ID.nl logo
Huis

Responsible disclosure: alles over ethisch hacken

Een groeiend aantal bedrijven maakt gebruik van een responsible disclosure-beleid voor het afhandelen van datalekken. Volgens ethische hackers is dat een goede zaak, maar ‘RD-beleid’ is bepaald niet zonder fouten. In dit artikel gaan we daar wat dieper op in.

Mischa van Geelen was dertien jaar toen hij een lek in de website van VakantieVeilingen ontdekte. Het was het eerste lek dat hij ooit zelf ontdekte, en hij heeft er nu – vijf jaar later – meer dan 500 op zijn naam staan. Nog steeds vindt hij regelmatig softwarelekken in websites of bij bedrijven. Daarbij doorloopt hij de routine die zowel hij als het bedrijfsleven heeft verfijnd: een melding doen bij de juiste persoon, een duidelijke beschrijving van het probleem aandragen en een mogelijke oplossing voorstellen.

Inmiddels loopt hij tegen minder muren aan dan vroeger, toen responsible disclosure nog maar voor een handjevol bedrijven gebruikelijk was. Anno 2017 hebben veel bedrijven op een of andere manier spelregels opgesteld om ethische hackers tegemoet te komen. En terecht, want door datalekken op een nette en verantwoordelijke manier af te handelen voorkom je dat mensen misbruik maken van bugs in je systeem. Bovendien laat je aan de buitenwereld zien dat je professioneel met je it-security omgaat.

Whitehat-hackers

Van Geelen noemt zich inmiddels ‘ethisch hacker’, een titel die veel whitehat-hackers en beveiligingsonderzoekers die aan responsible disclosure doen zichzelf aanmeten. Hun dagelijks werk is in veel gevallen op een of andere manier gerelateerd aan het zoeken naar datalekken: ze werken freelance of in dienst als beveiligingsconsultants, of ze werken in de informatica. In sommige gevallen is het opsporen van datalekken deel van hun werk als pen-testers (‘penetration testers’), maar één ding hebben ze vrijwel allemaal gemeen: het ‘responsible disclosen’ van datalekken doen ze vrijwillig, vanuit een gevoel voor ethiek en een liefde voor veiligheid.

Steeds meer Nederlandse bedrijven tonen interesse in responsible disclosure als beveiligingsmethode. Het kan immers helpen veiliger te blijven tegen datalekken door juist samen te werken met hackers in plaats van ze als de vijand te zien. Bij responsible disclosure houden bedrijven en hackers zich zoals gezegd aan een aantal spelregels voor het melden van kwetsbaarheden in websites of systemen. Op die manier kunnen datalekken op een verantwoorde manier worden doorgegeven, wat moet leiden tot veiliger ict.

Veel van die spelregels liggen voor de hand: een hacker mag vrijelijk rondneuzen in een systeem zonder daarvoor te worden aangepakt, maar moet het bedrijf dan wel tijd geven een lek te dichten zonder het vroegtijdig openbaar te maken. Vanzelfsprekend mag daarbij geen schade aan het systeem worden veroorzaakt en mag de hacker geen persoonsgegevens kopiëren, als hij die vindt.

Een hacker mag vrijelijk rondneuzen in een systeem, maar moet ook tijd geven om het lek te dichten

-

Een responsible disclosure-beleid kan per bedrijf verschillen, maar er zijn een paar regels die (bijna) altijd naar voren komen.

Garantie: De belangrijkste afspraak is de garantie dat het bedrijf het lek actief dicht en geen aangifte doet, en dat de hacker zich aan de afgesproken regels van het bedrijf houdt.

Uitleg: Een hacker moet het lek zo duidelijk mogelijk uiteenzetten, op een manier die volledig te reproduceren is.

Tijdspanne: Er moet een redelijke tijd zijn een lek te dichten: niet te lang, niet te kort. Houdt een bedrijf zich niet aan die tijd, dan mag de hacker het lek openbaar maken.

Houd het heel: Een hacker mag geen ddos- of bruteforce-aanvallen uitvoeren om een lek te ontdekken, geen gegevens kopiëren en niets in het systeem kapotmaken of permanent veranderen.

Scope: Een bedrijf geeft van tevoren aan welke onderdelen wel of juist niet beschikbaar zijn om kwetsbaarheden over te melden. Testomgevingen zijn bijvoorbeeld vaak uitgesloten van deelname en lekken in systemen met persoonsgegevens worden vaak urgenter behandeld of beter beloond.

Nationaal Cyber Security Centrum-leidraad

Het is moeilijk te zeggen hoeveel bedrijven in Nederland inmiddels een actief RD-beleid hebben. In elk geval maken alle Nederlandse overheidsinstellingen gebruik van een dergelijk beleid, verzameld onder de leidraad van het Nationaal Cyber Security Centrum (NCSC). De grote banken hebben eveneens een eigen beleid, net als de NS en de meeste verzekeraars. Grote bedrijven lijken steeds meer heil te zien in het tegemoetkomen van hackers die datalekken ontdekken en dat op een verantwoordelijke manier willen melden.

