ID.nl logo
Roep om achterdeur in encryptie is van alle tijden
© PXimport
Huis

Roep om achterdeur in encryptie is van alle tijden

Om de zoveel jaar gaan er bij overheden stemmen op om een achterdeur in encryptie-systemen te verplichten, zodat ze de communicatie van criminelen kunnen blijven lezen. Dat dit meer kwaad dan goed doet, lijkt de politici niet te deren. Dat de discussie al langer speelt dan je wellicht dat, lees je hier.

Om te weten waar de huidige roep om meer controle over encryptie precies over gaat, is het nuttig om even een stapje terug te zetten in de geschiedenis. Tijdens de beginjaren van de Koude Oorlog (1947-1991) wilden de Verenigde Staten en hun bondgenoten voorkomen dat westerse technologie met militaire toepassingen in handen van ‘de vijand’ viel. Het ging daarbij niet alleen om munitie, maar ook om encryptie. Vlak na de Tweede Wereldoorlog werd encryptie immers bijna alleen maar voor militaire toepassingen gebruikt. Er kwamen dan ook exportregels, en op de United States Munitions List van technologie met exportbeperkingen stond encryptietechnologie.

Maar het is een algemene regel dat technologie die eerst alleen door het leger wordt gebruikt, daarna ook algemenere toepassingen krijgt. Zo ook met encryptie: banken zagen in dat ze met encryptie transacties op een veilige manier kunnen doorsturen. En ook overheidsdiensten buiten het leger voelden de noodzaak van encryptie. Daarom liet de Amerikaanse overheid DES (Data Encryption Standard) ontwikkelen, een algoritme voor symmetrische encryptie met sleutels van 56 bit groot.

Een achterdeurtje in DES?

DES werd in de vroege jaren zeventig door IBM ontwikkeld. Oorspronkelijk zou het met een sleutel van 64 bit werken, maar de NSA (National Security Agency) wilde een sleutel van 48 bit, zodat de Amerikaanse veiligheidsdienst de encryptie nog zou kunnen kraken. Ze wilde onderschepte versleutelde communicatie van binnenlandse of buitenlandse bedreigingen kunnen inkijken. Uiteindelijk kwam men tot een compromis en werd het algoritme afgezwakt tot 56 bit. Dat voor die tijd eigenlijk al te zwak, en in 1999 slaagde de Electronic Frontier Foundation (EFF) erin om een DES-sleutel in minder dan een dag te kraken.

Er was nog iets anders verdachts gebeurd bij de ontwikkeling van DES. Een belangrijke component van veel algoritmes voor symmetrische encryptie is de S-box (substitution box). Dat is een opzoektabel die een reeks invoerbits omzet naar een reeks uitvoerbits. Onder druk van de NSA werden de S-boxes van DES veranderd. Dat leidde al snel tot wantrouwen: had de NSA die S-boxes zodanig geconstrueerd dat er een achterdeurtje in zat dat alleen zij kende?

Pas in de jaren negentig werd duidelijk dat dit wantrouwen ongegrond was: de aanpassingen van de S-boxes door de NSA maakten het algoritme zelfs veiliger. Onderzoekers van IBM hadden namelijk differentiële cryptoanalyse ontdekt, een manier om encryptiealgoritmes te kraken, en de NSA had hen gevraagd om de techniek geheim te houden, zodat de Amerikaanse veiligheidsdienst ze stiekem kon blijven gebruiken. Maar de S-boxes van DES werden wel aangepast, zodat ze niet meer vatbaar waren voor differentiële cryptoanalyse.

©PXimport

De opkomst van internet en ssl

Na de uitvinding van het world wide web was de groei van internet plots niet meer te stuiten en kwam ook de e-commerce op. Dat laatste was onder meer mogelijk omdat Netscape het protocol ssl (secure sockets layer) ontwikkeld had. Financiële transacties konden op een versleutelde manier worden overgedragen.

Ssl maakte toen gebruik van het encryptieprotocol rc4 met 128bit-sleutels. Maar volgens de exportbeperkingen van de Amerikaanse overheid was het verboden om encryptiesystemen met 128bit-sleutels te exporteren, omdat de NSA die niet kon kraken. Daarom voelde Netscape zich verplicht om twee versies van zijn webbrowser te ontwikkelen: de Amerikaanse editie met 128bit-ssl en de internationale editie met 40bit-ssl.

