Het Internet of Things is niet alleen een zegen voor ons comfort, maar ook voor cybercriminelen die dankbaar misbruik maken van al die goedkope apparaatjes in je thuisnetwerk. Het SIDN biedt met SPIN software voor je thuisrouter aan waarmee je de verkeersstromen van al je IoT-apparaten in beeld brengt en kunt ingrijpen als een van je apparaten gecompromitteerd is. We leggen hier uit hoe slimme apparaten beveiligen ermee werkt.

Stichting Internet Domeinregistratie Nederland beheert zoals de naam al zegt alle domeinnamen die eindigen op .nl. Maar daarnaast doet SIDN nog veel meer. Zo neemt de stichting deel aan initiatieven voor een beter internet, deelt (technische) kennis en ontwikkelt ook zelf software die bijdraagt aan een veiliger internet.

SIDN maakt zich al een tijdje zorgen over de opkomst van het Internet of Things (IoT): weldra zijn tientallen miljarden apparaten met internet verbonden, een groot deel daarvan voor thuisgebruik. Vele van die apparaten ontvangen nooit of maar voor een beperkte tijd updates. Het gevolg? Cybercriminelen zullen in de apparaten kunnen inbreken en die gebruiken als springplank om toegang te krijgen tot de rest van je netwerk. Of ze zetten de apparaten in voor een denial-of-service-aanval (DoS), waardoor je deel gaat uitmaken van een botnet dat aan criminelen wordt verhuurd.

Er kleven dus talloze risico’s aan onveilige IoT-apparaten. Niet alleen voor de gebruiker, maar ook voor de provider: die kan door andere providers worden geblokkeerd als de IoT-apparaten van te veel klanten zich misdragen.

SPIN installeren

Om meer inzicht te krijgen in onveilige IoT-apparaten op je netwerk én om de rest van het internet tegen je onveilige apparaten te beschermen, ontwikkelde SIDN de opensource-software SPIN (Security and Privacy for In-home Networks). Het is momenteel al een volledig functioneel prototype en al in enkele andere producten ingebouwd. Het bekendste product is misschien wel de thuisrouter TrustBox Router van Scalys. Dat apparaat won op de Consumer Electronics Show (CES) van 2019 in Las Vegas de Best of Innovation Award in de categorie Cybersecurity & Personal Privacy.

De thuisrouter is de beste plaats om dit soort bescherming aan te bieden. SIDN zet SPIN dan ook in de markt als oplossing voor internetproviders en fabrikanten van thuisrouters. Ze kunnen SPIN integreren in hun bestaande routers en zo een extra dienstverlening aanbieden aan hun klanten. Omdat de analyse van het netwerkverkeer op de router zelf gebeurt, blijven privacygevoelige gegevens in het netwerk. De gebruiker behoudt bovendien zelf de controle over het beveiligingssysteem.

©PXimport

SPIN is opensource Linux-software voor thuisrouters en draait bijvoorbeeld op OpenWrt, een gespecialiseerde Linux-distributie voor routers en draadloze toegangspunten. SPIN is in de programmeertaal C geschreven en zou daardoor ook naar andere besturingssystemen omgezet kunnen worden. De broncode vind je op de GitHub-pagina van SIDN.

De gemakkelijkste manier om SPIN op je eigen apparaat te installeren is als onderdeel van Valibox, een ander project van SIDN. Valibox is een aangepaste versie van OpenWrt die via dnssec dns-aanvragen valideert en het pakket SPIN bevat. Op de downloadpagina vind je images voor de reisrouters GL-Inet AR-150 en GL-Inet MT300A, en voor de Raspberry Pi 3B (dit image werkt niet op de Raspberry Pi 4, omdat die een andere processorarchitectuur heeft).

Valibox op de Raspberry Pi

Voor dit artikel testten we SPIN door de Valibox-firmware op een Raspberry Pi 3B te installeren. De betere prestaties van de Raspberry Pi 4 heb je voor een router voor IoT-apparaten doorgaans toch niet nodig. Download op de downloadpagina van Valibox het image Valibox voor de Raspberry Pi 3B. Tijdens de redactiesluiting was dat versie 1.8.

Schrijf het image met balenaEtcher naar een micro-sd-kaartje. Dat mag vrij klein zijn: het gecomprimeerde image is zelf nog geen 15 MB groot en ongecomprimeerd ook maar 300 MB. We gebruikten daarom een micro-sd-kaart van 8 GB.

