Je hebt phishingmails zo door en je hebt natuurlijk een firewall en een antivirustool draaien, maar zijn je systeem en je (thuis)netwerk nu helemaal veilig? Microsoft en andere softwareontwikkelaars waarschuwen namelijk geregeld voor nieuwe kwetsbaarheden. Hoe detecteer je die en hoe dicht je de gaten in Windows en in je netwerk?

Elke softwareontwikkelaar hoort zich ook met vulnerability management bezig te houden. Anders gezegd: hij dient grondig na te gaan welke mogelijke kwetsbaarheden de (systeem)software op elk moment bevat, bij voorkeur voor ze daadwerkelijk worden geëxploiteerd. Dat is een arbeidsintensieve en lastige taak. Immers, dat er vandaag geen kwetsbaarheid is, betekent niet dat die er morgen ook niet is. Het zou namelijk best kunnen dat er nieuwe en krachtiger aanvalstechnieken ontwikkeld worden die een eerdere beveiliging zomaar onderuithalen.

Ook Microsoft is zich daarvan bewust (zie ook www.tiny.cc/msvulna). Zo zijn er, naast allerlei ‘bug bounty’-programma’s en geautomatiseerde kwetsbaarheidsscans op basis van AI, ook zogeheten red teams van ethisch hackers die continu bezig zijn met het uitvoeren van penetratiestests.

Dat neemt niet weg dat er nog vaak nieuwe kwetsbaarheden worden gemeld en niet alleen door of van Microsoft. Als (thuis)systeembeheerder doe je er dus goed aan hiervan zo goed mogelijk op de hoogte te zijn. Bruikbare en doorzoekbare informatiebronnen zijn onder meer https://cve.mitre.org/cve (Common Vulnerabilities and Exposures), https://seclists.org/fulldisclosure en www.exploit-db.com (met onder meer de Google Hacking Database).

In deze masterclass gaan we na op welk niveaus kwetsbaarheden zich zoal kunnen voordoen en hoe je die, met behulp van veelal gratis tools, kunt opsporen en als het goed is, neutraliseren.

©PXimport

Kwetsbaarheidsniveaus

Elke goed geïnformeerde gebruiker weet dus dat er altijd wel kwetsbaarheden zijn die zijn systeem of netwerk kunnen compromitteren. De vraag is wel: op welke niveaus komen ze voor? Als we fysieke bedreigingen buiten beschouwing laten, waarbij een aanvaller zich toegang weet te verschaffen tot de fysieke machine, resten eigenlijk alleen aanvallen van buitenaf, via het internet of het netwerk. Dat maakt dat je router (alias de centrale toegangspoort) van cruciaal belang is, zeker wanneer je services bewust van buitenaf toegankelijk wilt maken, zoals een web- of mailserver. In dat geval kan een netwerkscanner absoluut zinvol zijn. Een web-kwetsbaarheidsscanner is ook nuttig wanneer je een dynamische site of webapplicatie draaien hebt, zoals op basis van JavaScript en/of een SQL-database.

Naast de ‘network edge’ dien je ook de individuele netwerkclients op potentiële kwetsbaarheden te scannen. Ongeacht het gebruikte besturingssysteem focus je je hierbij het best op diverse aspecten. We denken onder meer aan updates van het besturingssysteem en van (kritische) applicaties, accountbeheer en (netwerkgerelateerde) configuratie-instellingen, zoals die van je firewall, browser en netwerkprofielen (privé, openbaar, domein). Laten we met zulke clientcontroles beginnen. We richten ons hier op Windows-systemen.

Security suite

©PXimport

Updatebeheer

Kwetsbaarheidsbeheer kan niet zonder gestructureerd update- en patchbeheer. Nu is het wel zo dat Windows (ga naar Instellingen / Bijwerken en beveiliging / Windows Update) en veel applicaties automatisch op updates kunnen checken en die vaak ook downloaden en installeren. Maar je doet er toch goed aan de update-instellingen regelmatig te controleren en na te gaan of alle nodige updates daadwerkelijk zijn geïnstalleerd.

Twee populaire tools om eventuele lacunes op te sporen (Secunia PSI en MBSA oftewel Microsoft Baseline Security Analyzer) worden helaas niet langer doorontwikkeld en zijn dus ook niet langer betrouwbaar. Het probleem met zulke tools is niet zozeer het bijwerken van de GUI-app maar het actualiseren van de koppeling met achterliggende databases. Verderop in dit artikel bespreken we een paar alternatieven in de vorm van scripts.

Wel zijn er nog diverse tools die nagaan in hoeverre geïnstalleerde applicaties up-to-date zijn en je geautomatiseerde downloads aanbieden. We zijn helaas geen voorstander van dit laatste, omdat niet altijd de juiste downloads (in de gewenste taal) worden opgehaald.