In de praktijk gebruikten zelfs veel Amerikaanse burgers gewoon de internationale versie van Netscape: in feite een heel onveilige situatie. De 40bit-encryptie was immers in enkele dagen tijd te kraken met een gewone pc, waardoor de ssl-verbindingen slechts schijnveiligheid boden. Na een campagne door privacyvoorvechters en e-commercebedrijven, die de publiciteit over de onveiligheid van e-commerce konden missen als kiespijn, werden de exportregels voor encryptie in 2000 verzwakt. In andere landen waren er vergelijkbare ontwikkelingen.

Zwakke gsm-encryptie

Op alle vlakken waar encryptie werd toegepast, lieten overheden hun invloed gelden. Toen de gsm-standaard werd ontwikkeld, werd het kunstje met de ‘internationale versie’ met een zwakker algoritme weer overgedaan: A5/1 werd in 1987 ontwikkeld voor encryptie van gsm-communicatie in Europa en de Verenigde Staten, en twee jaar later werd het veel zwakkere A5/2 voor de rest van de wereld ontwikkeld. A5/2 was zelfs zo zwak, dat toen de specificatie in 1999 werd gepubliceerd, in dezelfde maand nog uit een cryptoanalyse bleek dat het met standaardapparatuur realtime gekraakt kon worden. Pas in 2007 besloot de 3GPP, de standaardisatieorganisatie voor mobiele telefonie, om A5/2 uit te faseren.

Maar ook het sterkere A5/1 stuitte op problemen. De inlichtingendiensten van de NAVO-landen hadden allemaal immers hun eigen idee over hoe sterk A5/1 precies mocht/moest zijn. West-Duitsland (dit was nog vóór de hereniging van Duitsland) wilde de gsm-encryptie zo sterk mogelijk maken, uit vrees dat Oost-Duitsland anders zijn communicatie kon afluisteren. Oorspronkelijk zou er een sleutelgrootte van 128 bit komen, iets wat heel veilig zou zijn. Maar de Britten gaven niets om de Duitse vrees en de geheime dienst wilde 48bit-encryptie, zodat ze zelf gemakkelijker gsm-communicatie kon afluisteren. Het compromis werd een sleutelgrootte van 54 bit.

Al in 2000 werd aangetoond dat A5/1 realtime gekraakt kan worden. Uit documenten die klokkenluider Edward Snowden in 2013 lekte, blijkt dat de NSA met A5/1 versleutelde communicatie kan kraken. Van de encryptie-algoritmes voor 3G, 4G en 5G is niet bekend of overheden hier invloed op uitoefenden.

Een achterdeurtje in elke gsm?

Ondertussen bewandelde de Amerikaanse overheid nog een andere route om gsm-communicatie af te kunnen luisteren. De NSA had een chip ontwikkeld om spraak en data te ‘beveiligen’: Clipper. Het was de bedoeling dat die in elke mobiele telefoon ingebouwd zou worden. Elke Clipper-chip was voorzien van een uniek serienummer en een geheime sleutel, die als backdoor diende voor de NSA. Zo zou de communicatie ‘versleuteld’ zijn, zodat onbevoegden die niet konden inzien, maar overheidsdiensten die spraak- of datacommunicatie onderschepten, die wel konden decoderen.

Het werkte met het principe van ‘key escrow’ (of volgens de Electronic Frontier Foundation ‘key surrender’). De overheid hield elke sleutel in bewaring samen met het bijbehorende serienummer. Elke overheidsdienst die dat nodig vond, kon de sleutel van een specifiek serienummer opvragen, waarmee ze dan alle afgeluisterde communicatie van die specifieke telefoon kon afluisteren.

©PXimport

Toen Clipper in 1993 aangekondigd werd, beargumenteerde het team van president Bill Clinton dat de politie Clipper nodig had om met de technologische ontwikkelingen mee te kunnen gaan. De gedachte was dat terroristen met elkaar veilige, niet af te luisteren communicatiemiddelen zouden gebruiken, maar om met buitenstaanders zoals banken, leveranciers enzovoort te communiceren hadden ze de officiële manier nodig, en die communicatie afluisteren zou ook al nuttig kunnen zijn.

