Je hebt phishingmails zo door en je hebt natuurlijk een firewall en een antivirustool draaien, maar zijn je systeem en je (thuis)netwerk nu helemaal veilig? Microsoft en andere softwareontwikkelaars waarschuwen namelijk geregeld voor nieuwe kwetsbaarheden. Hoe detecteer je die en hoe dicht je de gaten in Windows en in je netwerk?

Elke softwareontwikkelaar hoort zich ook met vulnerability management bezig te houden. Anders gezegd: hij dient grondig na te gaan welke mogelijke kwetsbaarheden de (systeem)software op elk moment bevat, bij voorkeur voor ze daadwerkelijk worden geëxploiteerd. Dat is een arbeidsintensieve en lastige taak. Immers, dat er vandaag geen kwetsbaarheid is, betekent niet dat die er morgen ook niet is. Het zou namelijk best kunnen dat er nieuwe en krachtiger aanvalstechnieken ontwikkeld worden die een eerdere beveiliging zomaar onderuithalen.

Ook Microsoft is zich daarvan bewust (zie ook www.tiny.cc/msvulna). Zo zijn er, naast allerlei ‘bug bounty’-programma’s en geautomatiseerde kwetsbaarheidsscans op basis van AI, ook zogeheten red teams van ethisch hackers die continu bezig zijn met het uitvoeren van penetratiestests.

Dat neemt niet weg dat er nog vaak nieuwe kwetsbaarheden worden gemeld en niet alleen door of van Microsoft. Als (thuis)systeembeheerder doe je er dus goed aan hiervan zo goed mogelijk op de hoogte te zijn. Bruikbare en doorzoekbare informatiebronnen zijn onder meer https://cve.mitre.org/cve (Common Vulnerabilities and Exposures), https://seclists.org/fulldisclosure en www.exploit-db.com (met onder meer de Google Hacking Database).

In deze masterclass gaan we na op welk niveaus kwetsbaarheden zich zoal kunnen voordoen en hoe je die, met behulp van veelal gratis tools, kunt opsporen en als het goed is, neutraliseren.

©PXimport

Kwetsbaarheidsniveaus

Elke goed geïnformeerde gebruiker weet dus dat er altijd wel kwetsbaarheden zijn die zijn systeem of netwerk kunnen compromitteren. De vraag is wel: op welke niveaus komen ze voor? Als we fysieke bedreigingen buiten beschouwing laten, waarbij een aanvaller zich toegang weet te verschaffen tot de fysieke machine, resten eigenlijk alleen aanvallen van buitenaf, via het internet of het netwerk. Dat maakt dat je router (alias de centrale toegangspoort) van cruciaal belang is, zeker wanneer je services bewust van buitenaf toegankelijk wilt maken, zoals een web- of mailserver. In dat geval kan een netwerkscanner absoluut zinvol zijn. Een web-kwetsbaarheidsscanner is ook nuttig wanneer je een dynamische site of webapplicatie draaien hebt, zoals op basis van JavaScript en/of een SQL-database.

Naast de ‘network edge’ dien je ook de individuele netwerkclients op potentiële kwetsbaarheden te scannen. Ongeacht het gebruikte besturingssysteem focus je je hierbij het best op diverse aspecten. We denken onder meer aan updates van het besturingssysteem en van (kritische) applicaties, accountbeheer en (netwerkgerelateerde) configuratie-instellingen, zoals die van je firewall, browser en netwerkprofielen (privé, openbaar, domein). Laten we met zulke clientcontroles beginnen. We richten ons hier op Windows-systemen.

Security suite

©PXimport

Updatebeheer

Kwetsbaarheidsbeheer kan niet zonder gestructureerd update- en patchbeheer. Nu is het wel zo dat Windows (ga naar Instellingen / Bijwerken en beveiliging / Windows Update) en veel applicaties automatisch op updates kunnen checken en die vaak ook downloaden en installeren. Maar je doet er toch goed aan de update-instellingen regelmatig te controleren en na te gaan of alle nodige updates daadwerkelijk zijn geïnstalleerd.

Twee populaire tools om eventuele lacunes op te sporen (Secunia PSI en MBSA oftewel Microsoft Baseline Security Analyzer) worden helaas niet langer doorontwikkeld en zijn dus ook niet langer betrouwbaar. Het probleem met zulke tools is niet zozeer het bijwerken van de GUI-app maar het actualiseren van de koppeling met achterliggende databases. Verderop in dit artikel bespreken we een paar alternatieven in de vorm van scripts.