Maar belangrijker dan het aantal beleidsmaatregelen dat wordt opgesteld, is de houding van die bedrijven. “Toen ik vijf jaar geleden een melding deed bij ABN Amro, hadden ze geen responsible disclosure-beleid beschikbaar”, vertelt Mischa van Geelen. “Ze reageerden er zelfs heel vijandig op. ‘Wie ben jij? En waarom vertel je ons hoe we onze beveiliging moeten regelen?’, vroegen ze.” Volgens Van Geelen zien bedrijven anno 2017 de waarde van responsible disclosure in, onder meer omdat het niet meer de vraag is óf, maar wannéér je wordt gehackt.

Die manier van werken slaat bij steeds meer bedrijven aan. Het is namelijk een relatief goedkope manier om gaten in software op te sporen, zonder dat je daar een peperduur team aan pen-testers op hoeft los te laten en zonder dat je ontwikkelaars dagen kwijt zijn met bugfixes. Aan de andere kant geeft het hackers de kans hun eigen kennis op niveau te houden en dient het als een waardevol visitekaartje.

Veel hackers zijn immers blij met de mogelijkheid om een lek op een correcte manier te melden, zonder daarbij in de problemen te komen. Niettemin is responsible disclosure verre van perfect. Zoals je verderop kunt lezen, draait het idee volledig om wederzijds vertrouwen, zonder enige garanties dat de spelregels worden nageleefd.

Binnen de tijd

©PXimport

Een belangrijk punt in een RD-beleid is de tijd die een hacker het bedrijf gunt om een lek te dichten. In de meeste gevallen wordt die vooraf gespecificeerd in het beleid, maar bij uitzonderlijke situaties kan er ook in overleg een andere tijdspanne worden afgesproken. Met zo’n afspraak weten beide partijen waar ze aan toe zijn: de hacker weet daarmee dat zijn lek serieus wordt genomen en het bedrijf heeft een belangrijke motivatie om het lek ook daadwerkelijk te dichten – anders wordt het openbaar gemaakt en kan het makkelijk worden misbruikt. Maar wat is een realistische tijdspanne om een bug te fixen? En wie bepaalt dat? Als de hacker die het lek ontdekt daar anders over denkt dan het bedrijf, kan dat frictie opleveren.

Dat gebeurde bijvoorbeeld tijdens de Heartbleed-bug die begin 2014 werd ontdekt in OpenSSL. Het Finse onderzoeksbedrijf Codenomicon besloot Heartbleed wel te melden aan onder meer CloudFare, maar niet aan andere grote webdiensten die eveneens van OpenSSL gebruikmaakten. Daardoor werd een groot deel van het internet kwetsbaar voor de bug toen die eenmaal openbaar werd gemaakt.

Volgens sommige critici had Heartbleed dan ook niet zozeer met responsible disclosure te maken, maar met marketing van een tot dan toe relatief obscuur Fins beveiligingsbedrijf dat na bekendwording van het lek internationale aandacht kreeg. Codenomicon vond dat het rechtvaardig handelde door het lek te melden aan het Finse National Cyber Security Center, maar de afhandeling leidde tot een discussie over hoelang onderzoekers moeten wachten voordat zij een lek openbaar maken en aan wie je dat allemaal moet melden. Wie heeft dan de sterkste hand?

Beloning voor ethisch hacken

En daar komt de ethiek om de hoek kijken, zowel de kracht als de achilleshiel van responsible disclosure. Een goed RD-beleid zorgt dat het bedrijf een hacker tegemoetkomt, én andersom. Het mes moet in zo’n geval aan twee kanten snijden, maar buiten een ‘gentlemen’s agreement’ biedt een responsible disclosure-beleid geen enkele juridische garanties. In theorie kan een bedrijf ook na het repareren van een datalek aangifte doen tegen een hacker, en niets weerhoudt de hacker ervan om het lek alsnog vroegtijdig openbaar te maken. Je kunt je daarom afvragen wat de reden is dat hackers daaraan zouden meedoen.

Terwijl bedrijven een RD in de regel opstellen uit praktische of financiële overwegingen, doen whitehat-hackers voornamelijk aan RD voor de eer – al speelt er voor hackers wel meer dan alleen hun gevoel voor rechtvaardigheid en ethisch besef. Loran Kloeze, een ethisch hacker die onder meer bekend werd toen hij liet zien dat de Stemwijzer lek was, zegt dat ook hackers niet helemaal altruïstisch te werk gaan. “Hackers dragen het aantal RD’s op hun naam als een eremedaille, iets waarmee je kunt laten zien hoe goed je bent. Opdrachtgevers of klanten kijken juist daarnaar, niet naar een diploma. Een groot aantal disclosures op je naam is waardevoller dan welke opleiding dan ook.”