Clipper kon op heel wat weerstand rekenen. Door de communicatie tussen criminelen en derden af te luisteren, zouden talloze onschuldige burgers ook afgeluisterd worden. Bovendien werd de werking van Clipper geheim gehouden, waardoor men vreesde dat het algoritme niet voldoende getest en beoordeeld zou zijn en dus fouten zou bevatten. Het risico bestond dan ook dat criminelen het algoritme zouden kraken en daardoor alle gsm-communicatie konden ontcijferen.

Bovendien kon de Amerikaanse overheid wel Amerikaanse telefoonproducenten verplichten om de Clipper-chip in te bouwen, maar voor buitenlandse producenten gold die verplichting niet. Amerikaanse burgers (en criminelen) zouden gewoon buitenlandse telefoons met sterke encryptie kunnen kopen, en de kans was groot dat de Amerikaanse producenten uit de markt geduwd zouden worden. Door al die tegenstand stierf Clipper rond 1996 een stille dood. De discussie leidde er ook toe dat encryptiesystemen zoals PGP (Pretty Good Privacy) veel populairder werden. In 1997 publiceerde een groep computerwetenschappers ‘The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption’ met een samenvatting van de risico’s.

Willekeurige getallen voorspellen

Omdat de aanpak van Clipper mislukte, veranderde de NSA van tactiek: vanaf nu zou het alleen nog maar in het geniep encryptie proberen te verzwakken. Dat deed de organisatie onder meer door haar invloed in standaardisatieorganisaties aan te wenden. De NSA had immers heel wat expertise in encryptie en was daardoor in (vooral Amerikaanse) standaardisatieorganisaties voor encryptiealgoritmes nog altijd welkom.

Eén standaard waar de NSA haar zin kon doordrijven, was SP 800-90A van het Amerikaanse NIST (National Institute of Technology). In deze standaard worden enkele algoritmes gedefinieerd om pseudowillekeurige getallen te genereren (een pseudo-random number generator of pseudo-rng), wat belangrijk is voor allerlei encryptiealgoritmes.

Een van die pseudo-rng-algoritmes is Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator). De werking is gebaseerd op een ingewikkeld wiskundig concept, namelijk elliptische krommen. Dual_EC_DRBG heeft twee parameters, punten P en Q op de kromme. Die zijn in de standaard SP 800-90A gedefinieerd, maar er wordt niet uitgelegd hoe de ontwerpers aan die exacte waardes komen. En wie zijn die ontwerpers van die standaard? Voornamelijk werknemers van het NIST en… de NSA.

©PXimport

Het probleem is: Dual_EC_DRBG is alleen veilig als P en Q willekeurig gegenereerd zijn. Maar P en Q kunnen ook zo opgesteld worden dat ze een achterdeurtje vormen. Die mogelijkheid was in cryptografiekringen al bekend en was zelfs tijdens een bijeenkomst van het standaardisatiecomité geopperd. Maar niemand leek toen echt te geloven (of publiekelijk te beweren) dat de NSA daadwerkelijk een backdoor in het algoritme had geïntroduceerd door haar keuze voor de waardes P en Q.

Nog voordat de definitieve versie van SP 800-90A gepubliceerd was, gingen mensen vragen stellen. Dus deed de NSA er alles aan om haar backdoor er toch door te duwen. Zo zorgde ze er door een subtiele formulering in de standaard voor dat implementaties alleen de FIPS 140-2-validatie konden krijgen als ze die specifieke P en Q gebruikten. Die validatie is nodig als iemand software aan de Amerikaanse overheid of gereguleerde industrieën wil verkopen.

Binnen het standaardisatiecomité was er toen discussie over het al dan niet aannemen van Dual_EC_DRBG in SP 800-90A (dat ook drie andere algoritmes beschreef). De NSA zou in 2004 het bedrijf RSA tien miljoen dollar toegestopt hebben om van Dual_EC_DRBG de standaard rng in zijn cryptografische bibliotheek BSAFE te maken. Dat was dus nog voordat het algoritme een officiële NIST-standaard werd. Tegenover het comité verweerde de NSA zich toen met het gegeven dat het prominente bedrijf RSA zelfs Dual_EC_DRBG in zijn producten gebruikte. Het comité was zich niet bewust van de geheime deal met RSA en nam uiteindelijk het algoritme aan: de eindversie van de standaard werd in 2006 gepubliceerd.

