Steeds meer apparaten worden 'connected'. Handig, maar er kleven ook flinke veiligheidsrisico's aan het Internet of Things. PCM zoekt uit waar de pijnpunten precies zitten.

Lees ook:Intel: 'Gebruikers moeten meer verantwoordelijkheid nemen bij IoT-aankopen'

Gedurende de afgelopen jaren ontdekten steeds meer smart-home-gebruikers dat veel verbonden apparaten helemaal niet zo zaligmakend bleken. Dergelijke apparatuur verzamelt namelijk bakken aan persoonlijke data. Wie een slimme thermostaat in huis heeft, stuurt bijvoorbeeld veel meer data naar zijn energieleverancier dan je aanvankelijk zou willen. Het gaat dan niet alleen om hoeveel energie je verbruikt, maar ook wanneer je doorgaans niet thuis bent (handige informatie voor inbrekers). Een slimme koelkast weet wat je het liefst eet, en de tandenborstel weet of je wel goed poetst - informatie die voor een zorgverzekeraar wel erg interessant is.

Die privacygevoelige gegevens zijn bovendien nauw verbonden met de beveiligingsproblemen van het IoT. Dát je energiemaatschappij die gegevens verzamelt, is tot daar aan toe. Maar het is vrijwel onmogelijk te garanderen dat ze daar veilig zijn.

"De meeste bedrijven die nu slimme apparatuur aanbieden, zijn van oudsher geen techbedrijven", vertelt de man (“een Europese programmeur”) achter het bekende Twitter-account @InternetOfShit, een account dat dagelijks belachelijk maakt hoe vergezocht én onveilig veel IoT-apparaten zijn. "Databescherming is voor hen minder vanzelfsprekend, en dat leidt tot slechte beveiliging van servers waardoor privacygevoelige gegevens eerder op straat komen te liggen."

Encryptie

De fysieke grootte van IoT-apparaten wil daarnaast ook nog problemen opleveren. Dat zit bijvoorbeeld in de encryptiestandaarden die worden gebruikt om verkeer van en naar de server en binnen de groep te versleutelen. Omdat de meeste IoT-apparaten maar een beperkte rekenkracht hebben door goedkope cpu's wordt er vaak gebruik gemaakt van een zwakkere versleuteling. Die is niet persé makkelijker te breken, maar maakt het bij bruteforce-aanvallen wel makkelijker om default-wachtwoorden zoals '1234' te kraken.

Daar komt bovendien bij dat huishoudelijke apparaten worden gebruikt voor een lange periode van meerdere jaren, en dat simpele encryptiestandaarden doorgaans niet zo'n lange levensduur hebben. Vaak blijken die na korte tijd al ingehaald door het feit dat computers steeds krachtiger worden en de versleuteling sneller kunnen kraken. Encryptie waarbij dat niet het geval is (zoals AES-256) is te log voor een doorsnee IoT-apparaat.

Daar komt bij dat veel fabrikanten de wachtwoorden van een apparaat hardcoded in de firmware zetten, en dat dat juist vaak simpele default-wachtwoorden zijn. Als het al mogelijk is die wachtwoorden te veranderen, is dat voor veel gebruikers vaak te lastig of laten ze dat liggen.

IoT-apparaten zijn ook onveilig vanwege hun connectiviteit met elkaar en met je netwerk. Omdat alle apparaten aan hetzelfde netwerk hangen, wordt het veel makkelijker om een goed beveiligde computer te infecteren via een slecht beveiligde netwerkschijf.

Updates

Een ander groot probleem is de ondersteuning die apparaten ontvangen, en de API's waarop ze draaien. Fabrikanten bieden nu witgoedapparatuur aan met een levensduur van vaak wel 20 jaar (voor bijvoorbeeld een wasmachine), maar volgens @InternetOfShit is er bij voorbaat nog niet eens nagedacht over hoe lang zulke apparatuur wordt ondersteund. Hij doelt specifiek op zaken als de API's die de apparaten gebruiken, bijvoorbeeld om verbinding te maken met externe applicaties.

