. Een reguliere Hue-lamp gebruikt een geavanceerdere technologie om zijn kleuren af te geven, wat een mooie egale lichtgloed geeft. De Essential-verlichting gebruikt 'basis kleurmenging', stelt Philips Hue. Het licht komt daarom wat minder egaal uit het peertje. Dat zien wij als we onze premium Hue-lampen ernaast houden, maar op zichzelf produceren de Essential-lampen 'gewoon mooi' licht. Via de Hue-app kun je kiezen uit allerlei kleuren en scènes, van lavalamp-blauw tot een kaarsachtige gloed, inclusief bewegingen gesimuleerd door het peertje.

©Rens Blom

©Rens Blom

Conclusie: Philips Hue Essential kopen?

De Philips Hue Essential-lampen sluiten een paar begrijpelijke compromissen ten opzichte van de reguliere Hue-verlichting. Die compromissen vinden wij niet storend. De Essential-verlichting bevalt ons goed, zeker als je weet dat drie E27 Essential-peertjes 50 euro kosten en drie normale E27 Hue-peertjes ruim 100 euro.