Ontmaskering van de NSA

Al vrij snel had de cryptografische gemeenschap door dat er iets loos was. In 2007 toonden Microsoft-werknemers Dan Shumow en Niels Ferguson aan dat iemand met kennis van P en Q die toegang heeft tot een beperkte hoeveelheid ‘willekeurige’ cijfers van Dual_EC_DRBG, de volledige interne toestand kan reconstrueren en dus alle uitvoer kan voorspellen. Op basis hiervan vroeg beveiligingsexpert Bruce Schneier zich in een artikel in Wired expliciet af of de NSA soms een backdoor in de standaard had geïntroduceerd.

Door de niet zo koosjere gang van zaken bij het standaardisatieproces (NIST’s eigen cryptograaf waarschuwde toen nota bene voor een mogelijk achterdeurtje in het algoritme, iets wat door NIST genegeerd werd) geloofde eigenlijk iedereen Schneier, maar niemand kon het bewijzen. Tot in 2013.

Door de onthullingen van klokkenluider Edward Snowden kwamen alle voorgaande acties van de NSA in een ander licht te staan. In een van de gelekte documenten stond dat de NSA stiekem zwakheden in encryptiestandaarden introduceerde, en de link met Dual_EC_DRBG was dan ook snel gelegd. NIST reageerde daarop publiek door iedereen aan te raden om het algoritme niet meer te gebruiken en RSA raadde zijn klanten hetzelfde aan. In december 2013 kwam Reuters naar buiten met het verhaal over de deal tussen de NSA en RSA, en in 2014 verwijderde NIST het geplaagde algoritme uit de NIST SP 800-90A-standaard.

©PXimport

Achterdeurtje in Juniper-firewalls

Eind goed, al goed, denk je. Maar het verhaal kreeg nog een staartje. Eind 2015 kondigde Juniper Networks aan dat het in zijn besturingssysteem ScreenOS, dat op de NetScreen-firewalls draait, twee backdoors had gevonden die er al zeker sinds 2012 in zaten.

ScreenOS maakte gebruik van Dual_EC_DRBG als pseudo-rng. Het bedrijf wist dat de NSA de NIST SP 800-90A-standaard gekaapt had, en had daarom een andere Q dan die uit de standaard gekozen. Maar de release van augustus 2012 introduceerde ineens nog een andere Q in het algoritme, iets wat blijkbaar niet door Juniper was geautoriseerd. Diegene die deze Q in de code gezet had, kon dus al het netwerkverkeer door de vpn ontcijferen, omdat hij de sleutels voor de encryptie van het vpn-verkeer kon voorspellen.

Onmiddellijk waren er geruchten dat deze backdoor van de NSA kwam. In 2013 was uit gelekte documenten al bekend geworden dat de NSA door het FEEDTHROUGH-programma toegang had tot Juniper-firewalls.

Cryptografieprofessor Matthew Green denkt dat Juniper het achterdeurtje zelf geïntroduceerd heeft, maar dat een buitenlandse inlichtingendienst dat ontdekte en erin geslaagd is om stiekem een eigen Q te introduceren, zodat ze eenvoudig misbruik kon maken van het bestaande achterdeurtje.

Het voorval met Juniper bewijst dat een overheid een achterdeurtje in encryptie geven alleen maar slecht kan aflopen. Door een achterdeurtje te openen, open je een doos van Pandora, die uiteindelijk in je gezicht ontploft met maar één gevolg: je bent onveiliger en criminelen, terroristen en/of buitenlandse mogelijkheden maken er waarschijnlijk meer misbruik van dan je zelf kunt.

Het geheime programma Bullrun

De backdoor in Dual_EC_DRBG was één onderdeel van een clandestien programma van de NSA, Bullrun. Edward Snowden lekte in 2013 het bestaan hiervan. Het doel van Bullrun is op welke manier ook encryptie aan te vallen om versleutelde netwerkcommunicatie te kunnen ontcijferen.

Volgens een van de gelekte documenten kon de NSA ssl en vpn’s kraken. Het veiligheidsagentschap zou er in 2006 door vpn-verbindingen te ontcijferen in geslaagd zijn om bij drie buitenlandse vliegtuigmaatschappijen, een nucleair agentschap van een buitenlandse mogendheid en een internetprovider in te breken.