Nadat het micro-sd-kaartje is beschreven, steek je het in het kaartslot van je Raspberry Pi. De ethernetkabel van de Pi sluit je op je hoofdrouter aan. Valibox beschouwt de ethernetpoort als de wan-poort: dit is de verbinding met internet. Het besturingssysteem zet ook een wifi-netwerk op dat dan als lan dient: je IoT-apparaten sluit je via dit wifi-netwerk op internet aan.

Wanneer je de voedingskabel van de Raspberry Pi aansluit en die in het stopcontact steekt, kan het opstarten van de Pi enkele minuten duren, omdat Valibox alles instelt. Daarna zie je een draadloos netwerk verschijnen met de naam SIDN-Valibox-GETAL met een willekeurig getal. Verbind met dit netwerk. Het standaardwachtwoord is goodlife.

©PXimport

Zodra je op het netwerk aangemeld bent, krijg je een hotspotaanmeldingspagina te zien. Indien niet, surf dan zelf naar http://192.168.8.1. Op de aanmeldingspagina stel je het ssid van het wifi-netwerk in en verander je de standaardwachtwoorden van het wifi-netwerk en van de beheerpagina. Klik links onderin op Save en wacht even. Meld je daarna opnieuw aan bij het netwerk en vul je zopas ingestelde wachtwoord in.

Valibox is gewoon een aangepaste versie van OpenWrt. Je krijgt dan ook toegang tot alle mogelijkheden van OpenWrt, inclusief de standaard gebruikersinterface Luc. Klik op de hoofdpagina van Valibox op Configure the ValiBox om toegang tot de OpenWrt-interface te krijgen.

Een uitleg van de werking van OpenWrt ligt niet binnen het bestek van dit artikel, maar blader gerust eens door de menu’s om te kijken of er wijzigingen nodig zijn. Onder het tabblad Valibox rechts bovenin vind je nog enkele specifieke instellingen, waarvan de taal van de hoofdpagina (onafhankelijk van de OpenWrt-interface) de belangrijkste is. Je kunt die veranderen naar nl_NL.

Klik daarna op Save & Apply om de configuratie toe te passen en klik dan in het menu System op Reboot. Na een herstart van de Pi is de hoofdpagina in het Nederlands.

Lees verder hoe je SPIN kunt gebruiken om je IoT-netwerk te monitoren!

De Netatmo Binnencamera Advance is een slimme beveiligingscamera voor in huis en heeft een adviesprijs van 330 euro. Het apparaat is echter al te koop voor zo'n 250 euro, zien we op de website. Hoe bevalt het product in de praktijk en is-ie dat geld waard?

In de basis is de Netatmo Binnencamera Advance een product volgens het Netatmo-boekje: het apparaat combineert geavanceerde beveiligingstechnologie met een sterke nadruk op privacy en gebruiksvriendelijkheid. Deze binnencamera gaat zelfs nog een stapje verder met de introductie van een mechanische privacysluiter. De implementatie van de sluiter is niet uniek, maar de toepassing wel.

Nu bestaan er wel meer beveiligingscamera’s die zo'n sluiter hebben. Die kun je soms via een schakelaar op het apparaat omzetten, en anders via de app. Een fysieke knop hiervoor is de meest veilige optie, aangezien die niet kan worden 'gehackt'. In het geval van deze Netatmo kunnen we de sluiter alleen via de app omhoog en omlaag doen. Dat kun je ook automatisch laten doen, bijvoorbeeld wanneer de camera een gezicht herkent. Dan schakelt de camera zichzelf als het ware uit op het moment dat je zelf binnen bent, waardoor er ook geen opnamen gemaakt (hoeven te) worden.

©Wesley Akkerman

De achterkant van het apparaat.

Meer gemoedsrust

Door de sluiter een automatische functie te geven, hoopt Netatmo meer gemoedsrust te kunnen bieden. Er zijn namelijk mensen die zich nog steeds zorgen maken om hun privacy en de opnamen die van hen gemaakt worden zodra ze ergens binnenstappen. Bij bedrijven en horecagelegenheden heb je daar weinig invloed op, maar bij jezelf, vrienden of familieleden thuis dus iets meer. Het systeem mag dan wel niets opnemen met de sluiter omlaag, maar technisch gezien kan die nog wel meeluisteren. De microfoon wordt namelijk niet afgedekt.

