Ben je verantwoordelijk voor je thuisnetwerk of voor het netwerk of de webserver van je bedrijf, dan wil je alle systemen natuurlijk zo goed mogelijk beveiligen tegen aanvallen van buitenaf. Een grondige analyse van potentiële kwetsbaarheden dringt zich dan op. Kali Linux is de aangewezen tool voor uiteenlopende vormen van ‘penetration testing’, ofwel pentesting.

Om te weten hoe goed je systeem bestand is tegen allerlei hackersaanvallen zijn er in feite twee mogelijkheden. Ofwel je wacht af tot de eerste geslaagde aanval een feit is, ofwel je voert zelf zulke ‘aanvallen’ uit en neemt op basis daarvan de gepaste maatregelen.

Het lijkt ons evident welke aanpak de voorkeur geniet. Daarom reiken we je in dit dubbelartikel tools aan waarmee je zelf kunt proberen specifieke computersystemen binnen te dringen. Daarbij ontplooien we activiteiten die ook cybercriminelen zouden kunnen verrichten. We gaan er echter wel vanuit dat het om je eigen systemen gaat of minstens om systemen waarvoor je de nodige autorisaties hebt.

Deze vorm van ethisch hacken wordt penetration testing, kortweg pentesting genoemd. Zo’n pentest zal vaak niet alle antwoorden bieden op je beveiligingsproblemen, maar zal het risico op een succesvolle aanval van buitenaf in elk geval sterk verminderen. Je doet er echter wel goed aan zo’n pentest op regelmatige basis uit te voeren: cybercriminelen vinden immers voortdurend nieuwe exploits voor systemen en applicaties.

Over Kali Linux

Een van de meest uitgebreide tools voor pentesting is Kali Linux, de opvolger van het populaire, op Knoppix gebaseerde BackTrack. Kali Linux werd in 2013 van de grond af herschreven en is op Debian gebaseerd. Deze distributie bevat enkele honderden pentesting-applicaties en bestrijkt zowat het hele werkveld van de (ethisch) hacker, met tools voor onder meer het verzamelen van informatie, social engineering, sniffen en spoofen, het kraken van wachtwoorden, het analyseren van kwetsbaarheden, het aanvallen van draadloze netwerken, enz.

Kali Linux is beschikbaar voor diverse platformen, met name i386, AMD64 en ARM. Het laat zich als nieuw systeem of in een dualboot-configuratie installeren, maar je kunt het tevens op een live medium plaatsen of binnen een virtuele machine draaien. Voor dit artikel gaan we uit van dit laatste scenario. We maken hiervoor gebruik van de gratis hosted hypervisor Oracle VM VirtualBox, met Windows 10 als host. Via deze tool gaan we bovendien enkele doelsystemen (targets) virtualiseren. Immers, virtualisatie biedt niet alleen een veilig afgeschermde omgeving voor je experimenten, maar met behulp van de ingebouwde snapshot-functie kun je ook snel terugkeren naar een eerdere situatie.

Een logisch begin is dus het opzetten van ons virtueel lab. Naast Kali Linux heb je bij voorkeur ook enkele uiteenlopende doelmachines beschikbaar, zoals een Linux-distributie, een oudere Windows-versie (XP) en een recentere Windows-versie, zoals Windows 7 en/of 10.

Virtual Box

Download en installeer alvast de nieuwste versie van VirtualBox. Het is onze bedoeling deze systemen via een virtueel netwerk met elkaar te verbinden, waarbij die met behulp van NAT en een virtuele gateway het internet kunnen bereiken.

Dit scenario bereid je het best als volgt voor. Start VirtualBox op en kies Bestand / Voorkeuren. In de rubriek Algemeen leg je de standaardmap voor je virtuele machines (vm’s) vast, waarbij je een locatie kiest met flink wat vrije ruimte. Ben je niet zo bekend met VirtualBox, bekijk dan zeker ook even beide tabbladen in de rubriek Invoer, want die tonen een hele reeks nuttige sneltoetsen.