In een gelekt document uit 2010 staat dat de NSA ‘baanbrekende mogelijkheden’ heeft rondom versleuteld internetverkeer. Cryptografie-experts speculeerden toen dat de NSA het RC4-algoritme gekraakt had, dat in 2015 overigens in alle tls-versies (een verbeterde versie van ssl) verboden werd, omdat er toen ook al publieke zwakheden in ontdekt waren. Een ander vermoeden is dat de NSA de processorkracht heeft om 1024bit-RSA-sleutels of Diffie-Hellman-sleutels te kraken. Het NIST raadt sinds 2015 RSA-sleutelgroottes van minstens 2048 bit aan.

©PXimport

Door en na Edward Snowden wijzigde de publieke opinie. Nu pas was er een groot besef van wat iedereen intuïtief wel vermoedde, maar waar men tot dan niet bleef bij stilstaan: allerlei overheden luisteren iedereen af, ook onschuldige burgers. De Verenigde Staten sprongen door de lekken van Snowden het meest in het oog, maar we mogen ervan uitgaan dat het in elk land gebeurt.

Zo werd in 2014 bekend dat de Australische politie zonder daar recht op te hebben via de isp’s toegang kreeg tot de browsergeschiedenis van burgers. In India draait de overheid een systeem dat realtime data uit Skype en Google Talk haalt, telefoontjes afluistert, e-mails en sms-berichten onderschept en zoekopdrachten op Google opvolgt. En dan hebben we het nog niet over de ‘Great Firewall of China’.

Maar na Snowdens onthullingen accepteren steeds minder mensen die slinkse afluisterpraktijken. Fabrikanten van smartphones krijgen ook meer verzoeken van overheden om versleutelde gegevens op apparaten te kraken. Zowel Apple als Google reageerde in 2014 door de data zo te versleutelen dat alleen de gebruiker ze kon ontcijferen. Zo konden de bedrijven niet verplicht worden om mee te werken, want ze waren er simpelweg technisch niet meer toe in staat.

Verbod op sterke encryptie?

Intussen begonnen ook meer messengersystemen gebruik te maken van end-to-end encryptie, zoals Signal, maar ook WhatsApp. Daarbij kunnen alleen de zender en ontvanger onversleutelde tekst zien: op het net wordt alles versleuteld en zelfs Facebook (eigenaar van WhatsApp) kan in principe niet zien wat je in WhatsApp typt, omdat de benodigde sleutels alleen bij de zender en de ontvanger bekend zijn. De groei van end-to-end encryptie is de overheden niet ontgaan en is ze zelfs een doorn in het oog. In verschillende landen zijn de laatste jaren dan ook voorstellen gedaan om via wetgeving achterdeurtjes voor de overheid in end-to-end encryptie af te dwingen.

In Australië is er sinds 2018 al een wet die technologieleveranciers verplicht om een achterdeurtje voor de overheid in te bouwen als ze end-to-end encryptie gebruiken: de Assistance and Access Bill 2018. Toen cryptografen reageerden dat het wiskundig onmogelijk was om een systeem te ontwikkelen waarmee de politie criminelen kon bespioneren, maar de criminelen de politie niet, maakte de toenmalige Australische premier Malcolm Turnbull zich onsterfelijk belachelijk met de uitspraak “Allemaal lovenswaardig, die wiskundige wetten, maar de enige wetten die in Australië van toepassing zijn, zijn de Australische wetten.”

Uiteraard houdt deze wet de echte criminelen niet tegen: zij gebruiken gewoon geen Australische leveranciers meer voor hun communicatiesystemen. Bovendien zal een zwakheid in de backdoor sowieso de veiligheid van talloze onschuldigen in het gedrang brengen. Het incident met Juniper bewijst dat het misbruik van achterdeurtjes geen theoretisch probleem is, maar in de praktijk echt voorkomt.

Blijvende aanvallen op end-to-end encryptie

In landen als China, Rusland en Turkije is end-to-end encryptie verboden. Australië is voorlopig nog het enige land met een wet die een achterdeurtje in end-to-end encryptie verplicht. En de voormalige premier van het Verenigd Koninkrijk, David Cameron, en de voormalige president van de Verenigde Staten, Barack Obama, pleitten in 2015 al voor soortgelijke wetten in hun landen, zonder succes. Dat bracht dezelfde onderzoekers die na Clipper hun rapport publiceerden ertoe om in 2015 ‘Keys Under Doormats: Mandating insecurity by requiring government access to all data and communications’ te publiceren, waarin ze concludeerden dat de risico’s van overheidsachterdeurtjes nu nog groter zijn.