Zo biedt Samsung koelkasten aan met een display waarin je je Google Calendar kunt importeren - handig in een druk huishouden. Een jaar nadat één van die koelkasten op de markt was gebracht, ontdekten beveiligingsonderzoekers dat de koelkast het wachtwoord van het bijbehorende Google-account in plaintext naar de router stuurde omdat het SSL-certificaat niet juist gevalideerd werd.

Het was daarom met een man-in-the-middle-aanval kinderlijk eenvoudig het wachtwoord te onderscheppen. Het probleem zat in het feit dat Samsung een oude API voor Google Calendar gebruikte - maar de koelkasten hebben tot op heden geen update naar de nieuwe API ontvangen.

Samsungs slimme koelkast draaide altijd op 'Family Hub 1.0', maar de nieuwe lineup die dit jaar tijdens de CES werd gepresenteerd draait al op Family Hub 2.0. Het is een legitieme vraag hoe lang versie 1.0 nog ondersteund blijft...

IoT-protocollen

Te korte ondersteuning van apparaten en slecht geïmplementeerde beveiligingsmaatregelen zijn relatief makkelijk te voorkomen. Je ziet nu al dat steeds meer smart-applicaties gebruik maken van betere opsec (operations security), door penetration testing in te zetten bij hun apparaten of door speciale privacy-experts aan te nemen. Het IoT heeft echter een groter probleem dat niet zomaar is op te lossen met meer maatregelen.

Het inherente probleem van zo veel verschillende apparaten is het gebrek aan een vaste standaard, en de wirwar van verschillende protocollen waarmee de apparaten met elkaar praten. Dat levert problemen op omdat lampen van het ene merk bijvoorbeeld niet kunnen worden gekoppeld aan thermostaten van een ander, maar het is ook inherent onveilig.

Door het gebruik van zo veel verschillende standaarden is het voor fabrikanten vaak aantrekkelijker om een 'legacy' firmware aan te houden. Die kun je heel specifiek bouwen voor juist dat ene apparaat, in plaats van dat je moet voldoen aan bepaalde eisen. Die diversiteit maakt het echter ook een stuk lastiger om uniforme updates voor bijvoorbeeld de versleuteling of de connectiviteit uit te brengen.

Er zijn verschillende initiatieven om protocollen te standaardiseren. Zo is er de AllSeen Alliance, een samenwerkingsverband waar onder andere Qualcomm, Cisco, Microsoft, HTC en LG aan werken. Zij werken samen aan AllJoyn, een standaardmanier waarmee apparaten kunnen verbinden met externe diensten of cloud-applicaties. Dat gebeurt met universele manier om data over te brengen en een algemene encryptiestandaard.

Mirai-botnet

In oktober vorig jaar bleek echter dat het Internet of Things een veel groter probleem had dan enkel de slechte bescherming van persoonsgegevens, maar dat nalatige beveiliging ook grote schade aan anderen kon toebrengen.

Op 21 oktober lag een significant deel van het internet het grootste deel van de dag plat. Websites als Twitter en Reddit, én het veelgebruikte Amazon Web Services waren niet meer te bereiken door een grootschalige aanval op DynDNS, één van de grootste dns-providers van het internet. Het ging om een DDoS-aanval waarbij de servers door 650 Gb/s aan data werden bestookt.

Voor de aanval werden miljoenen IoT-apparaten van over de hele wereld gebruikt. Die werden door het botnet ingezet om de servers van DynDNS constant met data te bestoken. Mirai infecteert IoT-apparaten met malware die de data naar een centrale command & control-server sturen.

In een analyse van de broncode van Mirai komen twee belangrijke dingen naar voren. Eerst zoekt de malware naar IoT-apparaten op internet om die vervolgens over te nemen, en vervolgens worden de IP-adressen van die apparaten gebruikt om verzoeken naar een bepaalde server te sturen. Het zoeken naar apparaten gebeurt via een grootschalige scan naar IP-adressen die verbonden zijn aan apparaten die geen computers of smartphones zijn, maar bijvoorbeeld wel connected beveiligingscamera's.