Daarom is een ‘hall of fame’ ook zo belangrijk. Daarop wordt een overzicht geplaatst van de hackers die een lek hebben gevonden en een korte beschrijving met wat er precies is gerepareerd. Niet dat zo’n website veel bezoekers trekt, maar dat is ook niet de bedoeling. Ethisch hackers kunnen zulke vermeldingen in hun eigen portfolio opnemen om te laten zien wat ze waard zijn.

©PXimport

Responsible disclosure gaat doorgaans gepaard met een beloning, maar wat dat concreet inhoudt, verschilt per bedrijf. Soms is het een klein geldbedrag, soms een t-shirt of een ander cadeautje –PCM-uitgever Reshift geeft bijvoorbeeld soms een Raspberry Pi-pakket weg voor het melden van een lek. Eigenlijk doet de aard van de beloning er ook niet toe, vindt Van Geelen. Toen hij een aantal jaren geleden na heel lang mailen en overtuigen een cadeaubon kreeg voor het melden van een lek bij ABN Amro (dat toen nog geen officieel RD-beleid had), voelde hij zich afgescheept.

“Ze bleven maar vragen: ‘Wat wil je dán?’ Ze begrepen het maar niet. Het ging me helemaal niet om die cadeaubon of om geld, of wat dan ook. Het enige wat ik wilde, is een oprecht bedankje.” Het is een sentiment dat bij meer hackers speelt. Serieus genomen worden, voelen alsof je hebt bijgedragen aan een veiliger wereld. Daarom was Van Geelen ook blijer met zijn eerste hack op VakantieVeilingen. Daarvoor kreeg hij niet alleen een cadeaubon, maar ook een stage aangeboden – iets waar hij in zijn verdere carrière veel meer aan heeft gehad dan aan een geldbedrag.

Loran Kloeze onderschrijft het feit dat de beloning niet het belangrijkst is. Kloeze richt zich sowieso grotendeels op overheidsinstellingen, en die geven geen geldbedragen weg maar enkel t-shirts. “Je doet het vanuit je ethisch besef en het feit dat je de wereld een stukje veiliger wilt maken.”

Geld verdienen met ethisch hacken

Toch is er een groeiende groep hackers die probeert te leven van dergelijke datalekken, al heb je het dan al snel over ‘bug bounty’s’ – een op het eerste gezicht identieke, maar toch iets andere tak van sport. Het zijn vooral grote techbedrijven met miljoenen gebruikers die geld over hebben voor het spotten van datalekken. Apple was daar vrij laat mee en begon pas halverwege 2016 met het uitloven van premies voor het vinden van bugs. Toch is Apple een van de interessantere bedrijven om datalekken bij te melden. Een lek in de boot firmware van iOS levert bijvoorbeeld al 200.000 dollar op.

Op die manier zijn er hackers die volgens Kloeze kunnen leven van hun bug bounty’s. “Als je wekelijks een bug van 250 euro vindt en eens per jaar een écht grote, dan kun je daar prima van leven.”

Daar staat tegenover dat het tegenwoordig steeds lucratiever wordt om bugs aan derde partijen te verkopen. Bedrijven zoals Zerodium bieden bijvoorbeeld het viervoudige van Apple voor eenzelfde lek in iOS. En voor een hacker is er maar één ding dat hem laat kiezen tussen 200.000 dollar van Apple en 1 miljoen van Zerodium: zijn gevoel. Kloeze: “Uiteindelijk wil je toch elke avond rustig slapen, en dat wordt voor velen een stuk lastiger als ze weten dat hun lek kan worden gebruikt door een regime als Noord-Korea. Net als gewone criminaliteit kun je ook hier de afweging maken, en dan is de vraag hoever je bereid bent te gaan.”

Volgens Mischa van Geelen zit het verschil hem voornamelijk in de houding van de hacker. “Bug bounty’s doe je voor het geld, maar responsible disclosure doe je vanuit een gevoel voor ethiek. Bovendien maakt het voor veel hackers ook niet uit of ze er geld voor krijgen; dat verdienen ze vaak ook wel met consultancy-werk.” En daarbij is een goed portfolio, met veel RD’s op je naam, juist een goed visitekaartje.

Er is ook een aantal bedrijven dat op professionele schaal op zoek gaat naar lekken, zoals Google, dat permanent beveiligingsonderzoekers in dienst heeft op de Project Zero-divisie. Project Zero komt regelmatig in het nieuws als het een lek heeft gevonden bij bijvoorbeeld Microsoft, waar de softwaregigant dan niet tijdig iets aan heeft gedaan.