Een gratis en tegelijk een van de grondigste tools is SUMo. Klik na het opstarten op Geïnstalleerde software automatisch detecteren en vervolgens op Controleren. Je ziet nu welke applicaties aan een (grote of minder grote) update toe zijn en welke dat is, waarna je de update na controle zelf kunt downloaden van de ontwikkelaarssite. Via SUMO kan dat alleen als je de PRO-versie aanschaft.

©PXimport

WSUS offline scan

Tools als SUMo richten zich vooral op updates van bekende applicatiesoftware. Om zeker te weten dat je ook over de alle nodige updates en patches voor Windows zelf beschikt moet je dus naar een andere geautomatiseerde oplossing uitkijken. Een bruikbaar alternatief voor MBSA is de ingebouwde Windows Update Agent (WUA) in combinatie met een WSUS offline scanbestand. Die richt zich in de eerste plaats op domeinnetwerken, maar is ook elders inzetbaar. Download eerst het betreffende scanbestand via www.tiny.cc/wsus2. (let op: het cab-bestand in kwestie wordt gelijk gedownload). Via een script kun je dan op basis van dit bestand een grondige offline scan uitvoeren. Dat kan zowel een VBS-script zijn als een PowerShell-script. Je vindt een voorbeeld voor een VBS-script via www.tiny.cc/wsusvbs (dit verwacht het scanbestand standaard in C:\) en een voorbeeld voor een PowerShell-script via www.bit.ly/wsuspower (zoekt naar het scanbestand in C:\Temp).

We kijken kort naar het PowerShell-script, maar de werking van beide is vergelijkbaar. Start PowerShell als administrator op (wij werken met PowerShell 7.x) en voer het volgende commando uit:

Install-Script -Name Scan-UpdatesOffline

Voeg met Y het scriptpad toe aan de path-variabele en bevestig dat je het script van de repository wilt downloaden. Met:

Set-PSRepository -Name "PSGallery" -InstallationPolicy Trusted

geef je aan dat je deze vertrouwt.

Ten slotte voer je Scan-UpdatesOffline.ps1 uit. Na afloop van de (langdurige) scan verschijnt het resultaat.

©PXimport

WES-NG

Een andere, snelle methode om kwetsbaarheden op te sporen is met de Python-tool Windows Exploit Suggester - Next Generation (WES-NG). Deze tool richt zich op informatie gegenereerd door de ingebouwde opdrachtregeltool systeminfo.exe, waarna die tegen databases met kwetsbaarheden wordt afgezet: Microsoft Security Bulletin, MSRC en NVD (NIST National Vulnerability Database).

Ga naar de GitHub-pagina van WES-NG via www.bit.ly/gitwesng en download het code-zipbestand. Pak dit uit naar een lege map, bijvoorbeeld naar C:\wesng. Download en installeer de complete Python-installer voor Windows via www.python.org/downloads/windows. Gemakshalve plaatst je hier ook een vinkje bij Add Python [x.y] to PATH. Vervolgens voer je de drie volgende commando’s uit op de opdrachtprompt:

pip install chardet

systeminfo.exe > sysinfo.txt

wes.py sysinfo.txt

Met het eerste commando installeer je een (aanbevolen) Python-library en het tweede zorgt ervoor dat de uitvoer van systeminfo in een tekstbestand terechtkomt. Het derde commando voert de eigenlijke kwetsbaarheidsscan uit, op basis van de gegevens uit sysinfo.txt. Als het goed is, krijg je een overzicht van de gedetecteerde kwetsbaarheden met onderaan de aangewezen patches om die gaten te dichten (zie ook kader ‘Knowledge base’). Na de installatie van de patch(es) en de herstart van Windows voer je het best opnieuw een scan uit. Via parameters kun je de uitvoer van WES-NG ook filteren, als volgt:

wes.py sysinfo.txt -s critical of

wes.py sysinfo.txt -e

Het eerste commando somt alleen kritieke kwetsbaarheden op, met het tweede check je op kwetsbaarheden waar reeds exploits voor beschikbaar zijn.

©PXimport

Knowledge base

©PXimport

AutoLogger

AutoLogger is strikt genomen geen kwetsbaarheidsscanner, aangezien die vooral achteraf naar sporen zoekt. Anders gezegd, naar mogelijke indicaties dat je systeem al is besmet met enigerlei vorm van malware, spyware of adware. We bewandelen hier dus in zekere zin de omgekeerde weg: aan de hand van typische kenmerken van malwaresporen proberen we uit te zoeken aan welke exploits en dus kwetsbaarheden ons systeem wellicht blootstond of -staat. We bekijken kort de werking van het AutoLogger-script van Russische origine.