Opvallend is dat Mirai niet alleen zoekt naar onbeveiligde apparaten, maar ook 'dictionary' brute-force-aanvallen inzet om simpele wachtwoorden zoals 'root', '1234', admin' of 'default' te kraken. Zoals we al eerder konden zijn veel wachtwoorden hardcoded in de firmware en worden ze door gebruikers amper vervangen. In dat geval krijg je dergelijke standaard-wachtwoorden.

Beveiligingsonderzoekers zijn dan ook van mening dat het veranderen en toepassen van default-wachtwoorden één van de beste manieren is om dergelijke botnets te stoppen.

©PXimport

Een belangrijke kanttekening is overigens wel dat het overgrote merendeel van de gebruikte apparaten in de Mirai-aanval een IP-camera was. In tegenstelling tot bijvoorbeeld slimme wasmachines zijn verbonden (beveiligings)camera's al jaren een bekend veiligheidsrisico.

Waarschuwingen over het beveiligen van zulke apparatuur gaan al terug sinds de eerste consumentenmodellen op de markt kwamen, en sinds die tijd is er maar weinig veranderd. Open videostreams van bijvoorbeeld kinder- of huiskamers zijn nog steeds eenvoudig te vinden met een paar simpele Google-zoekopdrachten.

Goede hoop

Dat wil niet zeggen dat de opkomst van nog meer slimme apparatuur geen extra risico's met zich meebrengt. Integendeel, hoe meer apparaten op internet worden aangesloten, hoe meer mogelijkheden hackers hebben om botnets te starten, computers te infecteren of persoonsgegevens te stelen.

Toch gloort er een beetje hoop aan de horizon. Steeds meer fabrikanten zien het belang van veiligheid in bij het maken van IoT-applicaties. De industrie werkt actief aan het bouwen van (open) standaarden voor domotica, en ook consumenten raken meer bewust van het nut van beveiliging.

Er zijn nog een aantal belangrijke veranderingen die in de werkwijze van fabrikanten moet komen. Die zijn grotendeels hetzelfde als bij het maken van cloudtoepassingen, websites met databases, en hardware zoals computers en smartphones. Dat draait allemaal om aandacht voor beveiliging, en om dat probleem serieus te nemen.

Blind typen gaat in het begin traag, maar levert je al snel meer snelheid, minder fouten en rust in je schouders en polsen op. Het goede nieuws: je kunt het gratis leren met slimme, toegankelijke websites. We bespreken welke tools het best werken, hoe je ze instelt en hoe je in een paar weken resultaat boekt.

Blind typen betekent dat je zonder te kijken naar het toetsenbord typt en elke vinger een vaste uitgangspositie en taak geeft. Dat is nu relevanter dan ooit, omdat je waarschijnlijk veel achter een scherm werkt en met toetsenbordtaken uren kunt winnen als je foutloos en ontspannen tikt. Bovendien verlaag je het risico op klachten wanneer je je werk afwisselt en je werkplek goed instelt. In Nederland geldt als ideaal dat je beeldschermwerk regelmatig afwisselt en dat je, als je veel met een laptop werkt, een los toetsenbord en scherm moet kunnen gebruiken. Daarmee ontlast je nek, schouders en polsen, en maak je van elk typemoment een rustige herhalingsoefening. Blind typen draait niet alleen om snelheid; je houding en rust bepalen of je het volhoudt. Met onze tips zet je die basis goed neer, zodat elke oefening daarna effect heeft en je je voortgang betrouwbaar kunt bijhouden.

Basisbegrippen, houding en toetsenbord

Begin met een neutrale zithouding en een toetsenbord dat recht voor je ligt. Plaats het ongeveer een handbreedte van de tafelrand, houd je onderarmen iets schuiner dan horizontaal en laat je polsen ontspannen rusten. Zet je scherm op armlengte en recht voor je, zodat je niet draait met je romp. Met deze basis voorkom je onnodige spierspanning in polsen en ellebogen. Werk je op Windows 11 en wil je accenten en speciale tekens makkelijk invoeren, voeg dan een extra toetsenbordindeling toe via Instellingen / Tijd en taal / Taal en regio / Taalopties / Een toetsenbord toevoegen, bijvoorbeeld United States-International(afbeelding 2). Op de Mac voeg je een invoerbron toe via Systeeminstellingen / Toetsenbord / Tekstinvoer / Wijzig en kies je de gewenste indeling; via het invoermenu wissel je snel van lay-out. Door dit nu te regelen, voorkom je later frustratie wanneer je in de tools tekst met accenten of speciale tekens oefent.