In oktober schreven hoge ambtenaren van Justitie van de Verenigde Staten, het Verenigd Koninkrijk en Australië nog een open brief aan Mark Zuckerberg, waarin ze opriepen om in zijn plannen voor end-to-end encryptie op Facebook ‘prioriteit te geven aan publieke veiligheid’ door opsporingsdiensten toegang tot de onversleutelde communicatie te geven.

De Nederlandse minister van Justitie en Veiligheid Grapperhaus was er overigens snel bij om te melden dat hij de zorgen van zijn buitenlandse collega’s deelde. En dat ondanks het feit dat de Nederlandse regering in 2016 concludeerde dat het niet wenselijk is om versleuteling te beperken.

De publieke aanvallen op end-to-end encryptie blijven komen, en als die niet lukken, gaan de inlichtingendiensten waarschijnlijk weer onder de radar werken. Zo mag de Australische politie ook aan technologieleveranciers vragen om malware op je apparaten te installeren om je op afstand af te luisteren. Op die manier kan ze op afstand zien wat je intypt, en dan maakt het niet uit dat je end-to-end encryptie gebruikt. Bereid je in de komende jaren maar voor op overheden die je toestellen proberen binnen te dringen...

▼ Volgende artikel
Luxaflex vies? Zo krijg je ze moeiteloos schoon
© eliosdnepr
Huis

Luxaflex vies? Zo krijg je ze moeiteloos schoon

Als er één plek in huis is waar stof zich graag verzamelt, dan is het wel op de luxaflex. En hangen ze in de keuken, dan worden ze niet alleen stoffig, maar ook nog eens vettig. Gelukkig hoef je niet uren te schrobben om ze weer schoon te krijgen: met de tips uit dit artikel zijn ze zo weer blinkend schoon.

Dit artikel in het kort: • Regelmatig doen: even afstoffen • Grondig schoonmaken: aluminium en kunststof • Grondig schoonmaken: houten luxaflex • Bedieningskoorden schoonmaken • Nicotine-aanslag verwijderen • Luxaflex langer mooi houden

Luxaflex schoon? Lees dan: De 5 beste tips om snel en simpel je ramen te lappen

Regelmatig doen: even afstoffen

Regelmatig afstoffen voorkomt dat vuil zich ophoopt. Een plumeau of microvezeldoek werkt prima. Draai de lamellen open zodat je overal bij kunt en werk van boven naar beneden. Een oude sok over je hand schuiven is een handige manier om elke lamel afzonderlijk schoon te vegen.

Wil je tijd besparen?* Gebruik dan een speciale lamellenborstel. Hiermee kun je in één beweging meerdere lamellen tegelijk afnemen. Druk niet te hard, om beschadigingen te voorkomen. Stofzuigen kan ook, maar gebruik dan een meubelmondstuk op de laagste stand en ondersteun de luxaflex met je andere hand.

* Wie niet eigenlijk...?

©africaimages.com (Olga Yastremsk

Als stoffen alleen niet meer genoeg is, moet je een stapje verder gaan. Hoe je dat doet, hangt af van het materiaal waarvan de luxaflex gemaakt zijn.

Grondig schoonmaken: aluminium en kunststof

Gebruik het bad…

Haal de luxaflex voorzichtig uit het kozijn en leg in een bad met lauwwarm water en een scheutje allesreiniger. Laat kort weken en veeg de lamellen schoon met een zachte spons. Spoel goed af en laat de luxaflex hangend drogen. Zorg ervoor dat metalen onderdelen niet te lang nat blijven om roestvorming te voorkomen en droog aluminium luxaflex direct af om oxidatie te vermijden.

…of de douche

Als de luxaflex te groot is voor een bad, kan afspoelen in de douche een alternatief zijn. Gebruik een plantenspuit met een sopje voor hardnekkige vlekken en spoel daarna grondig af. Let op dat kunststof koorden niet te nat worden (want dan kunnen ze hun stevigheid verliezen of verkleuren). Laat goed drogen en ventileer de ruimte goed om schimmelvorming te voorkomen.