Met de installatie belanden onder meer de tools AVZ (zie ook www.tiny.cc/kasavz) en HiJackThis Fork (zie ook www.bit.ly/hijackfork) op je systeem.

Je downloadt AutoLogger via www.bit.ly/autologger via de oranje knop. Pak het zip-bestand uit naar een lege map en start AutoLogger.exe op. Even later start het script automatisch een voor een de geïnstalleerde tools op en wordt je systeem grondig gescand. Dit proces kan wel even duren. Na afloop wordt de logbestanden in een zip-bestand opgenomen, in de submap \AutoLogger. Nu kun je dit zip-bestand, na je aanmelding bij GitHub, wel uploaden via een bug-tracking issue-sectie waarna je mogelijk zinvolle feedback ontvangt, maar we raden je toch aan dit bestand eerst uit te pakken en de vier logbestanden zelf te bestuderen. Mogelijk schrikt de detaillering van de gegevens je toch wat af om die data zomaar te uploaden en bovendien zijn deze logs ook best leerzaam. In het kader vertellen we je wat meer over de logs van HiJackThis Fork.

©PXimport

HiJackThis

©PXimport

Poortscan

We verschuiven onze zoektocht naar mogelijke kwetsbaarheden nu naar de netwerkzijde van je systeem. Daar hoort natuurlijk een grondige poortscan bij. Je kunt weliswaar specifieke poorten scannen, bijvoorbeeld als je een ip-camera hebt waarvan je de beelden via een webinterface bekijkt en je wilt weten of die poort ook van buitenaf bereikbaar is. Dat kan heel eenvoudig door het adres www.grc.com/x/portprobe=<poortnummer> in je browser in te voeren. Is het juist je bedoeling dat die poort openstaat, dan ga je in elk geval na of de bijbehorende service up-to-date is en of er geen kwetsbaarheden of exploits van bekend zijn.

We raden je aan om een poortscan op een zo ruim mogelijk poortbereik uit te voeren. Immers, je kunt altijd wel een service of applicatie over het hoofd zien.

Een poortscan van binnenuit uitvoeren is uiteraard een optie, maar gezien hackpogingen doorgaans van buitenaf gebeuren, laat je er het best (ook) een online poortscan op los. Een populaire en snelle scan kan via ShieldsUP!. Klik op Proceed / All Service Ports, zodat de poorten 0 tot 1055 worden gescand.

Een blauw vakje wijst op een gesloten poort, maar nog veiliger is een groen vakje (stealth), aangezien die poort helemaal niet op binnenkomende datapakketjes reageert, wat maakt dat de hacker in principe niet weet dat er een poort aanwezig is. Een rood vakje geeft een open poort aan.

©PXimport

Poortscan: interpretatie

Klik op zo’n poortvakje voor meer details over het poortgebruik en eventuele kwetsbaarheden. Je moet wel even opletten met het interpreteren van de poortscanresultaten. Vergeet immers niet dat al het netwerkverkeer van buitenaf – dus ook de poortscans van ShieldsUP! – je router moet passeren. Voer je zo’n scan uit vanaf een netwerkclient en geven de resultaten open poorten aan, dan betekent dat niet noodzakelijk dat die openstaan op het systeem waarmee je de scan startte. Het zou zomaar kunnen dat je, ik noem maar wat, twee IoT-apparaten of ip-camera’s deze poorten gebruiken en dat je beide poorten via port forwarding (helaas) ongefilterd vanuit je router naar die apparaten hebt doorgelust. Maar het werkt ook in de andere richting: het zou kunnen dat je veel meer groene vakjes te zien krijgt, precies omdat je NAT-router deels ook als firewall fungeert.

Om echt te weten hoe je eigen systeem scoort, kun je dat ofwel rechtstreeks met je modem verbinden ofwel als DMZ in je router configureren. Je kunt ook nagaan in hoeverre het in- of uitschakelen van je firewall een verschil maakt. Besef wel dat het systeem tijdens zo’n test mogelijk onbeschermd is tegen potentiële aanvallen!

©PXimport

Virtueel testlab

Er bestaan natuurlijk ook gespecialiseerde kwetsbaarheidsscanners en wanneer je googelt naar ‘vulnerability scanner’ kom je al snel bij enkele kandidaten uit. Wil je het gratis doen, dan kun je de pentesting-distributie Kali Linux overwegen. Deze heeft namelijk een fraaie rubriek Vulnerability Analysis beschikbaar.

Kali Linux is beschikbaar voor WSL, maar laat zich net zo goed bare metal of in dual boot, als live bootmedium of in een virtuele machine (VM) installeren. Voor je hiermee in een productieomgeving aan de slag gaat, doe je er goed aan ervaring op te bouwen in een virtueel testlab, bijvoorbeeld met VirtualBox.