Open ook de rubriek Netwerk, waar je vastlegt hoe de virtuele machines met elkaar communiceren. Op het tabblad NAT-netwerken klik je de groene plusknop aan en dubbelklik je vervolgens op het toegevoegde item. Hier kun je als je wilt de naam (NatNetwork), de Netwerk CIDR (10.0.2.0./24) en enkele netwerkopties wijzigen. Je kunt echter ook gewoon de standaardkeuzes gebruiken, inclusief dhcp-ondersteuning. Zorg wel dat er een vinkje staat bij Inschakelen netwerk en bevestig je keuzes.

©PXimport

Kali downloaden en installeren

We zijn nu klaar om onze virtuele machines te installeren en het testplatform Kali Linux lijkt ons een logische eerste kandidaat. Wij kiezen Kali Linux Vbox 64 Bit Ova, een open virtual appliance die je als volgt in VirtualBox installeert. Ga naar Bestand, kies Appliance importeren, verwijs naar het uitgepakte bestand en druk op Volgende. Via een dubbelklik op de naam kun je die aanpassen als je wilt. Je zet de operatie in gang met de knop Importeren. Na afloop kun je de vm opstarten. Inloggen doe je met de standaard gebruikersnaam root en het wachtwoord toor. Als het goed is verschijnt even later de Kali-desktop.

Het is nu tijd om de doelsystemen te installeren waarop we de pentests van Kali – op een veilige manier – kunnen uitproberen. Een dankbaar target is Metasploitable: een Ubuntu-distributie die door de makers van het populaire exploit-ontwikkelingsplatform MetaSploit werd vrijgegeven en waarin met opzet diverse kwetsbaarheden werden ingebouwd. Je vindt de download hier, dat uitgepakt onder meer een vmdk-bestand oplevert. Je haalt dat als volgt naar VirtualBox: klik op Nieuw, vul als Type Linux en bij Versie Ubuntu (64-bit) in. Je kunt volstaan met 1 GB ram. Selecteer Gebruikeen bestaand virtuele harde schijf bestand en verwijs naar het vmdk-bestand. Inloggen op het systeem doe je standaard met msfadmin, zowel voor de gebruikersnaam als het wachtwoord.

Een paar Windows-systemen als target zijn zeker ook wenselijk. Die vind je gratis en bruikbaar gedurende 90 dagen in de vorm van deze handige ova-appliances, althans voor Windows 7 (x86) en Windows 10 (x64). Bij Select platform selecteer je VirtualBox.

Voor Windows XP kun je hier jammer genoeg niet meer terecht, maar we vonden een download op Softlay.net, via het uitklapmenu Windows / Windows XP ISO (het betreft Windows XP Professional SP3), waarna die zich moeiteloos liet installeren binnen VirtualBox.

Bij Windows XP en 7 doe je er wel goed aan de functie automatische updates meteen na de eerste opstart uit te schakelen, want voor onze experimenten zijn we juist geïnteresseerd in ongepatchte systemen. Dat kan via het Windows Configuratiescherm (Control Panel) in Classic View, waarna je bij System het tabblad Automatic Updates opent en Turn Off Automatic Updates selecteert.

©PXimport

Pentesting-tools

Alles is nu in gereedheid om met Kali aan de slag te gaan. Zoals gezegd bevat Kali enkele honderden pentesting-tools en die vind je op het bureaublad overzichtelijk gerubriceerd onder het menu Applications.

De rubriek Information gathering bevat maar liefst tien subcategorieën (met in totaal meer dan vijftig tools), waaronder DNS Analysis, IDS/IPS Identification, Live Host Identification en Network & Port Scanners. We maken kennis met twee bekende tools: Dmitry en Maltego.

Dmitry is een opdrachtregel-tool die je kunt inzetten voor een whois-lookup van een host, het scannen naar open tcp-poorten en het identificeren van subdomeinen. Bij de opstart toont de applicatie je al meteen enkele nuttige parameters. In zijn eenvoudigste vorm ziet een commando er als volgt uit:

(bijvoorbeeld ‘dmitry google.com’). Je krijgt nagenoeg onmiddellijk heel wat informatie terug over het bevraagde domein, waaronder ip-adres, nameservers, registrar, subdomeinen, enzovoort. Je kunt ook specifiek naar poorten scannen (via de switch -p) en je virtuele Metasploitable-machine is een dankbaar slachtoffer. Je moet deze vm dan natuurlijk wel ook eerst opstarten – het interne ip-adres kun je hier opvragen met het shell-commando

Om ook de banners van de poorten te zien, zodat we de versie van de software vernemen die instaat voor de services, gebruik je de -b switch:

(het ip-adres binnen ons eigen virtueel netwerk).