Met stoom

Soms is weken in bad of afspoelen in de douche geen optie. Een stoomreiniger kan dan uitkomst bieden, vooral bij aluminium en kunststof luxaflex. Gebruik de stoom op lage stand en houd voldoende afstand om schade te voorkomen. Een andere methode is een sopje met een plantenspuit op de luxaflex vernevelen en daarna droogwrijven met een microvezeldoek.

Grondig schoonmaken: houten luxaflex

Hout is gevoelig voor vocht, dus in bad leggen of onder de douche afspoelen is geen goed idee. Gebruik een licht vochtige doek met een mild schoonmaakmiddel en test nieuwe middelen altijd eerst op een onopvallende plek. Je kunt ook speciale houtzeep gebruiken. Doe dat wel met mate en kies bij voorkeur een variant die geen vettig laagje achterlaat, omdat sommige houtzepen een dun laagje vormen dat stof kan aantrekken.

Je kunt ook een doek met een klein beetje afwasmiddel gebruiken, maar zorg dat deze nauwelijks vochtig is. Droog de lamellen direct na met een schone doek om watervlekken te voorkomen. Behandel ze eventueel met een verzorgende houtolie of was, maar alleen als het materiaal daar geschikt voor is. Laat ze na behandeling open drogen en voorkom direct zonlicht om kromtrekken en verkleuring te vermijden.

Nicotine-aanslag verwijderen In ruimtes waar wordt gerookt, kan een gelige laag op de luxaflex ontstaan. Dit is lastig te verwijderen met alleen water en zeep. Meng gelijke delen water en azijn en gebruik een zachte doek om de lamellen af te nemen. Spoel daarna na met een schone, licht vochtige doek en droog direct af.

©Rafael Ben-Ari

Bedieningskoorden schoonmaken

De koorden van luxaflex worden vaak vergeten bij het schoonmaken, maar kunnen door stof en vet behoorlijk groezelig worden. Wikkel een vochtige doek met mild schoonmaakmiddel om het koord en trek het koord er voorzichtig doorheen. Herhaal indien nodig en laat goed drogen.

Luxaflex langer mooi houden

Regelmatig afstoffen voorkomt dat vuil zich ophoopt. Maak ze in keukens vaker schoon. Vermijd overmatig watergebruik, vooral bij houten luxaflex. Laat ze open drogen na een schoonmaakbeurt en houd ze, als je ze niet gebruikt, opgetrokken om stofophoping te verminderen. Zo blijven je luxaflex langer mooi en schoon.

🪶 Op zoek naar een plumeau?

(ook handig voor spinrag in hoekjes en aan het plafond)

▼ Volgende artikel
Vermijd pottenkijkers: zo beveilig je je camera of deurbel optimaal
Huis

Vermijd pottenkijkers: zo beveilig je je camera of deurbel optimaal

Misschien heb je er wel een: een beveiligingscamera of videodeurbel waarmee je je woning via een online-verbinding in de gaten kunt houden. Dat kan handig zijn, maar er zijn ook privacyrisico's. Als je niet voorzichtig bent, kunnen onbevoegden namelijk toegang krijgen tot jouw camerabeelden. In dit artikel geven we wat tips om dat te voorkomen.

In dit artikel bespreken we manieren waarop je kunt voorkomen dat mensen je zomaar in je tuin of huiskamer kunnen begluren via je videodeurbel of IP-camera. We gaan daarbij in op de volgende aspecten:

  • De keuze van de camera 
  • Het instellen van een (uniek) wachtwoord
  • Het (zo veel mogelijk) voorkomen van hacks

Ook lezen: 5 fouten met je beveiligingscamera die je hierna nooit meer maakt

Kies een betrouwbaar merk

Er zijn natuurlijk heel veel soorten beveiligingscamera's voor consumenten, maar de privacyrisico's die wij bespreken spelen zich vooral af bij videodeurbellen en zogenoemde IP-camera's. Deze hebben als overeenkomst dat ze de opgenomen beelden online opslaan, zodat je via een website of app altijd toegang hebt tot de camerafeeds.