Wel zijn er nog diverse tools die nagaan in hoeverre geïnstalleerde applicaties up-to-date zijn en je geautomatiseerde downloads aanbieden. We zijn helaas geen voorstander van dit laatste, omdat niet altijd de juiste downloads (in de gewenste taal) worden opgehaald.

Een gratis en tegelijk een van de grondigste tools is SUMo. Klik na het opstarten op Geïnstalleerde software automatisch detecteren en vervolgens op Controleren. Je ziet nu welke applicaties aan een (grote of minder grote) update toe zijn en welke dat is, waarna je de update na controle zelf kunt downloaden van de ontwikkelaarssite. Via SUMO kan dat alleen als je de PRO-versie aanschaft.

©PXimport

WSUS offline scan

Tools als SUMo richten zich vooral op updates van bekende applicatiesoftware. Om zeker te weten dat je ook over de alle nodige updates en patches voor Windows zelf beschikt moet je dus naar een andere geautomatiseerde oplossing uitkijken. Een bruikbaar alternatief voor MBSA is de ingebouwde Windows Update Agent (WUA) in combinatie met een WSUS offline scanbestand. Die richt zich in de eerste plaats op domeinnetwerken, maar is ook elders inzetbaar. Download eerst het betreffende scanbestand via www.tiny.cc/wsus2. (let op: het cab-bestand in kwestie wordt gelijk gedownload). Via een script kun je dan op basis van dit bestand een grondige offline scan uitvoeren. Dat kan zowel een VBS-script zijn als een PowerShell-script. Je vindt een voorbeeld voor een VBS-script via www.tiny.cc/wsusvbs (dit verwacht het scanbestand standaard in C:\) en een voorbeeld voor een PowerShell-script via www.bit.ly/wsuspower (zoekt naar het scanbestand in C:\Temp).

We kijken kort naar het PowerShell-script, maar de werking van beide is vergelijkbaar. Start PowerShell als administrator op (wij werken met PowerShell 7.x) en voer het volgende commando uit:

Install-Script -Name Scan-UpdatesOffline

Voeg met Y het scriptpad toe aan de path-variabele en bevestig dat je het script van de repository wilt downloaden. Met:

Set-PSRepository -Name "PSGallery" -InstallationPolicy Trusted

geef je aan dat je deze vertrouwt.

Ten slotte voer je Scan-UpdatesOffline.ps1 uit. Na afloop van de (langdurige) scan verschijnt het resultaat.

©PXimport

WES-NG

Een andere, snelle methode om kwetsbaarheden op te sporen is met de Python-tool Windows Exploit Suggester - Next Generation (WES-NG). Deze tool richt zich op informatie gegenereerd door de ingebouwde opdrachtregeltool systeminfo.exe, waarna die tegen databases met kwetsbaarheden wordt afgezet: Microsoft Security Bulletin, MSRC en NVD (NIST National Vulnerability Database).

Ga naar de GitHub-pagina van WES-NG via www.bit.ly/gitwesng en download het code-zipbestand. Pak dit uit naar een lege map, bijvoorbeeld naar C:\wesng. Download en installeer de complete Python-installer voor Windows via www.python.org/downloads/windows. Gemakshalve plaatst je hier ook een vinkje bij Add Python [x.y] to PATH. Vervolgens voer je de drie volgende commando’s uit op de opdrachtprompt:

pip install chardet

systeminfo.exe > sysinfo.txt

wes.py sysinfo.txt

Met het eerste commando installeer je een (aanbevolen) Python-library en het tweede zorgt ervoor dat de uitvoer van systeminfo in een tekstbestand terechtkomt. Het derde commando voert de eigenlijke kwetsbaarheidsscan uit, op basis van de gegevens uit sysinfo.txt. Als het goed is, krijg je een overzicht van de gedetecteerde kwetsbaarheden met onderaan de aangewezen patches om die gaten te dichten (zie ook kader ‘Knowledge base’). Na de installatie van de patch(es) en de herstart van Windows voer je het best opnieuw een scan uit. Via parameters kun je de uitvoer van WES-NG ook filteren, als volgt:

wes.py sysinfo.txt -s critical of

wes.py sysinfo.txt -e

Het eerste commando somt alleen kritieke kwetsbaarheden op, met het tweede check je op kwetsbaarheden waar reeds exploits voor beschikbaar zijn.