Start de tool op en ga naar Bestand / Voorkeuren. Bij Netwerk ga je naar het tabblad NAT-netwerken, klik je op de groene plus-knop en dubbelklik je op het toegevoegde item. Eventueel pas je hier de Netwerknaam (NatNetwork) en/of de Netwerk-CIDR (10.0.2.0./24) aan. Plaats een vinkje bij Inschakelen netwerk en bevestig met OK.

Je kunt nu Kali Linux ophalen, bijvoorbeeld via www.osboxes.org/kali-linux (pak het gedownloade 7z-archiefbestand uit) en als VM installeren. Bij deze download is de standaard login voor Kali Linux osboxes (User) en osboxes.org (Password; ook voor root).

Vervolgens installeer je de gewenste doelsystemen in afzonderlijke VM’s. Dat kan net zo goed ook een geïnstalleerd Windows-systeem zijn dat je met de gratis tool Disk2vhd naar een virtuele harde schijf (VHD) hebt omgezet. Deze is in PCM 11/2021 aan bod gekomen, op pagina 92.

©PXimport

Kali: kwetsbaarheidsscanners

Kali bevat al een paar handige kwetsbaarheidsscanners, zoals de populaire en krachtige tool Nikto voor het scannen op kwetsbaarheden in webservers en -applicaties. Sommige hiervan tref je helaas niet meer in Kali Linux aan, maar laten zich met wat moeite alsnog integreren, zoals netwerk-kwetsbaarheidsscanner OpenVAS (Open Vulnerability Assessment System).

OpenVAS is eigenlijk een afgeleide van de ooit zo populaire kwetsbaarheidsscanner Nessus, toen die nog opensource was. Nessus is intussen gecommercialiseerd, maar er bestaan talloze plug-ins voor, geschreven in de scripttaal NASL (Nessus Attack Scripting Language). Handig is wel dat ook OpenVAS met NASL-scripts overweg kan.

Voer de volgende gebruikelijke commando’s uit om alles te updaten:

sudo apt update

sudo apt dist-upgrade

Nu kun je OpenVAS installeren met:

sudo apt install -y openvas

Voor de verdere configuratie en het opstarten vind je meer informatie via www.bit.ly/openvas.

©PXimport

Nessus Essentials

Spreekt de kwetsbaarheidsscanner in Kali je toch niet aan en vind je het integreren van extra tools, zoals OpenVAS, wat lastig, dan heb je aan Nessus Essentials een uitstekend alternatief (dat je overigens ook wel in Kali kunt opnemen: zie www.bit.ly/kaliness).

Je vindt dit op www.tenable.com/products/nessus. Deze gratis editie beperkt je wel tot het scannen van zestien ip-adressen, wat voor veel thuisnetwerken wellicht volstaat. De onbeperkte versie is helaas stevig aan de prijs: zo’n 3450 euro per jaar. Na je registratie met je e-mailadres kun je de tool downloaden, onder meer voor Windows.

De installatie is rechttoe rechtaan en na het invullen van de ontvangen activatiecode en het aanmaken van een beheerdersaccount haalt Nessus de nodige plug-ins op en compileert die. Dit proces kan wel even duren.

Na afloop kun je aan de slag vanuit de Nessus-webclient, standaard op het adres https://localhost:8834. In principe volstaat het om het gewenste ip-bereik of een subnet in CIDR-notatie (bijvoorbeeld 192.168.0.0/24) in te vullen, waarna een zogeheten host discovery en een poortscan worden uitgevoerd. Eventuele kwetsbaarheden vind je op een afzonderlijk tabblad, op basis van ernst (severity).

©PXimport

Nessus: plug-ins

Zoals vermeld, schuilt de ware kracht van Nessus in de ondersteuning van plug-ins. Die maken het mogelijk dat je voor je netwerkclients modulaire scans uitvoert, samengesteld uit de plug-ins van jouw keuze. Je vindt een overzicht van de meer dan 160.000 plug-ins op www.tenable.com/plugins, die samen bijna 65.000 CVE’s aanpakken.

Ga naar het tabblad Scans en klik op New Scan: in de Essentials-versie zijn er vijftien scan-sjablonen (templates) beschikbaar, zoals Basic Network Scan, Malware Scan, Spectre and Meltdown enzovoort. Geef een naam op en de gewenste doelsystemen, bevestig met Save en voer de scan uit. Je kunt ook eigen beleidsregels (policies) creëren, die dan als basis voor een scansjabloon fungeren.