©PXimport

Maltego-transforms

Een information gathering-tool met een geheel andere aanpak is het populaire – en behoorlijk indrukwekkende - Maltego. Dat bevraagt op een slimme manier publiek toegankelijke informatie over organisaties. Kali bevat de gratis community edition van Maltego, maar voor je hier daadwerkelijk mee aan de slag kunt moet je je registreren. Vervolgens kun je Maltego opstarten en je bij de service aanmelden met je accountgegevens.

Pas daarna zal Maltego de publieke transforms in zijn database laden. Transforms zijn analytische processen die publieke data over het beoogde doelwit opvragen en vervolgens die data transformeren naar een boomdiagram van gerelateerde informatie. Er zijn heel wat transforms beschikbaar in Maltego, maar je kunt desgewenst ook je eigen transforms scripten.

In de gui-interface van Maltego zie je een paneel met beschikbare transforms: de Paterva CTAS CE transform is standaard al geïnstalleerd. Bekende transforms zijn onder meer nog Cisco Threat Grid, Blockchain.info (Bitcoin), Have I Been Pwned?, VirusTotal Public API, Social Links en Kaspersky Lab. Die kun je eveneens installeren, maar meestal heb je daarvoor een token of een API-sleutel nodig die je bij de desbetreffende websites kunt ophalen.

Om een nieuw diagram te starten vanuit de Maltego-gui klik je linksboven het plusknopje New aan. In het Palette-paneel tref je een aantal transform-functies aan, waaronder Infrastructure, Locations, Malware, Personal en Social Network.

We beperken ons hier tot een tweetal voorbeelden.

©PXimport

Beginnen we met de rubriek Infrastructure, waar je de Domain-functie naar het canvas versleept. Dubbelklik op het toegevoegde item en vul de beoogde domeinnaam in. Vervolgens rechtsklik je op het item: je krijgt nu de beschikbare transforms te zien. Via het knopje Configure kun je individuele taken aanpassen en verwijderen, maar je kunt in één keer ook Run All kiezen, bijvoorbeeld bij het onderdeel DNS from Domain. Het resultaat, zowel tekstueel als grafisch, laat niet lang op zich wachten: je krijgt onder meer alle websites, nameservers en mailservers van dat domein te zien. Je kunt echter ook rechtsklikken op elk van deze subitems om nog meer details op te vragen. Het is tevens mogelijk de grafiek te bewaren en te delen.

Open ook even de rubriek Personal en sleep Person naar het canvas. Via een dubbelklik vul je de gewenste persoonsnaam in, waarna je hier alle transforms op laat uitvoeren (je hoeft niet noodzakelijk specifieke domeinen in te vullen). Voor Twitter moet je wel eerst even je autorisatie geven.

Met wat geluk duiken meteen een aantal websites, e-mailadressen en telefoonnummers op die met de beoogde persoon verband houden. En ook hier kun je nog meer transforms loslaten op elk van deze subitems, zodat je extra e-mailadressen, tweets, enzovoort te zien krijgt.

Dit zijn slechts twee van de tools die je met Kali Linux tot je beschikking hebt. Veel testplezier!

Standaard is de cloudopslag van Microsoft op alle Windows 11-apparaten ingeschakeld. Maar misschien is OneDrive niet je favoriete cloudplatform en wil je deze pauzeren, uitschakelen of zelfs verwijderen. Op deze manieren doe je dat.