©PXimport

Knowledge base

©PXimport

AutoLogger

AutoLogger is strikt genomen geen kwetsbaarheidsscanner, aangezien die vooral achteraf naar sporen zoekt. Anders gezegd, naar mogelijke indicaties dat je systeem al is besmet met enigerlei vorm van malware, spyware of adware. We bewandelen hier dus in zekere zin de omgekeerde weg: aan de hand van typische kenmerken van malwaresporen proberen we uit te zoeken aan welke exploits en dus kwetsbaarheden ons systeem wellicht blootstond of -staat. We bekijken kort de werking van het AutoLogger-script van Russische origine.

Met de installatie belanden onder meer de tools AVZ (zie ook www.tiny.cc/kasavz) en HiJackThis Fork (zie ook www.bit.ly/hijackfork) op je systeem.

Je downloadt AutoLogger via www.bit.ly/autologger via de oranje knop. Pak het zip-bestand uit naar een lege map en start AutoLogger.exe op. Even later start het script automatisch een voor een de geïnstalleerde tools op en wordt je systeem grondig gescand. Dit proces kan wel even duren. Na afloop wordt de logbestanden in een zip-bestand opgenomen, in de submap \AutoLogger. Nu kun je dit zip-bestand, na je aanmelding bij GitHub, wel uploaden via een bug-tracking issue-sectie waarna je mogelijk zinvolle feedback ontvangt, maar we raden je toch aan dit bestand eerst uit te pakken en de vier logbestanden zelf te bestuderen. Mogelijk schrikt de detaillering van de gegevens je toch wat af om die data zomaar te uploaden en bovendien zijn deze logs ook best leerzaam. In het kader vertellen we je wat meer over de logs van HiJackThis Fork.

©PXimport

HiJackThis

©PXimport

Poortscan

We verschuiven onze zoektocht naar mogelijke kwetsbaarheden nu naar de netwerkzijde van je systeem. Daar hoort natuurlijk een grondige poortscan bij. Je kunt weliswaar specifieke poorten scannen, bijvoorbeeld als je een ip-camera hebt waarvan je de beelden via een webinterface bekijkt en je wilt weten of die poort ook van buitenaf bereikbaar is. Dat kan heel eenvoudig door het adres www.grc.com/x/portprobe=<poortnummer> in je browser in te voeren. Is het juist je bedoeling dat die poort openstaat, dan ga je in elk geval na of de bijbehorende service up-to-date is en of er geen kwetsbaarheden of exploits van bekend zijn.

We raden je aan om een poortscan op een zo ruim mogelijk poortbereik uit te voeren. Immers, je kunt altijd wel een service of applicatie over het hoofd zien.

Een poortscan van binnenuit uitvoeren is uiteraard een optie, maar gezien hackpogingen doorgaans van buitenaf gebeuren, laat je er het best (ook) een online poortscan op los. Een populaire en snelle scan kan via ShieldsUP!. Klik op Proceed / All Service Ports, zodat de poorten 0 tot 1055 worden gescand.

Een blauw vakje wijst op een gesloten poort, maar nog veiliger is een groen vakje (stealth), aangezien die poort helemaal niet op binnenkomende datapakketjes reageert, wat maakt dat de hacker in principe niet weet dat er een poort aanwezig is. Een rood vakje geeft een open poort aan.

©PXimport

Poortscan: interpretatie

Klik op zo’n poortvakje voor meer details over het poortgebruik en eventuele kwetsbaarheden. Je moet wel even opletten met het interpreteren van de poortscanresultaten. Vergeet immers niet dat al het netwerkverkeer van buitenaf – dus ook de poortscans van ShieldsUP! – je router moet passeren. Voer je zo’n scan uit vanaf een netwerkclient en geven de resultaten open poorten aan, dan betekent dat niet noodzakelijk dat die openstaan op het systeem waarmee je de scan startte. Het zou zomaar kunnen dat je, ik noem maar wat, twee IoT-apparaten of ip-camera’s deze poorten gebruiken en dat je beide poorten via port forwarding (helaas) ongefilterd vanuit je router naar die apparaten hebt doorgelust. Maar het werkt ook in de andere richting: het zou kunnen dat je veel meer groene vakjes te zien krijgt, precies omdat je NAT-router deels ook als firewall fungeert.