Grijs gebied

Responsible disclosures bevatten in de meeste gevallen een belangrijke clausule over aansprakelijkheid, maar de regels rondom hacken en verantwoordelijkheid stroken niet altijd even goed met elkaar. Loran Kloeze zegt bijvoorbeeld alleen aan RD te doen met bedrijven die al een beleid hebben. Hij kijkt daarom met name op sites van de overheid, omdat die in samenwerking met het NCSC een duidelijk beleid heeft opgesteld dat voor alle sites geldt. Als een website of bedrijf dat niet heeft, komt Kloeze er niet aan. Om één simpele reden: hij wil niet in de problemen komen. “Een responsible disclosure-beleid nodigt een hacker uit om zonder angst voor repercussies op zoek te gaan naar een lek. Als er niet zo’n beleid is, dan heb je niks op zo’n website te zoeken.”

Volgens Kloeze is het überhaupt niet mogelijk om een datalek te vinden zonder dat je actief in een systeem loopt te porren, dus iedereen die een lek vindt in een website waar geen RD van toepassing is, is volgens hem per definitie al fout. “Als je een website gebruikt zoals die bedoeld is en dan een fout ontdekt, ja, dan mag je inderdaad wel even een mailtje sturen met ‘joh, let hier eens op’. Maar dat is vrijwel nooit het geval. Om een bug te vinden, moet je actief zoeken, testen, reproduceren en verschillende dingen proberen. Dan ben je al heel snel ongeoorloofd aan het rondneuzen op een systeem waar je niks te zoeken hebt, omdat je er niet voor bent uitgenodigd.”

Om een bug te vinden, moet je actief zoeken, testen, reproduceren en verschillende dingen proberen

-

Juridisch gezien is een responsible disclosure-beleid niet sluitend. Het zegt niks, behalve dan dat het bedrijf geen intentie heeft je te vervolgen – maar ook dat kan gewoon veranderen. Bovendien heeft het OM daar niets mee te maken, zegt Kloeze. “Dat kan altijd nog besluiten achter je aan te gaan, al is dat onwaarschijnlijk.” Er zijn nog geen gevallen bekend van veroordelingen voor hacking waarbij gebruik werd gemaakt van responsible disclosure.

Daar is Mischa van Geelen het niet mee eens. Hij ziet het beleid van het NCSC juist als richtlijn om als ethisch hacker te opereren – of een bedrijf nu een beleid heeft of niet. “Zolang je het volgens de regels speelt, moet je een lek gewoon kunnen melden. Dan houd je je natuurlijk aan alle regels: je zorgt dat je niks stuk maakt, dat je je lek niet openbaar maakt ... Als je dat doet, vind ik dat je het gewoon moet kunnen melden.”

Volgens het NCSC ligt de situatie iets genuanceerder en is de leidraad vooral bedoeld om bedrijven te stimuleren hun eigen beleid op te zetten, maar houdt het OM per geval wel rekening met ‘proportioneel en subsidiair handelen’.

Meerwaarde van responsible disclosure

De meeste hackers vinden dat responsible disclosure waardevol kan zijn voor bedrijven, al vindt Kloeze wel dat dat proportioneel moet zijn. “Voordat je meteen zo’n beleid opstelt, moet je je eerst afvragen of je dat überhaupt wel nodig hebt. De slager om de hoek heeft daar doorgaans weinig aan, maar dat verandert als hij bijvoorbeeld een koelcel heeft die hij via internet kan aansturen, of als hij een klantensysteem begint.”

Een responsible disclosure-beleid moet dan ook in verhouding staan met de data die je verwerkt, maar omdat steeds meer bedrijven in toenemende mate gebruikmaken van persoonlijke data, groeit de vraag naar een goede omgang eveneens. Niet alleen juridisch (bijvoorbeeld door de meldplicht datalekken), maar ook ethisch, zoals een goed RD-beleid.

Waar de hackers het eens zijn over de meerwaarde van zo’n beleid, zetten de meeste ook kanttekeningen bij de effectiviteit. Het is nooit dé definitieve oplossing voor het beveiligingsprobleem, denkt Mischa van Geelen. “Responsible disclosure is alsof je met hagel op je systemen gaat schieten, in de hoop dat er iets wordt geraakt. Je moet er nooit van uitgaan dat je daarmee volledig veilig wordt.”

Hij zegt daarom dat een goed RD-beleid eerder een toevoeging op het bestaande beveiligingsbeleid moet zijn. Dat bevestigt het NCSC: “Organisaties zijn zelf verantwoordelijk voor hun beveiliging, maar goede beveiliging is zo sterk als je zwakste schakel. RD kan een zeer belangrijke bijdrage leveren aan het ontdekken van zulke zwakke plekken.”

Daarnaast is het belangrijk te onthouden dat responsible disclosure-meldingen altijd door vrijwilligers worden gedaan, en dat die je niets verplicht zijn. Ze kunnen daarom nooit garanderen dat ze alle gaten uit je systeem vissen, maar een oprecht bedankje is wel het minste wat je voor ze kunt doen.

Responsible disclosure-beleid opzetten

Wil je tot slot voor je eigen bedrijf een responsible disclosure-beleid (helpen) opzetten? Denk dan aan de volgende zaken:

Scope: Geef aan welke onderdelen een hacker mag testen en welke niet. Vallen daar bijvoorbeeld ook testomgevingen onder?