We geven je hier al een eerste aanzet voor. Open de rubriek Policies en kies New Policy. Kies een basissjabloon en vul bij Settings / Basic een naam in. Op het tabblad Credentials vul je eventueel de nodige referenties of inloggegevens in. Ga vervolgens naar het tabblad Plugins en klik (eventueel) op Disable all. In het linkervenster open je bijvoorbeeld (een van) de drie Windows-collecties. Rechts verschijnen de bijbehorende plug-ins. Klik op Enable naast de plug-ins die je in je scan wilt opnemen. Bestig met Save. Wanneer je nu op New Scan klikt, vind je de aangepaste scan terug op het tabblad User Defined en kun je die op de gewenste doelsystemen uitvoeren.

©PXimport

Open je dagelijks meerdere keren dezelfde webpagina's of webapps, dan is het handig om alles op één plek te bundelen. Een persoonlijk dashboard in je browser, via een extensie of een webapp, biedt precies dat: overzicht en snelheid. Zo'n dashboard opent automatisch bij het starten van je browser of bij een nieuw tabblad. Je bepaalt zelf waar je tools, links, feeds of widgets komen.

Nieuw tabblad

Vrijwel alle browsers laten je in zekere mate zelf bepalen wat je ziet bij het openen van een nieuw tabblad of bij het opstarten van de browser.

We nemen eerst Chrome als voorbeeld. Klik op het plusje Nieuw tabblad en vervolgens op het potloodicoon rechtsonder. In het bijbehorende venster kun je het thema aanpassen. Er is ook de optie Een afbeelding uploaden. Je kiest hier ook of je snelkoppelingen wilt tonen. Met het plusknopje op de pagina voeg je snelkoppelingen toe, en als je met de muis over een snelkoppeling beweegt, kun je deze bewerken of verwijderen. Je kunt ook Meest bezochte sites inschakelen om snel naar vaak bezochte pagina's te gaan.

De mogelijkheden in Firefox zijn vergelijkbaar. Klik rechtsonder een nieuw tabblad op het tandwielpictogram om de achtergrond aan te passen, eventueel met een eigen afbeelding. Je kunt snelkoppelingen, ook in meerdere rijen, activeren en met Snelkoppeling toevoegen extra links aanmaken. Via Meer instellingenbeheren stel je Nieuwe tabbladen in op bijvoorbeeld Lege pagina, voor wie het graag minimalistisch houdt.

Startpagina

Je kunt je browser meestal zo instellen dat bij het opstarten dezelfde pagina verschijnt als bij een nieuw tabblad, maar dat hoeft niet. We tonen kort hoe je dit instelt in Chrome en Firefox.

In Chrome ga je naar Instellingen / Bij opstarten. Daar kies je De pagina Nieuw tabblad openen, Doorgaan waar je gebleven was of Een specifieke pagina of reeks pagina's openen. Klik op Huidige pagina's gebruiken om alle momenteel geopende tabbladen opnieuw te openen bij het opstarten. Of kies Een nieuwe pagina toevoegen en geef een url op, ook een lokale html-pagina is mogelijk via file:///\<volledig\_pad>, bijvoorbeeld file:///C:/users/toon/mijndashboard.htm.

In Firefox regel je dit via Instellingen / Startpagina. Bij Startpagina en nieuwe vensters kies je Firefox-startpagina (standaard), Lege pagina of Aangepaste URL's. Hier kun je meerdere url's invoeren, gescheiden door een pijpje |. Je kunt ook kiezen voor Huidige pagina gebruiken of Bladwijzer gebruiken.

Wil je een eigen html-pagina met bijvoorbeeld eigen links, dan kun je deze aanmaken in Kladblok of Notepad++, al werkt het vaak eenvoudiger met Microsoft Word. Kies hier in het menu Beeld de optie Weblay-out bij Weergeven en bewaar de pagina via Opslaan als / Webpagina (*.htm, *.html) (zie kader Eigen dashboards).

Lees ook: Hoe gaan populaire browsers om met je privacy?

Tabliss

Met de standaardfuncties van je browser kun je het uiterlijk en de inhoud van een nieuw tabblad maar beperkt personaliseren. Wil je meer, dan heb je al snel een extensie of web-app nodig. We stellen een handvol van deze tools voor, elk met een eigen focus.

We beginnen met de gratis opensource-extensie Tabliss, voor Firefox- en Chromium-browsers.

Na je bevestiging is Tabliss meteen actief bij het openen van een tabblad of bij het starten van je browser. Je krijgt dan een aangepaste pagina te zien. Standaard wisselt de achtergrondfoto elk kwartier, met beelden uit de Unsplash-collectie. Via de knopjes onderaan in het midden kun je pauzeren of meteen naar de vorige of volgende foto gaan.

Beweeg je muis naar de linkerbovenhoek voor extra knoppen: één om widgets te tonen of te verbergen, en één voor een schermvullende foto.