Om echt te weten hoe je eigen systeem scoort, kun je dat ofwel rechtstreeks met je modem verbinden ofwel als DMZ in je router configureren. Je kunt ook nagaan in hoeverre het in- of uitschakelen van je firewall een verschil maakt. Besef wel dat het systeem tijdens zo’n test mogelijk onbeschermd is tegen potentiële aanvallen!

©PXimport

Virtueel testlab

Er bestaan natuurlijk ook gespecialiseerde kwetsbaarheidsscanners en wanneer je googelt naar ‘vulnerability scanner’ kom je al snel bij enkele kandidaten uit. Wil je het gratis doen, dan kun je de pentesting-distributie Kali Linux overwegen. Deze heeft namelijk een fraaie rubriek Vulnerability Analysis beschikbaar.

Kali Linux is beschikbaar voor WSL, maar laat zich net zo goed bare metal of in dual boot, als live bootmedium of in een virtuele machine (VM) installeren. Voor je hiermee in een productieomgeving aan de slag gaat, doe je er goed aan ervaring op te bouwen in een virtueel testlab, bijvoorbeeld met VirtualBox.

Start de tool op en ga naar Bestand / Voorkeuren. Bij Netwerk ga je naar het tabblad NAT-netwerken, klik je op de groene plus-knop en dubbelklik je op het toegevoegde item. Eventueel pas je hier de Netwerknaam (NatNetwork) en/of de Netwerk-CIDR (10.0.2.0./24) aan. Plaats een vinkje bij Inschakelen netwerk en bevestig met OK.

Je kunt nu Kali Linux ophalen, bijvoorbeeld via www.osboxes.org/kali-linux (pak het gedownloade 7z-archiefbestand uit) en als VM installeren. Bij deze download is de standaard login voor Kali Linux osboxes (User) en osboxes.org (Password; ook voor root).

Vervolgens installeer je de gewenste doelsystemen in afzonderlijke VM’s. Dat kan net zo goed ook een geïnstalleerd Windows-systeem zijn dat je met de gratis tool Disk2vhd naar een virtuele harde schijf (VHD) hebt omgezet. Deze is in PCM 11/2021 aan bod gekomen, op pagina 92.

©PXimport

Kali: kwetsbaarheidsscanners

Kali bevat al een paar handige kwetsbaarheidsscanners, zoals de populaire en krachtige tool Nikto voor het scannen op kwetsbaarheden in webservers en -applicaties. Sommige hiervan tref je helaas niet meer in Kali Linux aan, maar laten zich met wat moeite alsnog integreren, zoals netwerk-kwetsbaarheidsscanner OpenVAS (Open Vulnerability Assessment System).

OpenVAS is eigenlijk een afgeleide van de ooit zo populaire kwetsbaarheidsscanner Nessus, toen die nog opensource was. Nessus is intussen gecommercialiseerd, maar er bestaan talloze plug-ins voor, geschreven in de scripttaal NASL (Nessus Attack Scripting Language). Handig is wel dat ook OpenVAS met NASL-scripts overweg kan.

Voer de volgende gebruikelijke commando’s uit om alles te updaten:

sudo apt update

sudo apt dist-upgrade

Nu kun je OpenVAS installeren met:

sudo apt install -y openvas

Voor de verdere configuratie en het opstarten vind je meer informatie via www.bit.ly/openvas.

©PXimport

Nessus Essentials

Spreekt de kwetsbaarheidsscanner in Kali je toch niet aan en vind je het integreren van extra tools, zoals OpenVAS, wat lastig, dan heb je aan Nessus Essentials een uitstekend alternatief (dat je overigens ook wel in Kali kunt opnemen: zie www.bit.ly/kaliness).

Je vindt dit op www.tenable.com/products/nessus. Deze gratis editie beperkt je wel tot het scannen van zestien ip-adressen, wat voor veel thuisnetwerken wellicht volstaat. De onbeperkte versie is helaas stevig aan de prijs: zo’n 3450 euro per jaar. Na je registratie met je e-mailadres kun je de tool downloaden, onder meer voor Windows.

