Security is een vak apart, zeker in de ict. Maar het blijft anno 2012 vaak een gedachte achteraf, als het kalf verdronken is. Erger nog is dat we veel security-fouten blíjven maken, telkens weer.

Wachtwoordfalen

Wachtwoorden vormen een security-kwaal die zo oud is als de ict, maar die een steeds grotere impact heeft. Voor veel mensen moet dit trouwens 'het wachtwoord' zijn; enkelvoud. Want vanwege het toenemende aantal logins voor verschillende systemen en online-diensten lijkt het wel zo handig om maar overal hetzelfde wachtwoord te gebruiken. Zoals voor je webmail en voor een makkelijk te kraken webshop zoals Baby-Dump.

Over die laatste is nog onbekend of die de veelgemaakte basisfout heeft gemaakt van wachtwoordopslag in plain text. Veel websites doen dat nog altijd, ook na Lektober, waardoor de buit bij cyberinbraak gelijk binnen is. Hackers hoeven dan niet eens de moeite te doen om versleutelde wachtwoorden te kraken.

Het vorige week gehackte KPN blijkt uiteindelijk geen gebruikersgegevens te hebben gelekt, maar maakt weer eigen wachtwoordfouten. KPN-klanten melden Webwereld verontwaardigd dat zij na het netjes resetten van hun wachtwoord een onaangetekende brief van de telco kregen met daarin hun gebruikersnaam én hun wachtwoord. Gewoon leesbaar op papier. Auw!

Alles aan internet

Groot was de schrik in Nederland toen deze week op tv kwam dat onder andere rioleringspompen en gemalen van een Zeeuwse gemeente gemakkelijk via internet door Anonymous en alleman zijn te bedienen. De systemen voor die waterwerken hangen namelijk online; met elkaar en de hoofdcomputer verbonden. Deze zogeheten SCADA-systemen (supervisory control and data acquisition) zijn met een simpele internetscan te vinden en dankzij brakke beveiliging zó te kapen.

Voor kenners is dit geen nieuwe kwaal. Dergelijke industriële beheersystemen staan al sinds 2010 op de radar van Webwereld. Met dank aan de geavanceerde multitrapsmalware Stuxnet, waarschijnlijk versie 2, hoewel SCADA-lekken natuurlijk jaren eerder al zijn ontdekt. Maar tegenwoordig hangen er steeds meer systemen aan internet, vaak zonder dat eigenaren of gebruikers daar goed weet van hebben. Dat erkent ook ons nationale overheidsbeveiligingsorgaan NCSC.

Het zijn namelijk echt niet alleen de kleine gemeenten of hun onderaannemers en bijvoorbeeld sporthallen die hierin fouten maken. Ook grote organisaties en bedrijven weten niet wat ze in huis hebben, waar ze mee bezig zijn, wat hun systemen doen, en wat er hoe aan internet hangt. Ook technisch expert TNO wordt erdoor verrast.

En grote SCADA-leverancier Siemens weet ook niet bepaald van wanten als het op security aankomt. Systemen staan standaard open voor beheer op afstand met een simpel en openlijk bekend wachtwoord. Bovendien is dat default wachtwoord door een bug automatisch en ongemerkt weer van toepassing als een gebruiker een ongeldig wachtwoord instelt. Zo'n gevaarlijke opstelling hoort niet, en hoort zeker niet aan internet te hangen. Auw!

Auto-update

Gelukkig heeft niet iedereen een SCADA-systeem. Maar iedereen heeft wel software, en in alle software worden gaten gevonden. Dus moeten er pleisters worden geplakt. Vanuit security-oogpunt is automatisch updaten een goede behandelmethode. Bijvoorbeeld voor een webbrowser of voor Adobe Flash. Vaak wordt er nog wel een onderscheid gemaakt tussen updates voor 'maar' eindgebruikerssoftware en voor serieuze zakelijke programmatuur. Eerstgenoemde kun je best blind auto-updaten, maar de tweede wil je toch eerst even testen.