Via het tandwielpictogram stel je alles verder in. Zo kun je andere fotobronnen kiezen of ook afbeeldingen uploaden. Je kiest uit zo'n 15 widgets, waaronder Weather en Quotes, die je allemaal verder kunt instellen. Er is ook een Todo-widget voor eenvoudig taakbeheer en een Quick links-widget voor eigen snelkoppelingen.

Tabliss gebruikt de synchronisatie van je browser om instellingen tussen apparaten te kopiëren, indien deze is geactiveerd en ook extensies worden gesynchroniseerd. Bij Chrome bijvoorbeeld doe je dit via Instellingen / Jij en Google, waar je ook Extensies inschakelt bij Gegevens synchroniseren.

Eigen dashboards

De eenvoudigste manier om een eigen browser-dashboard te maken, is wellicht een zelfgemaakte html-pagina. Hoe zo'n html-code voor een basisontwerp met links er bijvoorbeeld kan uitzien, zie je hieronder.

Je kunt dit uiteraard verder uitbreiden en verfraaien met html, css, JavaScript en JSON, zodat je bookmarks en instellingen lokaal in je browser worden opgeslagen. Via deze link vind je een eenvoudige, kant-en-klare html-pagina waarin je een achtergrondafbeelding (via een afbeeldings-url), versleepbare snelkoppelingen en rss-feeds kunt instellen. Voel je vrij om hier zelf verder aan te knutselen.

Wat gevorderde gebruikers kunnen ook een eigen dashboard hosten, bijvoorbeeld op basis van Dashy. Deze tool gebruikt een eenvoudig YAML-configuratiebestand waarmee je zelf indelingen, pictogrammen, groepen en functies bepaalt. Dashy werkt in je browser, als statische site of via een Docker-container.

Verwar deze tool trouwens niet met de browserextensie Dashy New Tab Dashboard (voor Chromium-browsers). Hiermee stel je een fraai dashboard samen met tegels die je zelf groepeert en van links voorziet.

Voorbeeld html-code voor een basisontwerp met links.

Momentum

Wanneer je de browserextensie Momentum installeert (voor Firefox en Chromium-browsers), kun je je aanmelden met een account, eventueel via Google of Apple, om je dashboardinstellingen met andere apparaten te synchroniseren. Zonder account blijven alle gegevens lokaal. Momentum is helaas alleen beschikbaar in het Engels.

Bij elk nieuw tabblad krijg je een mooie achtergrondfoto te zien, eventueel met instelbare achtergrondgeluiden, samen met een inspirerend citaat en een klok.

Linksonder open je het instellingenpaneel, waar je meteen merkt dat er veel opties zijn. Sommige vereisen extra machtigingen of helaas een Plus-account (circa 40 USD per jaar), bijvoorbeeld voor het uploaden van eigen foto's of het toevoegen van eigen citaten en taaklijsten.

Centraal staat het focusveld waarin je dagelijks één hoofddoel noteert, dat je bij elk nieuw tabblad telkens onder ogen krijgt. Via een ingebouwde site-blocker kun je specifieke sites van het type sociale media of nieuws tijdelijk laten blokkeren. Je kunt ook een eenvoudige todo-lijst toevoegen of integreren met tools als Todoist of Trello. Verder zijn er een instelbare zoekbalk, een linkbalk met snelkoppelingen naar je favoriete sites en verschillende widgets, onder meer voor het weer en citaten. Het is ook mogelijk om de eerstvolgende gebeurtenissen uit je gekoppelde Google-agenda te tonen.

Infinity New Tab

Ook het gratis Infinity New Tab is een browserextensie, bruikbaar in Firefox en Chromium-browsers. Standaard zie je een fraaie achtergrondfoto, inclusief een instelbare zoekbalk. Je kunt kiezen uit Bing, Google of DuckDuckGo, maar ook andere zoekmachines toevoegen. Daaronder verschijnt een reeks snelkoppelingen in tegelvorm naar populaire websites. Je kunt eigen snelkoppelingen toevoegen en de tegelindeling aanpassen, ook door ze te verslepen. Widgets als Weer, Taken, Notities en Geschiedenis verschijnen eveneens als tegels en kun je hier beheren en aanvullen. Via Toevoegen / Applicatie kun je nog andere widgets toevoegen.

Vind je al deze tegels wat te druk, dan schakel je tijdelijk over naar een soberdere weergave via Instellingen / Minimalistische modus. Ook de achtergrondfoto kun je uitgebreid instellen: je kiest uit diverse online bronnen, met focus op bepaalde kleuren of labels, of gebruikt eigen foto's. Je stelt ook een verversingsfrequentie in en kunt de foto dimmen of vervagen.

Meld je je aan bij Infinity (klik op het knopje rechtsboven en dan op Ik), dan bewaar je je instellingen online. Zo kun je data exporteren, importeren en synchroniseren tussen apparaten. Houd er rekening mee dat de Infinity-servers mogelijk op Chinese infrastructuur draaien.