De installatie is rechttoe rechtaan en na het invullen van de ontvangen activatiecode en het aanmaken van een beheerdersaccount haalt Nessus de nodige plug-ins op en compileert die. Dit proces kan wel even duren.

Na afloop kun je aan de slag vanuit de Nessus-webclient, standaard op het adres https://localhost:8834. In principe volstaat het om het gewenste ip-bereik of een subnet in CIDR-notatie (bijvoorbeeld 192.168.0.0/24) in te vullen, waarna een zogeheten host discovery en een poortscan worden uitgevoerd. Eventuele kwetsbaarheden vind je op een afzonderlijk tabblad, op basis van ernst (severity).

©PXimport

Nessus: plug-ins

Zoals vermeld, schuilt de ware kracht van Nessus in de ondersteuning van plug-ins. Die maken het mogelijk dat je voor je netwerkclients modulaire scans uitvoert, samengesteld uit de plug-ins van jouw keuze. Je vindt een overzicht van de meer dan 160.000 plug-ins op www.tenable.com/plugins, die samen bijna 65.000 CVE’s aanpakken.

Ga naar het tabblad Scans en klik op New Scan: in de Essentials-versie zijn er vijftien scan-sjablonen (templates) beschikbaar, zoals Basic Network Scan, Malware Scan, Spectre and Meltdown enzovoort. Geef een naam op en de gewenste doelsystemen, bevestig met Save en voer de scan uit. Je kunt ook eigen beleidsregels (policies) creëren, die dan als basis voor een scansjabloon fungeren.

We geven je hier al een eerste aanzet voor. Open de rubriek Policies en kies New Policy. Kies een basissjabloon en vul bij Settings / Basic een naam in. Op het tabblad Credentials vul je eventueel de nodige referenties of inloggegevens in. Ga vervolgens naar het tabblad Plugins en klik (eventueel) op Disable all. In het linkervenster open je bijvoorbeeld (een van) de drie Windows-collecties. Rechts verschijnen de bijbehorende plug-ins. Klik op Enable naast de plug-ins die je in je scan wilt opnemen. Bestig met Save. Wanneer je nu op New Scan klikt, vind je de aangepaste scan terug op het tabblad User Defined en kun je die op de gewenste doelsystemen uitvoeren.

©PXimport

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Op zoek naar een betaalbare smartphone, maar dan wel eentje met een virtuele simkaart? De redactie van ID.nl is voor je op zoek gegaan naar smartphones met een prijskaartje van onder de 400 euro.

Met een eSim ben je niet meer afhankelijk van een fysiek simkaartje en heb je geen gepriegel meer met het plaatsen van je sim in de telefoon. Je kunt daardoor snel van provider wisselen zonder gedoe. Dit bespaart niet alleen tijd, maar ook ruimte in je apparaat. Perfect voor wie veel reist, omdat je eenvoudig internationale abonnementen kunt activeren. Daarnaast kun je op die manier ook gebruik maken van meerdere telefoonnummers op een enkel toestel, bijvoorbeeld eentje voor werk en prive.

Samsung Galaxy A26 5G

De Galaxy A26 5G combineert een slank ontwerp met krachtige prestaties. Het 6,7-inch FHD+ Super AMOLED-display biedt levendige kleuren en vloeiende beelden dankzij de 120 Hz verversingssnelheid. Onder de motorkap bevindt zich de Exynos 1380-chipset, ondersteund door 4 tot 8 GB RAM, wat zorgt voor soepele multitasking.

De 50 MP hoofdcamera met optische beeldstabilisatie legt scherpe foto's vast, zelfs bij weinig licht. Met een batterijcapaciteit van 5000 mAh en IP67-certificering is dit toestel zowel duurzaam als betrouwbaar. Bovendien belooft Samsung tot zes jaar beveiligingsupdates, wat de levensduur van het apparaat verlengt

Redmi Note 13 Pro

De Redmi Note 13 Pro 5G is een krachtpatser in het middensegment. Met een indrukwekkende 200 MP hoofdcamera met optische beeldstabilisatie leg je elk detail vast. Het 6,67-inch AMOLED-display met een resolutie van 1220x2712 pixels en een verversingssnelheid van 120 Hz zorgt voor een meeslepende kijkervaring.