In de praktijk blijkt dat weinig uit te maken. Enerzijds doordat de grenzen tussen werk en privé vervagen, anderzijds doordat testwerk niet heiligmakend is. Niet het testwerk door de fabrikant - van zowel consumenten- als bedrijfssoftware - en niet het testwerk door een eigen it-afdeling of dienstverlener. Zie de vele berichten over brakke updates van leveranciers als Apple en Microsoft, voor consumenten- én bedrijfssoftware. Inclusief security-software, die alarm kan slaan bij legitieme sites en zelfs heel Windows kan slopen.

Meehollen in de mallemolen van constant uitkomende nieuwe updates brengt dus ook risico's met zich mee. Zie ook het gloednieuwe kritieke gat dat exclusief is voor het gloednieuwe Firefox 10, dat wel heel snel is gedicht met een heel kleine patch. Dat doet haast denken dat dit met wat meer ontwikkeltijd en QA-tests te voorkomen was geweest.

Gelukkig dat Firefox zichzelf niet automatisch update, zodat niet alle Firefox-gebruikers gelijk kwetsbaar waren. Maar auto-update staat wel op stapel voor deze browser. Dat komt ergens in het tweede kwartaal van dit jaar. Gelukkig is er nog een uitwijkbrowser, die van Microsoft die dit auto-updaten afwijst. Oh nee, toch niet meer. Auw!

Antiek

Goed, auto-update valt dus niet te vertrouwen. Maar het absolute tegendeel ervan is weer een andere security-kwaal. Acht jaar lang niet bijgewerkte besturingssystemen zitten namelijk tsjokvol bekende gaten, die dus zo te benutten zijn. Dat heeft KPN vorige week op een pijnlijke manier ondervonden. Het bedrijf belooft nu maatregelen. Maar een topman introduceert die met een relativerende opmerking: “Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel."

Razendsnel? Klopt, al acht jaar lang. En het houdt maar niet op. Gelukkig erkent KPN dit ook. Na het excuus van de razendsnelle ict-ontwikkelingen vervolgt de topman: “Dat gezegd hebbende, door onderzoek in de afgelopen weken hebben we gezien dat het onderhoud aan internet-IT systemen niet steeds optimaal is geweest." Klopt, al acht jaar lang.

Overigens kan de zinsnede 'oude systemen' een relatief begrip zijn. Dat geldt voor bedrijven, maar ook zeker ook voor consumenten. Een pc die vóór oktober 2009 is gekocht heeft daarop Windows Vista. Een besturingssysteem waarvan de consumentenuitvoeringen over krap anderhalve maand zou vervallen. Dus geen fixes meer krijgen voor zaken die niet, niet goed of niet meer werken, én ook geen patches meer krijgen voor security-gaten. Auw.

Gelukkig is Microsoft deze week ineens tot inkeer gekomen. Net nadat Webwereld ernaar is gaan vragen. Vast toeval, Microsoft had waarschijnlijk allang gepland dat het zijn klanten niet in de steek ging laten. Alleen heeft het dat tot anderhalve maand voor het uur U aan niemand laten weten. Auw!

Blind voor het verleden

Tot slot een klassieke kwaal die niet beperkt is tot de ict alleen. Deze geldt voor alle menselijke activiteiten: geen lering trekken uit het verleden. “Wie de geschiedenis vergeet, is gedoemd de fouten uit het verleden te herhalen", weet elke geschiedenisleraar zijn leerlingen te vertellen. Jammer dat die lessen niet in de ict worden gegeven, of niet worden onthouden.

De ict krijgt dankzij de 'razendsnelle ontwikkelingen' telkens nieuwe mogelijkheden, maar ook gaten. Tegelijkertijd zijn veel beveiligingsproblemen in de kern herhalingsoefeningen van fouten gemaakt in het verleden die ons in het heden en helaas ook de toekomst opnieuw achtervolgen. Daarom is het zo belangrijk om te onthouden én om dat geheugen ook echt toegankelijk te hebben. Jammer dat een nationaal beveiligingsorgaan dit niet zo ziet. Auw.

Het miskennen van het verleden gebeurt niet alleen op 'hoger', abstract niveau en bij grote ict-gebruikende organisaties en overheden. Het gebeurt ook in de hand van de consument, letterlijk. Kijk bijvoorbeeld eens naar de mobiele telefoon waarop erg veel kostbare data en loginggegevens samenkomen en aangemaakt worden.