Pauzeren

OneDrive slaat je gegevens op externe servers op. Zorgen over de privacy van je gegevens kan een reden zijn om deze cloudopslag uit te schakelen. Maar ook prestatieproblemen op een ouder systeem of het feit dat je inmiddels de opslaglimiet hebt bereikt, kunnen goede redenen zijn om OneDrive op non-actief te zetten. Via het OneDrive-menu kun je de synchronisatie pauzeren. Klik op de kleine pijl omhoog naast de wifi- en volumeknoppen in de rechterbenedenhoek van het bureaublad om het systeemvak te openen. Selecteer het OneDrive-pictogram en open dan de instellingen via de knop in vorm van het tandwieltje. Hier kun je de optie Synchroniseren onderbreken selecteren. Daarna bepaal je of je OneDrive 2, 8 of 24 uur wilt stopzetten.

Uitschakelen

Het is ook mogelijk om de OneDrive-app volledig uit te schakelen. Uiteraard stopt dan de synchronisatie totdat je de app opnieuw inschakelt of totdat je de pc opnieuw opstart. Klik weer op het OneDrive-pictogram in het systeemvak en open de instellingen. Vervolgens kies je opnieuw Synchroniseren onderbreken. Deze keer selecteer je geen tijdsduur, maar ga je onderaan naar de optie OneDrive afsluiten. Dan verschijnt een pop-upbericht met de vraag of je zeker bent, want dan stopt de synchronisatie en worden er niet langer back-ups in de cloud gemaakt. Klik nogmaals op OneDrive afsluiten om te bevestigen.

Verwijderen

Wil je voorkomen dat deze dienst ooit nog bestanden naar de cloud uploadt, dan kun je OneDrive ook definitief verwijderen. Ga naar het instellingenvenster van Windows. De snelste manier om daar te komen is om Windows-toets+I in te drukken. In het linkermenu klik je op Apps. Daarna selecteer je in het rechterdeel de optie Geïnstalleerde apps. Vervolgens krijg je een lijst van alle apps die op de pc geïnstalleerd zijn. Je kunt naar OneDrive zoeken via de zoekbalk of je scrolt door de alfabetische lijst tot je bij Microsoft OneDrive komt. Klik op de knop met de drie puntjes naast deze app en selecteer Verwijderen. Wanneer de knop Verwijderen er niet is of lichtgrijs is, kun je in de plaats daarvan de optie Wijzigen selecteren en vervolgens kiezen om de app uit te schakelen. Deze blijft dan permanent uitgeschakeld tot je besluit om OneDrive opnieuw in te schakelen.

Met de Google Pixel 10 Pro Fold koop je een 1899 euro kostende smartphone die je open kunt vouwen als een boek. Dat grote scherm is heel tof, maar hoe bevalt de telefoon in de praktijk? En is hij een betere keuze dan andere vouwsmartphones? Je leest het in deze uitgebreide Google Pixel 10 Pro Fold-review.

De Pixel 10 Pro Fold volgt de Pixel 9 Pro Fold uit 2024 op. Die werd door ons de beste vouwtelefoon van het jaar genoemd. We hadden dan ook hoge verwachtingen van zijn opvolger. Die verwachtingen komen niet helemaal uit. Ja, de Pixel 10 Pro Fold is een heel goede uitvouwbare smartphone. Maar nee, door verschillende keuzes van Google en een hardere innovatiedrang van concurrenten kunnen we de Pixel 10 Pro Fold geen schot in de roos noemen. Tijd om uit te leggen hoe dat komt.

©Rens Blom

©Rens Blom

Een smartphone maken met een scherm voorop en een groter scherm aan de binnenkant is technisch nog steeds lastig, maar het type telefoon wordt steeds beter. Bij Google zien we dat op twee boeiende punten terug. De Pixel 10 Pro Fold is de eerste vouwsmartphone die gecertificeerd stofbestendig en waterdicht is.

©Rens Blom

Een knappe prestatie en een fijne zekerheid voor als je het toestel in een regenbui of aan het zwembad gebruikt. Het tweede punt is de ingebouwde magneet, waardoor je de Pixel 10 Pro Fold magnetisch kunt opladen met maximaal 15 watt. De manier van werken is identiek aan Apple's MagSafe in iPhones en is door Google 'Pixelsnap' genoemd.