Aangedreven door de Snapdragon 7s Gen 2-chipset en beschikbaar met tot 16 GB RAM, biedt dit toestel uitstekende prestaties. De 5100 mAh batterij ondersteunt 67W snelladen, waardoor je snel weer op pad kunt.​

Motorola Moto G35 5G

De Motorola Moto G35 5G biedt solide prestaties voor een betaalbare prijs. Het 6,72-inch LCD-scherm met een verversingssnelheid van 120 Hz zorgt voor vloeiende beelden. De 50 MP Quad Pixel-camera levert scherpe foto's, zelfs bij weinig licht.

Met een batterijcapaciteit van 5000 mAh en ondersteuning voor 5G-connectiviteit blijf je de hele dag verbonden. Hoewel de Unisoc T760-processor niet de snelste is, biedt het toestel voldoende kracht voor dagelijks gebruik

Sony Xperia 10 VI

De Sony Xperia 10 VI is een compacte smartphone met een focus op multimedia. Het 6,1-inch FHD+ OLED-scherm met een 21:9 beeldverhouding is ideaal voor het bekijken van films. Aangedreven door de Snapdragon 6 Gen 1-chipset en uitgerust met 8 GB RAM, biedt het toestel soepele prestaties.

De 48 MP hoofdcamera legt gedetailleerde foto's vast, terwijl de 5000 mAh batterij zorgt voor langdurig gebruik. Met IP68-certificering is het toestel bestand tegen water en stof

Samsung Galaxy A35 5G

De Galaxy A35 5G biedt premium functies in een betaalbaar jasje. Het 6,6-inch FHD+ Super AMOLED-display met een verversingssnelheid van 120 Hz zorgt voor heldere en vloeiende beelden. De 50 MP hoofdcamera met optische beeldstabilisatie legt scherpe foto's vast, terwijl de 13 MP selfiecamera zorgt voor duidelijke zelfportretten.

Aangedreven door de Exynos 1380-chipset en beschikbaar met tot 12 GB RAM, biedt het toestel krachtige prestaties. De 5000 mAh batterij ondersteunt 25W snelladen, en Samsung belooft tot vijf jaar beveiligingsupdates.

De OLED C-reeks van LG is inmiddels bijna een icoon. Het model situeert zich in de line-up net onder het topmodel, maar biedt nog steeds topprestaties voor games, films en sport. De C5 vertoont echter bijzonder veel gelijkenissen met de C4. Heeft deze LG C5 dan wel iets extra's te bieden?

8

Uitstekend

Samenvatting

De LG OLED65C5 bouwt voort op de C4 met hetzelfde design, betere piekhelderheid en uitstekende kalibratie. De tv biedt sterke gamefeatures, prima beeldverwerking en Dolby Atmos-audio, maar mist DTS. WebOS 25 is snel en uitgebreid, al bevat het storende reclame. Dankzij de goede prestaties, breed app-aanbod en vijf jaar updates blijft de C5 een goede keuze.

Plus- en minpunten

• Uitstekende piekhelderheid
• Prachtige HDR-beelden in HDR10 en Dolby Vision
• Goede kijkhoek en anti-reflectie
• Zeer goede gamer-ondersteuning, met vier HDMI 2.1-poorten

• Niet content-gerelateerd advertenties op het Home-scherm
• Geen ondersteuning voor HDR10+ en DTS
• Dynamische tonemapping maakt het beeld te helder

LG heeft voor de C5 heeft het ontwerp van de C4 overgenomen, maar daar hebben we geen bezwaar tegen; het is mooi en stijlvol. Het scherm heeft een dunne, metalen rand en aan de achterzijde zit de behuizing relatief diep achter het scherm. De structuur op de rug doet nog steeds aan stof of leder denken, alleen is deze nu grijs-zwart in plaats van bruin. Zonder voet is deze televisie 45mm diep, dus als hij aan de muur zou hangen ziet hij er fraai uit. Kies je voor een opstelling op tv-meubel, dan staat hij op een centrale voet. Veel ruimte onder het scherm heb je dan niet, de soundbar kan idealiter maar 5,5cm hoog zijn.