Start.me

De focus van Start.me, beschikbaar voor Firefox- en Chromium-browsers, ligt sterk op informatie en overzicht. Je hebt hiervoor een account nodig en de bijbehorende extensie uit de Chrome Web Store. Wanneer je de tool de eerste keer opstart, doorloop je enkele stappen voor personalisatie, waarbij je je naam en land invult en aangeeft of de tool je browserfavorieten mag importeren.

Je eerste startpagina wordt automatisch aangemaakt. Naast een widget voor weer en nieuws (met instelbare rss-feeds) zie je hier thematisch gegroepeerde populaire sites en een aanpasbare zoekbalk. Via de knop +Widget toevoegen voeg je extra widgets toe, zoals Notities, Taken of Insluiten. Met die laatste toon je de inhoud van een webpagina of video via <embed>- of <iframe>-code.

Er zijn nog zo'n tien andere widgets, zoals Fotogalerij, Google Kalender, Google Taken en Aandelenkoersen, maar deze zijn enkel beschikbaar in de Pro-versie (24 euro per jaar). Deze versie verwijdert ook advertenties en laat je een onbeperkt aantal startpagina's aanmaken. De gratis versie beperkt je tot drie. Je kunt een pagina volledig zelf opbouwen of starten vanuit een sjabloon, met keuze uit ongeveer 190 thema's. Elke pagina verschijnt dan als een tabblad binnen de startpagina.

Symbaloo

Met Start.me benaderen we al de pure online startpagina's: webdiensten waarmee je een gepersonaliseerde openingspagina maakt met snelkoppelingen, feeds en widgets, waarbij alles via je account in de cloud wordt opgeslagen en geladen. Typische voorbeelden zijn Protopage en Symbaloo, die beide (ook) zonder browserextensie werken. We lichten kort deze laatste toe.

Je maakt eerst een gratis account aan zodat je instellingen online bewaard en gesynchroniseerd worden. Daarna begin je met een leeg raster of kies je uit enkele kant-en-klare sjablonen. Elk vakje is een tegel die je zelf toevoegt, met een url, kleur en pictogram naar keuze. Deze tegels groepeer je in zogeheten webmixen, elk rond een ander thema. Je kunt je webmixen ook delen met anderen.

Symbaloo biedt bovendien een online bibliotheek met duizenden thematische webmixen die je meteen kunt toevoegen en aanpassen. Er zijn ook browserextensies beschikbaar om de tool verder uit te breiden.

Symbaloo blijkt vooral populair in het onderwijs, maar uiteraard kunnen zulke startpagina's ook handig zijn voor thuis of op kantoor. In de gratis versie kunnen advertenties opduiken, maar betaalde abonnementen schakelen deze uit.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we binnen een bepaald thema naar zulke deals. Ben je op zoek naar betaalbare slimme verlichting voor jouw woonkamer of tuin? Vandaag hebben we vijf interessante modellen voor je gespot.

Philips Hue White and Color Ambiance Festavia

Met dit slimme lichtsnoer van twintig meter kun je een tuin of kamer sfeervol verlichten. Vanuit de Philips Hue-app stuur je de 250 leds aan. Bepaal welke kleuren en scènes je wilt weergeven, waarbij je fraaie tinten in elkaar laat overlopen. Pas verder het dimniveau en de helderheid aan. Dankzij de lengte creëer je opvallende effecten op de gevel of binnenmuur. Daarnaast hang je het snoer net zo makkelijk in een flinke kerstboom. De zwarte kabel valt in dat geval niet op. De configuratie is niet moeilijk, want het verlichtingssysteem communiceert via bluetooth rechtstreeks met een smartphone.

Je kunt de Philips Hue White and Color Ambiance Festavia ook op een geschikte bridge aansluiten. Dat heeft als voordeel dat je de lampjes overal op afstand kunt bedienen. Bovendien laat je de lampjes eventueel met andere slimme apparaten samenwerken. Je gebruikt de lichtslinger zowel binnen als buiten, want de leds zijn weerbestendig. Naast deze uitvoering van twintig meter is er tegen een meerprijs ook een lichtslinger van veertig meter (500 leds) te koop.

Philips Hue White GU10 (2-pack)

Deze slimme spotjes zijn een goed alternatief voor 'domme' ledspots of energieslurpende halogeenlampjes. Ze passen in een standaard GU10-fitting, waardoor je alle oude ledspots een-op-een kunt vervangen. Zeker wanneer je meerdere lampjes combineert, is de opbrengst van 400 lumen per stuk behoorlijk fel. De kleurtemperatuur voor wittinten loopt tot 2700 kelvin. Deze lamp ondersteunt geen kleurenweergave.