Beloning: Bedenk welke beloning je een hacker geeft. Is dat een geldbedrag, een t-shirt of iets unieks van jouw bedrijf? Zorg ook dat je bepaalt voor welke meldingen je welke beloning geeft: niet alle lekken hoeven gelijkwaardig te worden behandeld.

Wall of fame: Hackers gebruiken een RD-melding ook op hun cv. Kom ze tegemoet door een publieke wall of fame op te stellen met wie je heeft geholpen met welk probleem.

Doe een pen-test: Als je je systeem meteen toegankelijk maakt voor iedereen, kan dat al snel tot veel reacties leiden. Laat je bedrijf daarom eerst pen-testen door een professioneel bedrijf, zodat de belangrijkste gaten kunnen worden gedicht.

Laat je RD-beleid nakijken: Er zijn genoeg ethische hackers die, al dan niet betaald, een RD-beleid voor je kunnen opstellen of er op z’n minst doorheen kunnen lopen.

Wees eerlijk: Wees eerlijk over je bug-fixes en je progressie. Houd de hacker op de hoogte, ook als het repareren onverhoopt langer duurt dan verwacht.

10-04-2018 08:04
Door: Tijs Hofmans
▼ Volgende artikel
De leukste techcadeaus voor de feestdagen (of voor jezelf natuurlijk)
© ID.nl
Huis

De leukste techcadeaus voor de feestdagen (of voor jezelf natuurlijk)

Op zoek naar (last-minute) inspiratie voor de feestdagen? We hebben 17 gadgets en techcadeaus voor je gespot waarmee je iedereen blij maakt. Uiteraard denken we ook aan je portemonnee: we hebben gekeken naar cadeaus van maximaal ongeveer 200 euro. Fijne feestdagen!

Xiaomi Watch S4

De stijlvol vormgegeven Xiaomi Watch S4 oogt misschien als een regulier horloge, maar het is wel degelijk een smartwatch. Deze wearable is in drie chique uitvoeringen te koop. Het ronde amoledscherm van 466 × 466 pixels heeft een prettig formaat van 1,43 inch. Bovendien is de behuizing volledig waterdicht. Volgens de fabrikant houdt de accu van 486 mAh het bij normaal gebruik ongeveer twee weken vol. Je kunt hem dus dag en nacht dragen. Voor actieve personen komen de 150 sportmodi goed van pas. Verder zitten er onder meer een kompas, slaapmonitor en hartslagsensor in. Leuk is dat je hem helemaal kunt personaliseren: in het menu kun je kiezen tussen ruim tweehonderd wijzerplaten.

WiZ Gradient Light Bars

Meer sfeer in huis? Dan is deze slimme verlichtingsset van WiZ hét cadeau bij uitstek. Je kunt beide objecten verticaal en horizontaal plaatsen. In combinatie met de los verkrijgbare HDMI Sync Box synchroniseren de lampen zelfs met de kleuren van jouw televisie. Als alternatief reageren de WiZ Gradient Light Bars op de beat van de muziek. Daarnaast kun je in een app ook eigen lichtschema's instellen. Hierin pas je de kleuren en dimniveaus naar eigen wens aan.

Ultimate Ears Megaboom 4

De Ultimate Ears Megaboom 4 is een robuuste bluetooth-speaker met een krachtig geluid. Ondanks de relatief grote behuizing van 8,7 × 22,5 × 8,7 centimeter weegt het apparaat nog geen kilo. Hij kan mee naar buiten, want hij is volledig water- en stofdicht. Met een opgegeven accuduur tot twintig uur luister je altijd en overal naar goede muziek. Twee actieve audiodrivers en evenzoveel passieve basradiators zorgen voor een vol geluid. Je kunt kiezen tussen een zwarte, blauwe, rode en paarse behuizing.

Shelly Plug S Gen3

Met de Shelly Plug S Gen3 maak je ieder apparaat slim. Dit stopcontact meld je eenvoudig aan op het draadloze thuisnetwerk. Sluit bijvoorbeeld een lamp of verwarming aan en bedien de boel met een app op je smartphone. Pluspunten zijn de ondersteuning voor de universele Matter-standaard en de aanwezige energiemeter. De maximale belasting bedraagt 2500 watt. Wil je meerdere 'domme' apparaten op afstand bedienen? Er is ook een 4-pack verkrijgbaar.

Philips 32PFS6109/12

Misschien leuk om iemand een slaapkamer-tv cadeau te doen? Wie goed zoekt, vindt de Philips 32PFS6109/12 voor minder dan tweehonderd euro. Een heus koopje, want dit is een smart-tv van een gerenommeerd merk. Vanuit het Titan OS-smartplatform open je diverse populaire apps, zoals Disney+, Amazon Prime Video, YouTube en natuurlijk Netflix. Kijk vervolgens naar series en films in een respectabele beeldkwaliteit van 1920 × 1080 pixels. Ontvang je televisiekanalen via de kabel of satelliet, dan zijn de juiste tuners al aanwezig. Ten slotte kun je via drie HDMI-poorten ook externe videobronnen aansluiten, zoals een gameconsole, blu-ray-speler en tv-ontvanger.