Aansluitingen

De C-reeks is al jaar en dag bijzonder goed uitgerust en zeker voor gamers heeft deze televisie flink wat te bieden. De vier HDMI-poorten ondersteunen allemaal de maximale 48Gbps bandbreedte van HDMI 2.1, en leveren ook ALLM, 4K144 (voor pc, gameconsoles zijn zelf beperkt tot 4K120) en VRR (AMD FreeSync en NVIDIA G-Sync). Op poort 2 kan je ARC/eARC gebruiken. Met andere woorden: geen probleem om zowel een soundbar als meerdere high-end gamebronnen aan te sluiten. Dankzij de erg lage input-lag, 10,8ms voor 4K60 en 5,9ms voor 2K120, is een responsieve game-ervaring gegarandeerd. Er is een IR-blaster poort voorzien om tv's die uit het zicht staan te besturen met de LG-afstandsbediening, maar de IR-blaster zelf zit niet in de doos. De C5 ondersteunt WiFi 6 (802.11ax), terwijl op de C4 nog WiFi 5 werd toegepast. De WiSA-ondersteuning (Wireless Speaker and Audio Association) is geschrapt, maar dat is geen enorm verlies. Alle aansluitingen wijzen naar opzij zodat ze wandmontage niet storen. 

Premium piekhelderheid

Het nieuwe, helderste paneel blijft voorbehouden voor de G5, de C5 is nog steeds voorzien van een OLED evo paneel met Brightness Booster. LG vermeldt officieel geen verbetering, maar we meten een iets hogere piekhelderheid op het 10%-venster, die bedraagt nu 1214 nits. Op de C4 was dat nog 1060 nits. Het volledig wit beeld haalt 195 nits, dat is onveranderd, net als het kleurbereik dat nu 98,7% P3 haalt. Toch moet je van die 20% verbetering op het kleinere testvenster geen grote impact verwachten. De C5 staat daarmee wel in de top van het helderheidsklassement in zijn categorie, hij moet enkel de Samsung S90F voorlaten. En uiteraard mag je rekenen op een prima kijkhoek, en redelijke anti-reflectie. Ons testexemplaar had ook een goede uniformiteit.

We schakelen naar de Filmmaker Mode om de kalibratie te beoordelen, en die blijkt al snel bijzonder goed te zijn. De SDR-weergave is uitstekend, met goed schaduwdetail, accurate kleuren en natuurlijke huidtinten. In HDR ondersteunt de LG naast HDR10 en HLG ook Dolby Vision, en die laatste beelden zijn fantastisch. Maar ook met standaard HDR10 is het resultaat bijzonder knap. De kalibratie is ook hier uitstekend, met zeer mooie kleuren en goede witnuances. In de donkerste scènes is hij iets te donker, waardoor er nuance kan ontbreken. Gelukkig kun je dat met de ‘Dark Detail’-instelling verbeteren. De optionele dynamische tonemapping voor HDR10 lieten we uitgeschakeld staan. Deze maakt het beeld helderder en dat is niet goed voor de contrastperceptie. 

Goede beeldverwerking

Met zoveel verschillende contentformaten is goede beeldverwerking erg belangrijk om elke bron optimaal weer te geven. De Alpha 9 Gen 8-processor krijgt deze taak goed voor elkaar. De ruisonderdrukking en upscaling zorgen voor mooie, scherpe beelden, zelfs als je vertrekt van relatief lage kwaliteit als dvd. De beste resultaten krijg je weliswaar als er van HD-beelden wordt uitgegaan. Voor live tv-beelden (1080i) is deinterlacing een noodzakelijke stap. Op een van onze testpatronen zagen we iets meer karteling dan gebruikelijk op een bijna horizontale lijn, maar in echte content lijkt het gelukkig toch een zeldzaam probleem. Zijn er kleurstroken zichtbaar in zachte kleurgradiënten, dan kan je die met de optie 'Vloeiende gradatie' in de laagste stand vrij goed wegwerken.

Op de G5 ging het daar soms mis, maar dat probleem zagen we hier niet. In heel lastige donkere scènes kan die strookvorming wel zichtbaar blijven. De bewegingsscherpte is uitstekend, OLED-panelen scoren hier dankzij hun snelle responstijd altijd goed. Het is een prima troef voor sport en games. Het nadeel is wel dat de typische 24fps judder in films beter zichtbaar is. Je kan Trumotion gebruiken om dat weg te werken, al blijft het een kwestie van persoonlijke smaak. In de ‘Vloeiend’ stand elimineert dat bijna alle gestotter maar zijn er mogelijk wel beeldfouten zichtbaar tegen complexe achtergronden. Beweegt de camera erg snel, dan laat de processor gemakkelijker steken vallen en stottert het beeld nog steeds. 