Starten met TypingClub

Je zet je eerste echte stappen in TypingClub, omdat die site je vanaf de basis begeleidt en je voortgang bewaart zonder dat je meteen een account hoeft te maken. Open de site en klik op Get Started om de introductielessen te starten; wil je je resultaten opslaan, kies dan Sign up of Login. Volg de aanwijzingen op het scherm en let vooral op de hand- en vingerplaatsing die continu in beeld komt. Herhaal een les totdat je vijf sterren haalt; de korte, speelse opbouw houdt je aandacht vast en bouwt ritme op.

Sla lessen niet over, want elk nieuw teken verankert een stukje spiergeheugen. Gebruik de ingebouwde terugkijkfunctie om je foutenpatroon te zien en doe het wat rustiger aan als je accuratesse onder 95 procent zakt. Na elke sessie noteer je woorden per minuut en nauwkeurigheid in een apart document. Dit maakt je vooruitgang zichtbaar, en het werkt motiverend. Door nu deze basisserie af te ronden, kun je daarna met meer variatie werken en je zwakke letters apart versterken, zonder terug te vallen in oude, onhandige vingerpatronen.

Nieuwe laptop nodig? Kijk en vergelijk op Kieskeurig.nl

Gerichte herhaling met Keybr

Wanneer de basis staat, schakel je over naar Keybr om je spiergeheugen aan te scherpen. Keybr maakt oefenreeksen die veelvoorkomende letterovergangen laten terugkeren, waardoor je automatisch extra herhaling krijgt op wat nog onwennig is. Je begint in de standaardstand met woorden zonder leestekens. Werk niet langer dan twintig minuten aaneen; korte, vaak herhaalde sessies leveren meer op dan een enkele lange. Wat je eerder in TypingClub leerde over vingerposities, verfijn je hier door de herhalingen op lastige letterparen, zoals ui, ou of ct. Die precisie maakt de overstap naar vrije tekst straks makkelijker, waar je leestekens en hoofdletters in een natuurlijke cadans wilt meenemen.

Lees ook: 5 ergonomische toetsenbordsets voor minder dan 100 euro

Testen, gamen en oefenen met Ratatype

Nu je letters en basisritme hebt, voeg je afwisseling en Nederlandse woordenschat toe met Ratatype. Klik op Toets jouw snelheid voor een snelle nulmeting, of kies bij Kies de cursus de Nederlandse versie en klik Start nu met typen. De lessen zijn gratis en Nederlandstalig, met uitleg en oefeningen die aansluiten op onze toetsenbordindeling.

Ratatype biedt ook spelmodi en, na het afronden van een cursus, een optioneel certificaat, handig als je je vaardigheid wilt aantonen bij een sollicitatie. Houd er rekening mee dat er in de gratis stand daglimieten voor tests kunnen gelden en dat een certificaat een kleine vergoeding kost.

Door nu om de zoveel tijd een test te doen en de Nederlandse cursus te doorlopen, voeg je lokale woordpatronen en leestekens toe aan je automatisme. Daarmee ben je klaar voor de laatste stap: echte teksten.

Monkeytype en 10FastFingers

In deze fase oefen je vloeiende zinnen, afwisselende woordlengtes en echte leestekens. Open het Engelstalige Monkeytype en kies boven de test Quote om doorlopende zinnen te typen, of zet Punctuation aan in de standaardmodus. Klik voor Nederlands op Change / Words filter. Onder Language typ je Dutch, klik je op Dutch en klik je op Set en onderaan op OK voor een nog natuurlijker ritme.