Teufel Real Blue NC 3

De Duitse audiospecialist Teufel bracht eerder dit jaar de derde generatie van zijn Real Blue NC uit. Naast de aanwezigheid van actieve ruisonderdrukking vallen de zachte kussens ook nog eens volledig over je oren. Dankzij de twee genoemde kenmerken hoor je niet of nauwelijks geluiden uit de omgeving. Deze bluetooth-koptelefoon ondersteunt een accuduur tot maximaal 59 uur. Zet je noise cancelling uit, dan bedraagt de maximale luistertijd zelfs 98 uur. Volgens Teufel leveren de 40mm-audiodrivers een helder geluid en stevige bas. Er is ook een microfoon ingebouwd, waardoor je handsfree kunt bellen. Dit product is in een zwarte, witte en blauwe uitvoering te koop.

Logitech Zone 300

Wie regelmatig aan videovergaderingen deelneemt, heeft veel baat bij een goede headset. Met de betaalbare Logitech Zone 300 kunnen digitale gesprekspartners elkaar duidelijk verstaan. De bekende hardwarefabrikant fabriceert dit vederlichte model in drie smaken, namelijk zwart, wit en roze. Via bluetooth maak je verbinding met een pc, laptop, tablet of smartphone. De maximale gesprekstijd op een enkele batterijlading is ongeveer zestien uur.

ACT AC5151

Zie je een familielid of vriend(in) regelmatig op het touchpad van een laptop priegelen? Geef diegene dan deze comfortabele muis van ACT cadeau. Stop de bijgesloten ontvanger in een vrije usb-poort en bedien de muis vervolgens draadloos. Bovenop bevindt zich een zogeheten dpi-switch. Daarmee pas je eenvoudig de gevoeligheid van de cursor aan. Deze muis is geschikt voor rechtshandige personen.

Audio-Technica AT-SP3X

Deze elegante speakerset van Audio-Technica zal op geen enkel bureau misstaan. Het bekende audiomerk fabriceert dit product in een zwarte (AT-SP3X) en witte (AT-SP3XWH) behuizing. Dankzij de ingebouwde versterker verbind je de AT-SP3X rechtstreeks met apparaten, zoals een pc of laptop. Daarnaast is er een bluetooth-ontvanger geïntegreerd. Koppel dus een tablet of smartphone en stream draadloos je favoriete Spotify-afspeellijsten. Je luistert vervolgens naar goede muziek in stereokwaliteit. Het opgegeven uitgangsvermogen bedraagt dertig watt.

TP-Link Tapo RV30 Max

TP-Link bewijst dat een robotstofzuiger niet peperduur hoeft te zijn. De Tapo RV30 Max creëert op eigen houtje een plattegrond van jouw huis en maakt de boel vervolgens schoon. Naast het opzuigen van zand, haren, kruimels en overig vuil dweilt de robot ook nog eens je vloer. Is de batterij bijna leeg, dan keert het apparaat vanzelf terug naar de lader. Tegen een meerprijs is er ook een Plus-versie met een automatisch leegstation te koop.

Epson EcoTank ET-2860

Vermoedelijk zul je niet gauw een goedkopere inkttankprinter vinden. De Epson EcoTank ET-2860 maakt geen gebruik van dure cartridges: je vult met de bijgesloten flessenset eigenhandig vier inktreservoirs aan de voorzijde. Hierdoor is printen véél goedkoper. Ideaal voor mensen die graag foto's afdrukken. Met een behoorlijke printresolutie van 5760 × 1440 dpi ogen de kiekjes erg scherp. Koppel de EcoTank ET-2860 aan het draadloze thuisnetwerk en verstuur vanaf alle pc's, laptops, tablets en smartphones afdruktaken. Tot slot kan dit apparaat ook nog kopiëren en scannen.

Google Nest Mini

Even een lamp dimmen, de thermostaat een graadje hoger zetten of het laatste nieuws volgen. Met deze goedkope smartspeaker van Google kan het allemaal. De ronde behuizing luistert via een microfoon naar jouw spraakopdrachten. Vervolgens bedien je ieder smarthome-apparaat met Google Assistent-ondersteuning. Uiteraard luister je als je dat wilt ook gewoon naar muziek. De Nest Mini is in een licht en donker jasje te koop.

Huawei Band 10

Geef de Huawei Band 10 cadeau aan iemand met sportieve voornemens. Deze activity-tracker houdt nauwlettend het aantal gezette stappen en de hartslag in de gaten. Verder is de polsassistent waterbestendig, waardoor je ook allerlei zwemgegevens kunt registreren. Je leest het ruime amoledscherm van 1,47 inch zowel 's avonds als overdag moeiteloos af. Wie het apparaatje met een Android-toestel verbindt, ziet verschillende notificaties voorbijkomen. De Band 10 is in verschillende kleurstellingen te koop, namelijk wit, blauw, paars, groen, roze en zwart. De twee laatstgenoemde uitvoeringen zijn het goedkoopst.