De Philips Hue White GU10 communiceert via bluetooth met de Philips Hue-app op je smartphone. Selecteer vervolgens de gewenste helderheid of kies een mooie lichtscène. Zo bevat de app schema's die je helpen om je beter te concentreren of te relaxen. Houd er wel rekening mee dat het bereik van bluetooth beperkt is. Als je de slimme ledspots alsnog vanaf elke plek wilt bedienen, kun je de Philips Hue Bridge overwegen. Hierop sluit je tot vijftig geschikte lampen aan. Je hebt dan ook toegang tot meer functies, zoals geofencing. Kom je 's avonds bijvoorbeeld laat thuis, dan springen de ledspots vanzelf aan.

WiZ A60 (2-pack)

Gebruik deze betaalbare verlichtingsset voor bestaande lampen. Je draait de E27-fitting gewoon in de armatuur van bijvoorbeeld een vloer-, bureau- of tafellamp. Via de WiZ Connected-app verbind je beide peertjes rechtstreeks met jouw wifi-netwerk. Het gebruik van een bridge is dus niet nodig, terwijl je de lampen vanaf overal ter wereld kunt bedienen. Is er geen draadloos netwerk beschikbaar? Geen probleem, want als alternatief stuur je ze via een bluetooth-verbinding aan.

In de app kies je tussen zo'n zestien miljoen kleuren, al kun je ook een warme wittint selecteren. Ook kun je effecten en routines instellen. De lichtsterkte van 806 lumen is voor een doorsnee (woon)kamer ruimschoots voldoende. Nuttig om te weten is dat dit WiZ-product met verschillende smarthomeplatformen overweg kan, waaronder Google Home en Apple HomeKit. Je schaft de twee E27-lampen tegen een kleine meerprijs eventueel inclusief afstandsbediening aan. Hiermee switch je eenvoudig tussen vier vooraf geprogrammeerde scènes en dim de verlichting.

Lees ook: 10 vragen over slimme verlichting

Twinkly Light Tree 3D

Deze lichtgevende kerstboom maakt van jouw tuin een heuse bezienswaardigheid. Met een mast en haringen zet je de slinger met 750(!) ledlampjes stevig vast. Prik vervolgens de bijgesloten stekker in het stopcontact om deze vier meter hoge kerstboom te verlichten. Je kunt als alternatief ook een uitvoering van drie meter of zelfs zes meter kopen. Het product voldoet aan de eisen van de IP44-norm en kan een spatje regen dus prima verdragen.

Zodra de mast eenmaal staat, gebruik je de Twinkly-app op je smartphone om de verlichting te configureren. Dat werkt via een rechtstreekse bluetooth- of wifiverbinding. Je hebt hierbij keuze tussen alle kleuren van de regenboog, maar je kunt desgewenst ook voor warm wit licht kiezen. In de app staan er tientallen fraaie (knipperende) lichteffecten voor je klaar. Bovendien creëer je eventueel ook eigen effecten. Vind je de lampjes te fel, dan verlaag je de helderheid ervan. Stel verder een tijdschema in. Een leuke optie is dat de Light Tree 3D optioneel met andere Twinkly-verlichtingssystemen samenwerkt.

TP-Link Tapo L630 (4-pack)

Voeg met dit prijsvriendelijke 4-pack in één klap kleurenverlichting toe aan bijvoorbeeld je plafond of keuken. Wie niet zoveel lampjes nodig heeft, kan ook een 2-pack overwegen. De TP-Link Tapo L630 heeft een gangbare GU10-fitting, waardoor je oude spotjes in huis eenvoudig kunt vervangen. In de behuizing bevindt zich een wifi-adapter. Hierdoor verbind je de lampen rechtstreeks met het draadloze thuisnetwerk. In tegenstelling tot veel andere slimme verlichtingssystemen heb je dus geen bridge of basisstation nodig.

De kleurtemperatuur loopt van 2200 tot 6500 kelvin, zodat je volop kunt variëren tussen koele en warme wittinten. Verder stel je net zo makkelijk een vrolijk kleurtje in, want je hebt keuze tussen zestien miljoen kleuren. De GU10-spotjes ondersteunen een behoorlijke lichtsterkte van maximaal 350 lumen, maar je kunt ze naar behoefte dimmen. Handig is dat je in de TP-Link Tapo-app desgewenst diverse schema's instelt. Op die manier springt de verlichting 's avonds vanzelf aan. Het is zelfs mogelijk om de lampen af te stemmen op de zonsopgang en -ondergang. Even geen smartphone bij de hand? Geen probleem, want je bedient de Tapo L630 net zo makkelijk met je stem. Dat werkt via Amazon Alexa of Google Assistent.