In de kern is de mobiele telefoon, zeker in de vorm van een smartphone, een persoonlijke computer. Dat is een type systeem waarover we al jaren pijnlijke security-gezondheidslessen hebben geleerd. Zou je denken. Maar helaas worden ook hier fouten herhaald, zowel door de mobiele gebruikers met bijvoorbeeld hun wachtwoordhergebruik als door de mobiele makers.

Zie bijvoorbeeld een SSL-browserlek dat afluisteren van beveiligde verbindingen mogelijk maakt. Dat afluistergat viert binnenkort zijn tiende verjaardag, maar is vorig jaar opnieuw ontdekt in de iPhone van Apple. Maar de eerste daarvan is in 2007 uitgekomen, dus vijf jaar na de ontdekking van dat ingebakken lek. Inmiddels is dit gat gedicht, maar niet voor oudere iPhones. Apple-smartphones van vóór juni 2009 (de lancering van de 3G S) komen niet in aanmerking voor de patch. Gebruikers van antieke ict (zie eerder in deze De 5) staan dus in de kou. Auw!

Het is verreweg de belangrijkste auto die het merk sinds lange tijd introduceert. Met de nieuwe Renault 5 geeft het merk een flinke slinger aan zijn Renaulution. Een strategie waarmee het merk de snel veranderende automarkt met al zijn facetten omarmt. Technologie, connectiviteit en schone energie: Renault heeft een duidelijk een stip op de horizon geplaatst. De eerste kilometers achter het stuur van de nieuwe Renault 5, die vanaf 27.990 euro bestelbaar is, tonen aan dat de eerste Renaulution-vrucht een absolute gouden zet blijkt te zijn.

Duimpjes gegarandeerd

Begin dit jaar mocht ik er in een studio nabij Parijs al aan snuffelen. De wedergeboorte van een icoon, de nieuwe Renault 5. Goed een half jaar later staat er een knalgele (Jaune Pop) Iconic Cinq uitvoering op mij te wachten. Het merk wil met de nieuwe 5 zowel de oude generatie, zij die zich het origineel nog goed kunnen herinneren, als de jonge garde aanspreken. Een uitdaging, maar mede dankzij designtermen als 'retro futuristisch' heb ik zelden gedurende een intro zoveel enthousiaste reacties mogen ontvangen. Van jong tot oud, van surfer tot mondaine dame. De duimpjes waren haast ontelbaar!

Bekijk onderaan dit artikel een video van de nieuwe Renault 5!

©Irwin Versteegh

Standaard 18 inch

De nieuwe 5 rolt standaard op 18inch-wielen en dat geeft 'm samen met de goede proporties een sterk voorkomen. Stap ik achter het stuur, dan valt direct de lage en sportieve instap op. Ik zak weg in prima gevormd meubilair en dankzij een axiaal verstelbaar stuurwiel is een goede zitpositie snel gevonden. 

🚘Ook interessant: EV-profiel Renault Scenic E-Tech: Is de 'Auto van het Jaar 2024' écht zo goed?

©Irwin Versteegh

Andere zit dan verwacht

Toch moet ik voor de juiste ondersteuning van mijn bovenbenen net iets verder naar achteren gaan zitten. Een kantelbare zitting zou hier uitkomst bieden. Iets wat met name voor passagiers op de achterbank bovendien wat ademruimte zou verschaffen. Achter mijzelf plaatsnemen, zat er namelijk niet in. 

©Irwin Versteegh

Ruim genoeg voor bagage

De kofferruimte blijkt ook in de praktijk prima bruikbaar. 320 liter is conform het segment en bleek ruim voldoende voor twee handbagage-reiskoffers en twee rugtassen. Staan de voorstoelen vrij ver naar achteren, dan zul je de hoofdsteunen van de achterbankleuning moeten verwijderen als je deze neer wilt klappen. 

©Irwin Versteegh

Vanaf 27.990 euro

De nieuwe Renault 5 komt er met twee accu's en voorlopig twee elektromotoren. Later volgt een derde met zo’n 90 pk. De Urban Range met 40kWh en 327 km range is leverbaar vanaf 27.990 euro. Je krijgt dan een 120 pk sterke elektromotor. De Techno-uitvoering is 2 mille duurder en de compleetste Iconic Cinq kost 31.490 euro. Voor net geen 30 mille stap je in de Comfort Range Techno. Die heeft een 52kWh batterij, een 150 pk sterke motor en een bereik van 410 kilometer volgens de WLTP-testmethode. Standaard zijn een 3-Fase 11kW boordlader, een warmtepomp en een snellaadtijd van 30 minuten. 