Mocht je op zoek zijn naar zo'n apparaat, zorg er dan voor dat het merk betrouwbaar en privacyvriendelijk is. Zo adviseren experts om op te passen met Chinese merken als Dahua en Hikvision, en Chinese smarthomeplatformen als Tuya (waar onder meer de camera's van Action, Woox en Marmitex gebruik van maken). Hoewel het niet is bewezen, is het goed mogelijk dat de software een achterdeurtje bevat waardoor de fabrikant met de beelden kan meekijken. De lokale wetgeving dwingt fabrikanten namelijk om data te verzamelen en af te staan aan de overheid.

Ook andere bekende merken hebben in het verleden te maken gehad met beveiligingsproblemen. Zo belandden in 2019 duizenden inloggegevens van Ring-klanten op het darkweb en hadden Amazon-medewerkers jarenlang toegang tot de camerafeeds. Verder kwam Wyze vorig jaar in opspraak doordat sommige klanten ineens de camerabeelden van anderen in hun app te zien kregen.

De LSC Smart Connect-beveiligingscamera van de Action maakt gebruik van Chinese software.

Stel een eigen wachtwoord in

Het klinkt misschien als een open deur, maar het niet instellen van een eigen wachtwoord is de meest voorkomende oorzaak waardoor onbevoegden kunnen meekijken met camerabeelden. Veel fabrikanten leveren hun camera’s met een standaardgebruikersnaam en -wachtwoord, zoals 'admin' of '1234'. Er bestaan zelfs complete websites waarop lijsten circuleren met de standaardinloggegevens van tientallen cameramerken.

Hoewel het niet legaal is, kunnen pottenkijkers zo met wat trial-and-error relatief makkelijk toegang krijgen tot camerabeelden. Er zijn zelfs websites die deze onbeveiligde feeds verzamelen en openbaar op hun website plaatsen. Een bekend voorbeeld hiervan is Insecam, die hier in 2014 wereldwijd het nieuws mee haalde.

Na alle ophef heeft die website alle privacy-schendende streams van bijvoorbeeld deurbelcamera's of webcams in woningen verwijderd, maar er zijn nog andere plekken online waarop zulke beelden wél te zien zijn. Toegegeven, deze websites zijn niet makkelijk te vinden (het delen van deze beelden is immers illegaal), maar als je een beetje weet waar je moet zoeken, kom je ze zeker tegen.

Er zijn gelukkig steeds meer camerafabrikanten die klanten verplichten een uniek wachtwoord te gebruiken, waaronder Panasonic, maar als dat niet het geval is, is het dus ten zeerste aan te raden om meteen een nieuw wachtwoord te verzinnen en (mits die mogelijkheid er is) tweestapsverificatie te activeren.

Insecam stond tien jaar geleden vol met links naar onbeveiligde webcams.

Voorkom hacks

Hoewel het veel minder vaak voorkomt, is het mogelijk om beveiligingscamera's te 'hacken' en op die manier bij de beelden te komen. Voor sommige IP-camera's moet je namelijk bepaalde TCP-poorten op je router/modem openzetten, zoals 80 of 443, om van buitenaf met deze camera's te kunnen verbinden.

Als je dat handmatig (en zorgvuldig) doet, hoeft dat geen probleem te zijn. Het wordt pas echt gevaarlijk als je de camera deze poorten zelfstandig laat openzetten via uPnP (Universal Plug and Play). Deze functie vereist geen enkele vorm van authenticatie. Onbevoegden kunnen met malware daardoor eenvoudig allerlei poorten openen. Je kunt dus beter ver uit de buurt van uPNP blijven.

Zorg er tot slot ook voor dat je de firmware van de camera regelmatig bijwerkt, voor het geval er een kritieke kwetsbaarheid is gedicht. Malware als Mirai heeft in het verleden veel schade aangericht door kwetsbaarheden van slecht beveiligde camera's te misbruiken. Het is daarom ook een risico om je camera's en deurbellen met het internet te (laten) verbinden als de fabrikant geen updates meer uitbrengt.

Beelden lokaal opslaan

Als je het risico op pottenkijkers helemaal wilt voorkomen, kun je er in sommige gevallen (zoals bij de camera's van UniFi) ook voor kiezen om de camerabeelden uitsluitend lokaal op te slaan. In plaats van in de cloud, worden de beelden dan bijvoorbeeld op een SD-kaartje of basisstation opgeslagen. Dat gaat ten koste van het gemak, omdat je dan zelf ook niet meer eenvoudig op een website of app kunt inloggen om je beelden te bekijken, maar het is natuurlijk wel privacyvriendelijker.