Speel met de testduur, bijvoorbeeld zestig seconden, zodat je zowel tempo als uithoudingsvermogen traint. Wissel dit af met de Nederlandstalige test bij 10FastFingers via Typing Test. Klik daar op het groene hokje met English en kies Dutch. Wat je net in Ratatype aan Nederlands ritme opdeed, verfijn je hier door variatie in zinsbouw en leestekens. Zo sluit je oefening aan op alledaags schrijfwerk.

Je persoonlijke vierwekenplan naar merkbaar resultaat

Je traint het best met korte, consequente sessies. In week 1 werk je dagelijks tien tot vijftien minuten in TypingClub: start met Get Started en herhaal elke les tot vijf sterren, waarbij je het scherm niet verlaat voordat je accuraatheid boven 95 procent ligt. In week 2 ga je dagelijks tien minuten naar Keybr en houd je de standaardinstellingen aan. In week 3 wissel je drie keer per week Ratatype-lessen in de Nederlandse cursus af met twee keer Monkeytype Quote van zestig seconden. Sluit elke training af met één 10FastFingers-meting op Dutch. In week 4 voer je de intensiteit licht op. Elke week borduurt voort op de vorige: eerst oefen je nauwkeurigheid en houding, dan herhaling, daarna realistische tekst. Zo groeit je snelheid zonder dat je foutpercentage omhoogschiet.

Meten, finetunen en volhouden

Daalt de accuraatheid meerdere dagen onder 95 procent, dan schuif je de nadruk tijdelijk naar langzamere Keybr-reeksen met foutloze herhalingen, of pak een paar leuke typespelletjes mee. Heb je last van stijfheid of vermoeide ogen, verkort je sessies en wissel schermwerk af met korte pauzes. Door hier consequent in te blijven, maak je van blind typen een vaardigheid die elke dag tijd oplevert.

Gratis naar sneller, rustiger en foutloos typen

Alles begint met een goede houding en de juiste toetsenbordindeling. Vanaf dan kun je het basisritme onder de knie krijgen, je spiergeheugen verfijnen en voortdurend testen. Door te blijven oefenen met realistische zinnen en regelmatig een minuutmeting te doen, maak je in vier weken een duidelijke sprong in snelheid én nauwkeurigheid. De logische vervolgstap is onderhoud: drie tot vijf keer per week tien minuten oefenen, afwisselend in Keybr en Monkeytype, en wekelijks één officiële meting. Zo blijft je winst niet tijdelijk, maar groeit je vaardigheid door.

Actrice Kristen Bell zal de stem van Amy Rose inspreken in de aankomende vierde Sonic the Hedgehog-film.

Het personage, dat veelvuldig in de Sonic-games voorkomt, had al een gastrolletje aan het einde van de film Sonic the Hedgehog 3. Deze week heeft The Hollywood Reporter onthuld dat het personage in de vierde Sonic-film ingesproken zal worden door Kristen Bell.

Bell heeft al ervaring met stemacteerwerk: ze speelde ook de rol van Princess Anna in de Frozen-films. Verder is ze bekend van series als The Good Place, Veronica Mars en Deadwood. Ze speelde ook de rol van Lucy in de allereerste Assassin's Creed-game.

De vierde Sonic the Hedgehog-film draait vanaf 19 maart 2027 in de bioscoop.

Over de Sonic the Hedgehog-films

De Sonic the Hedgehog-films zijn gebaseerd op het populaire gamepersonage van Sega, een blauwe egel die zijn dierenvrienden probeert te redden en extreem snel kan rennen. De films combineren live-action acteerwerk met computergeanimeerde beelden.

De drie uitgekomen verfilmingen zijn een megasucces: begin 2025 werd al aangekondigd dat de drie Sonic-films bij elkaar meer dan een miljard dollar aan bioscoopopbrengsten hadden gegenereerd.

De films staan mede bekend om hun goedgevulde cast. Zo zijn James Marsden en Jim Carrey te zien, en verlenen onder andere Ben Schwartz, Keanu Reeves en Idris Elba hun stemmen aan computergeanimeerde personages.