DJI Neo

Met de piepkleine DJI Neo schiet je haarscherpe beelden! Deze drone van 135 gram stijgt probleemloos op vanaf jouw handpalm. De geïntegreerde videocamera ondersteunt een respectabele resolutie van 3840 × 2160 pixels, zodat je vanuit de lucht gedetailleerde opnames kunt maken. Het is zelfs mogelijk om automatisch een persoon, dier, voertuig of ander bewegend voorwerp te volgen. Op een enkele acculading bedraagt de maximale vluchttijd achttien minuten. Houd er rekening mee dat de fabrikant bij het basismodel geen afstandsbediening meelevert. Je installeert voor de bediening een app op je smartphone.

JBL Sense Lite

Deze sportieve in-ears blijven tijdens iedere wandeling, hardloopsessie en fitnesstraining stevig op hun plek zitten. De behuizing bevat namelijk een oorhaakje. De JBL Sense Lite is IP54-gecertificeerd. Een beetje regen of zweet kan dus geen kwaad. Je bent tijdens handsfree gesprekken luid en duidelijk te horen, want beide oordopjes hebben twee microfoons. De batterij gaat maximaal acht uur mee. Een pluspunt is dat je de inwendige accu's met de bijgesloten oplaadcase nog eens driemaal volledig kunt opladen. En dat zonder netstroom! Je past met de JBL Headphones-app diverse equalizerinstellingen naar eigen smaak aan. Kies tussen een zwarte, beige, witte, paarse en blauwe uitvoering.

View post on TikTok

Fresh 'n Rebel Party Loud M

Bouw met deze krachtige partyspeaker op iedere locatie een feestje. Door de waterdichte constructie is een regenbui geen enkel probleem. Bovendien ben je niet afhankelijk van netstroom. Een volgeladen accu is volgens de fabrikant goed voor een speeltijd tot twintig uur. De Fresh 'n Rebel Party Loud M heeft bovenop een eenvoudig bedieningspaneel. Schroef zo nodig het basniveau verder op en switch tussen zes verlichtingsschema's. Een leuk extraatje is dat je aan de achterzijde een microfoon of gitaar kunt inpluggen. Kortom, een ideale partner voor een geslaagde karaoke-avond!

Xiaomi TV Box S (3rd Gen)

De Xiaomi TV Box S (3rd Gen) is een betaalbare mediaspeler die elke 'domme' televisie of verouderde smart-tv slim maakt. Sluit dit kleine apparaatje aan op een HDMI-poort van de beeldbuis en verbind hem met wifi. Vervolgens start je vanuit het Google TV-menu je favoriete video-apps. De compacte afstandsbediening heeft aparte knoppen voor Netflix, Amazon Prime Video en YouTube. Zoek je een specifieke film of serie? Activeer dan de spraakfunctie om de betreffende titel vlot te vinden. De Xiaomi TV Box S geeft de streams in een scherpe beeldkwaliteit van maximaal 3840 × 2160 pixels aan de televisie door. Veel kijkplezier!

29-11-2025 06:11
Door: Maikel Dijkhuizen
▼ Volgende artikel
Review Oppo Find X9 Pro – Dure smartphone met veel plussen
© Rens Blom
Huis

Review Oppo Find X9 Pro – Dure smartphone met veel plussen

De Oppo Find X9 Pro is een van de duurste smartphones die je kunt kopen. Het is ook het toestel met de langste accuduur, althans in onze gebruikstests. Wat kun je nog meer verwachten? Je leest het in deze Oppo Find X9 Pro-review.

8,5
Uitstekend
Conclusie

De Oppo Find X9 Pro is een premium smartphone met fantastische hardware, een heel goede zoomcamera en de beste accuduur die je kunt vinden. De software is nog wat voor verbetering vatbaar en de adviesprijs kan een terecht struikelblok zijn. Wel nemen we ons petje af voor wat de Find X9 Pro allemaal te bieden heeft.

Plus- en minpunten
  • Uitmuntende accuduur
  • Erg geavanceerde camera's
  • Op alle vlakken zeer premium
  • Updatebeleid en softwareschil kunnen beter
  • Erg hoge adviesprijs

De beste accuduur

Een van de speerpunten van de Oppo Find X9 Pro is zijn reusachtige batterij. Een 7500mAh-accu voorziet de telefoon van stroom en verpulvert hiermee de accu's van de Apple iPhone 17 Pro Max (nog geen 5000 mAh), Samsung Galaxy S25 Ultra (5000 mAh) en Google Pixel 10 Pro XL (5200 mAh). Eigenlijk komt alleen de OnePlus 15 in de buurt, met zijn 7300mAh-accu. Oppo en OnePlus zijn zustermerken. In onze test met de OnePlus 15 concludeerden wij dat we het toestel probleemloos twee dagen kunnen gebruiken bij regulier gebruik. Goed nieuws: voor de Oppo Find X9 Pro geldt hetzelfde. Het lukt ons echt niet om de accu op één dag leeg te trekken en ook bij intensiever gebruik kunnen we de twee dagen aantikken.