©Rens Blom

De rest van het ontwerp van de Pixel 10 Pro Fold doet sterk denken aan zijn voorganger. Dat is niet slecht, maar merken als Samsung, Honor en Oppo hebben dit jaar serieuze stappen gezet in het dunner en lichter maken van hun vouwtelefoons. Vergeleken bij bijvoorbeeld de Samsung Galaxy Z Fold 7 voelt de Pixel-telefoon daarom zwaar, dik en wat gedateerd aan. Wat ook opvalt is dat de verticale vouw in het scherm van de Pixel 10 Pro Fold meer zichtbaar en voelbaar is dan op de Z Fold 7. Qua ontwerp komt de Samsung-telefoon simpelweg moderner en prettiger over, met minder compromissen.

©Rens Blom

De Pixel 10 Pro Fold heeft een 6,4inch-oledscherm aan de buitenkant en toont opengevouwen een 8inch-oledscherm. Beide schermen zijn lekker scherp, hebben een 120Hz-verversingssnelheid en kunnen erg helder beeld tonen.

©Rens Blom

Technische functies

Compromissen zien we ook terug in de hardware van de Pixel 10 Pro Fold. Niet in de hoeveelheid werkgeheugen (liefst 16 GB) of opslagcapaciteit (minimaal 256 GB), maar wel in de gekozen processor. Google kiest, net als in de andere Pixel 10-modellen, voor zijn eigen Tensor G5-processor. Die is simpelweg minder krachtig dan de Qualcomm-processor in andere vouwtelefoons.

De accuduur is gelukkig dik in orde. We kunnen de Pixel 10 Pro Fold een hele dag gebruiken voordat we hem 's avonds aan de magnetische oplader hoeven te hangen. Bekabeld opladen kan ook en gaat sneller, met maximaal 30 watt. Dat is anno 2025 niet heel vlot voor een dure smartphone, waardoor het bijna twee uur duurt voordat de accu via een usb-c-kabel volledig opgeladen is.

Camera's

Camera's zijn er in overvloed op deze vouwtelefoon. Logisch, want in zowel het scherm voorop als aan de binnenkant vind je een selfiecamera. Daarnaast zijn er op de achterkant nog eens drie camera's geplaatst. Dat zijn een hoofdcamera, groothoekcamera en telelens. De camera's scoren een ruime voldoende op fotografie- en videovlak. Opvallend is dat de zoomcamera vijf keer optisch inzoomt, waardoor je het beeld echt een stuk dichterbij haalt.

©Rens Blom

Lang updates

Met een Google Pixel-telefoon ben je verzekerd van zeven jaar softwareupdates en dat is met de Pixel 10 Pro Fold niet anders. Fijn is dat je die updates als eerste krijgt, want Google is de ontwikkelaar van Android. De Android 16-software op de vouwtelefoon werkt naar behoren en bevat steeds meer AI-gestuurde functies. Nog niet alle functies die in de Verenigde Staten werken, zijn in Nederland of de Nederlandse taal te gebruiken. Hopelijk komt daar nog verandering in, zodat de Pixel 10 Pro Fold een nog slimmere smartphone wordt.

De Pixel 10 Pro Fold in gebruik

De vouwbare ervaring van deze smartphone is uitstekend. Het scharnier voelt stevig aan en klapt met een prettige klik dicht. Het blijft ergens fascinerend om van een regulier telefoonscherm naar een 8inch-scherm te gaan. Je kunt zo twee apps prettig naast elkaar gebruiken of ziet één app op groter beeld. Leuk als je een video kijkt of een tekst leest, bijvoorbeeld.

©Rens Blom

©Rens Blom

©Rens Blom

Conclusie: Google Pixel 10 Pro Fold kopen?

De Google Pixel 10 Pro Fold is een mooie verbetering ten opzichte van zijn voorganger, maar de concurrentie heeft in een jaar tijd grotere stappen gezet. Samsungs Galaxy Z Fold 7 voelt op veel punten verfijnder aan dan de Pixel 10 Pro Fold en is – door zijn prijsverlagingen – ook honderden euro's goedkoper. Die twee redenen maken het lastig om Google's nieuwste vouwtelefoon aan te raden, ook al bevalt hij eigenlijk hartstikke goed.