Dolby Atmos, maar geen DTS meer

De 2.2-kanaals 40W audioconfiguratie is overgenomen van de C4, met een belangrijk verschil. De tv ondersteunt nog steeds Dolby Atmos, maar geen DTS meer. Dat zagen we ook al op de G5. Streamingdiensten gebruiken bijna altijd Dolby Atmos, het zijn vooral de eigenaars van een eigen (Ultra HD) Blu-ray-collectie die DTS zullen missen. Heb je een externe audio-oplossing, weet dan dat ook pass-through van DTS via eARC/ARC onmogelijk is.

Je moet je speler aansluiten op bijvoorbeeld je soundbar, en het beeldsignaal doorgeven aan de tv. De C5 heeft een rijke klank met mooie balans, en is goed genoeg om van zowel film als muziek te genieten. Er is redelijk wat bas te horen, dat ondersteunt de filmervaring goed. Hoogte-effecten ontbreken wel, maar je krijgt wel wat surroundgevoel. Experimenteer met de standaard-, muziek- of bioscooppreset afhankelijk van wat je kijkt of luistert, maar blijf weg van de AI Sound-modus die veel te scherp klinkt.

WebOS 25 en een nieuwe afstandsbediening

Een negatieve trend die we merken is de opkomst van niet-content gerelateerde reclame in smart-tv's. En helaas speelt LG webOS daar duidelijk op in. Zowel op het Home-scherm als in de screensaver, als in bepaalde banners verderop tussen de aanbevelingen kun je reclame tegenkomen. Wil je dat uitschakelen, lees dan in dit artikel hoe je reclame verwijdert.

Afgezien van dat minpunt heeft webOS heel wat te bieden. Het app-aanbod is erg uitgebreid, en de tv ondersteunt Google Cast en Apple Airplay2. Quick Cards op het Home-scherm groeperen bepaalde functies, en er is een rij met favoriete apps. Beide kan je customiseren door items die je niet interesseren te verbergen (of volledig te verwijderen). In dit overzichtsartikel (weliswaar nog van webOS23) vind je alle info over webOS. Dankzij vijf jaar gegarandeerde upgrades aan de nieuwste versie, blijft het smart-tv-systeem up-to-date.

De afstandsbediening is na vele jaren volledig vernieuwd. De aanwijsfunctie is gebleven, maar de vorm en lay-out zijn volledig aangepast. LG kiest net als veel andere fabrikanten voor een eenvoudigere afstandsbediening. De afgeronde vorm heeft nu plaats gemaakt voor een meer klassieke rechthoekig remote. Daarnaast is het cijferblok verdwenen en is er gekozen voor kanteltoetsen voor volume en kanaal. Op zich niets mis mee, maar er is ook een aantal twijfelachtige keuzes gemaakt. Zo is de ingangentoets vervangen door de Thuis Hub, al kan je de ingangen wel nog bereiken door lang op die toets te duwen. De mute-toets is weg, het geluid uitzetten doe je nu door de volumeknop naar beneden gedrukt te houden. Dat is echt onhandig. De microfoon is nu gelabeled als AI, totaal overbodig. En tot slot, de meeste toetsen vereisen te veel druk om ze in te drukken. Zeker bij de ok-toets die ook een scrollwiel is, leidt dat wel eens tot foute aanslagen. 

Conclusie

De LG OLED65C5 bevestigt andermaal zijn plaats als een uitstekende keuze in de subtop van OLED-tv’s. De gelijkenissen met de C4 zijn aanzienlijk, en dat toestel blijft zeker ook een goede keuze. Als we de C5 een minpunt zouden moeten geven, dan is dat het overmatig gebruik van niet-content gerelateerde reclame binnen webOS. Dat is onaanvaardbaar, maar gelukkig kun je het wel uitschakelen. Het verlies van DTS-ondersteuning en het uitblijven van HDR10+ rekenen we veel minder zwaar aan. De C5 levert prachtige prestaties voor film en sport, en is rijkelijk uitgerust voor gamers. De uitstekende kalibratie brengt topbeelden binnen handbereik. WebOS biedt vijf jaar updates, heeft een ruim app-aanbod en ondersteunt Google Cast en Apple Airplay2.