©Rens Blom

Een Oppo-medewerker haalt een Find X9 Pro uit elkaar om de grote accu te tonen.

De Oppo Find X9 Pro hoef je dus maar om de nacht op te laden. Of ergens in de ochtend, dat kan ook. Het toestel ondersteunt namelijk erg snel opladen via de meegeleverde usb-c-kabel, al dien je dan wel zelf de benodigde adapter te kopen. Met een andere adapter gaat het laden een stuk minder snel. Voor draadloos opladen geldt hetzelfde. Het kan heel snel via een optionele Oppo-oplader of langzamer via een draadloze oplader van een ander merk.

©Rens Blom

Goed scherm

Gelukkig heeft de Oppo Find X9 Pro meer te bieden dan een fantastische accuduur. Dat mag ook wel voor die adviesprijs van 1299 euro. Het toestel beschikt over een premium ontwerp dat lekker in de hand ligt en een vingerafdrukscanner in het scherm die eigenlijk nooit dienst weigert. Het beeldscherm zelf is ook van heel hoge kwaliteit en meet 6,78 inch. Dat is fors, maar wel prettig bij het kijken van video's, gamen en typen met twee handen. Door de resolutie van 2772 x 1272 pixels is het scherm lekker scherp en de 120Hz-verversingssnelheid maakt het beeld soepel.

©Rens Blom

Hardware

Onder de motorkap zoemt – geruisloos natuurlijk – een MediaTek-processor. De dagen dat MediaTek bekendstond als een minder goede chipfabrikant zijn echt voorbij. De Dimensity 9500-chip in de Find X9 Pro is razendsnel, energiezuinig en heeft ook geen enkele moeite met games. En ja, gelet op de hoge adviesprijs van de smartphone is het niet verrassend dat Oppo er 16 GB werkgeheugen en 512 GB opslagcapaciteit in zet. Een welkome combinatie die de Find X9 Pro klaarmaakt voor jaren gebruik.

Heel ver zoomen

Een ander sterk punt van de Find X9 Pro zijn de camera's. Het camera-eiland op de achterkant is groot en steekt best uit, wat komt omdat er serieuze (zoom)camera's in de behuizing zitten. Oppo werkt – al jaren – samen met fotografiemerk Hasselblad om de kwaliteit van zijn premium smartphonecamera's te verbeteren en dat is bij de Find X9 Pro niet anders. In de praktijk zijn wij bijzonder tevreden over de fotografie- en video-prestaties van de smartphone. Plaatjes ogen haarscherp, hebben realistische kleuren en zijn een genot om te bekijken op het smartphonescherm óf een groter scherm.

©Rens Blom

Interessant is de geavanceerde zoomcamera, waarmee je het beeld héél veel keren dichterbij haalt. We hebben de Find X9 Pro meegenomen naar China, waar we fabrieken van Oppo bezochten, en fotografeerden een en ander vanuit onze hotelkamer. Zoals je hieronder ziet, kun je vanaf de 21ste verdieping zó ver en goed inzoomen dat je een autobestuurder prima in beeld krijgt én de kentekenplaat kunt lezen. Of je ziet de tekst op het scherm van het reuzenrad, dat honderden meters verderop staat. Bij dat maximaal inzoomen zet de camerasoftware AI in om het beeld te verduidelijken. Daar wordt het beeld inderdaad duidelijker van, niet mooier.

©Rens Blom

©Rens Blom

Prima software vol apps

De Oppo Find X9 Pro draait op Android 16 en krijgt vijf jaar Android-upgrades en zes jaar beveiligingsupdates. Dat is goed, maar minder lang dan de zeven jaar complete updates die Google, Samsung en Apple uitrollen voor hun toptelefoons. De ColorOS-schil van Oppo werkt prima en bevat veel handige functies, maar ook ongevraagde commerciële apps als TikTok. Wij vinden het raar dat we op een peperdure smartphone lastiggevallen worden door meldingen van apps waar wij niets mee te maken willen hebben.

©Rens Blom

Conclusie: Oppo Find X9 Pro kopen?

De Oppo Find X9 Pro is een premium smartphone met fantastische hardware, een heel goede zoomcamera en de beste accuduur die je kunt vinden. De software is nog wat voor verbetering vatbaar en de adviesprijs kan een terecht struikelblok zijn. Wel nemen we ons petje af voor wat de Find X9 Pro allemaal te bieden heeft.

28-11-2025 17:11
Door: Rens Blom