©Irwin Versteegh

Overtreft verwachtingen

Gedurende de dynamisch introductie heb ik zo'n 200 kilometer in het Vijfje afgelegd. Uiterst plezierige kilometers welteverstaan, want qua rijkwaliteit en plezier overtreft 'ie mijn verwachtingen. De 5 is zo wendbaar als een dartele poedel! De zeer directe (soms iets te directe) stuurinstallatie zorgt met het lage zwaartepunt van het gloednieuwe – toegewijd EV – AmpR Small platform voor een middenmotor-achtige ervaring. De 5 bijt zich in elke bocht vast, voelt fantastisch wendbaar en mede dankzij – uniek in deze klasse – een mooie Multilink-ophanging voor de achteras ligt de grens ver voorbij die van plezier.

©Irwin Versteegh

MINI-rijders kunnen naar Renault

En dit alles in combinatie met een verrassend verfijnde rijervaring. Binnen de bebouwde kom is-ie verre van 'te stug' en ondanks dat 'ie op een verkeersdrempel soms iets vergevingsgezinder zou mogen zijn, stoort dit niet. De nieuwe 5 blijkt op dit vlak zo goed, dat 'ie zelfs MINI-rijders zou weten te overtuigen. Zeker ook gezien het feit dat hij zich op de snelweg bovendien ontpopt als een fijne cruiser met een C-segment-waardige geluidsisolatie. 

Meer weten over de nieuwe Renault 5? Bekijk dan de video van InstaAutoVlog. 

Net zoals je op de pc je scherm kunt delen met een tool als TeamViewer, kun je ook je scherm delen via WhatsApp. Dit lukt zowel in een een-op-eengesprek als in een groepsgesprek. Handig als je iets op je smartphone wilt laten zien of uitleggen.

1 Videogesprek

Deze functie werkt zowel op de Android-, iOS- als Windows-app, maar alleen als je een videogesprek bent gestart. De optie werkt dus niet tijdens WhatsApp-spraakgesprekken. Heb je een Android-telefoon dan kun je overigens probleemloos je scherm delen met iemand met een iPhone en andersom. Houd er wel rekening mee dat alles wat op je scherm te zien is, zichtbaar wordt voor je gesprekspartner. Kijk dus uit als er bijvoorbeeld bankgegevens, foto’s of andere gevoelige informatie op het scherm staan. Net als de berichten en oproepen, versleutelt WhatsApp de inhoud van schermdeling voor extra beveiliging.

2 Laat de ander meekijken

Nieuw is dat je nu ook de audio van je smartphone op die manier kunt delen. Start een videogesprek op de gebruikelijke manier en je ziet onderaan bij de bedieningsknoppen een pictogram met drie horizontale stippen: tik hierop en klik op Deel scherm (iOS) of Scherm delen (Android). Vervolgens verschijnt er een korte uitleg van deze functie. Ga door en tik op Start uitzending (iOS) of Nu starten (Android). Hierdoor wordt de schermdeling gestart; vanaf nu kan de ander alles volgen wat er bij jou op je scherm gebeurt. Zo kun je bijvoorbeeld teruggaan naar het homescreen en ook andere apps openen terwijl de ander meekijkt. Wanneer je dit scherm verlaat, keer je terug naar het videogesprek in WhatsApp.

Handig om te weten! Ken je deze 8 handigheidjes in WhatsApp al?

3 Schermdeling stoppen

Ook iedereen die deelneemt aan een groepsvideogesprek kan een schermdeling-sessie starten. Er kan echter maar één persoon tegelijk zijn scherm delen. Om op een Android-telefoon te stoppen met delen, keer je terug naar het WhatsApp-videogesprek en tik je op Stoppen met delen. Op de iPhone tik je op het groene pictogram in de linkerbovenhoek van de statusbalk van de iPhone. Daarna tik je op de rode knop in het centrum van het scherm.