De automatische stand kun je op twee manieren activeren: via gezichtsherkenning en middels geofencing. Op basis van een geregistreerd gezicht of je locatie kan de camera de beeldopnamen dus uitschakelen. Nu kun je via de app 'handmatig' de sluiter openen op het moment dat je van huis gaat, maar ook dat kun je op basis van geofencing regelen. Zodra je het huis verlaat, gaat de sluiter omhoog en houdt de Netatmo Binnencamera Advance alles voor je in de gaten. Uit onze praktijktests blijkt dat allemaal prettig en snel te werken.

©Wesley Akkerman

De binnencamera met het klepje dicht...

©Wesley Akkerman

...en vervolgens met het klepje open.

Veel mogelijkheden

Verder beschikt het systeem over allerlei zaken die we elders ook zien. Dat is geen kritiek, want het is alleen maar goed als er een soort basis van je persoonlijke beveiliging bestaat. De Advance beschikt over een kijkhoek van 130 graden, een 2K-resolutie en HDR-beeldkwaliteit. Daardoor film je niet alleen een groot deel van de omgeving, ook staat alles er haarscherp en kleurrijk op. Je kunt de Binnencamera Advance koppelen aan 2,4- en 5GHz-netwerken en kunt hem aan het stroomnet aansluiten via een stekker of de Power over Ethernet-kabel.

Je kunt hem op een kast neerzetten of aan de muur of het plafond bevestigen. Het product beschikt daarnaast over beam forming-technologie, waardoor mensen aan de andere kant goed verstaanbaar zijn. Dat is niet zozeer handig voor het kunnen verstaan van dieven, maar je zou een camera bij een baby of bejaarde in de kamer kunnen plaatsen en diegene kunnen verstaan of horen als er iets gebeurt. De audio klinkt goed verstaanbaar binnen de app, en aan de andere kant hebben we ook geen klachten ontvangen over de speakerkwaliteit.

©Wesley Akkerman

Meldingsmogelijkheden

Het is daarnaast de bedoeling dat de Netatmo Binnencamera Advance je zo min mogelijk stoort. De fabrikant probeert om die reden een minimum aan meldingen te versturen. Aanvankelijk viel dat nog best tegen, maar dat kwam doordat het apparaat nog niet alle gezichten in huis herkende. Toen we dat eenmaal hadden ingesteld, daalde het aantal notificaties dat we binnenkregen aanzienlijk. Daar moeten we bij vermelden dat het soms maar net aan de hoek van de camera ligt of hij je herkent of niet, maar binnen de app kun je zelf instellen wie wie is om het aantal meldingen terug te brengen.

Via de overzichtelijke en nette applicatie is het daarnaast verder mogelijk de notificaties op je voorkeuren in te stellen. Zo kun je zelf bepalen of je ook meldingen van huisdieren, onbekende gezichten of mensen in het algemeen wilt hebben. Je kunt bovendien de sluiter altijd handmatig omlaag zetten als je die meldingen zat bent. Tot slot is het mogelijk meldingen samen te voegen. Als een reeds bekend gezicht binnenkomt met een onbekend persoon, krijg je daar maar één melding van (in plaats van twee). Dat soort mogelijkheden kunnen we alleen maar waarderen.

Een andere functie die ons bevalt, is de opslag. Je slaat de beelden lokaal op, op een microSD-kaartje. Je krijgt er standaard een kaartje van 8 GB bij. Daardoor word je niet meteen op extra kosten gejaagd. Wat wel een beetje tegenvalt, is het gebrek aan een melding als je het kaartje verwijdert. Als iemand dus binnen is en die haalt de kaart eruit, dan weet je dat niet. Lijkt ons een enorme vergissing, maar ondertussen is het ook iets wat je mogelijk later kunt toevoegen als fabrikant. Daar hopen wij in elk geval op.

Netatmo Binnencamera Advance kopen?

Een gemakkelijke installatie, een overzichtelijke app en een grote nadruk op privacy: dat is wat de Netatmo Binnencamera Advance biedt. Het systeem laat weinig te wensen over als het gaat om die aspecten, evenals beeld- en audiokwaliteit. We missen wel een melding wanneer iemand de SD-kaart verwijdert en zouden een volgende keer een fysieke schakelaar voor de mechanische privacysluiter waarderen, maar dat betekent niet dat de Advance geen aanbeveling verdient. Want het product werkt heel goed, maar is wel flink aan de prijs.

Als je geen robotstofzuiger wil, maar je wil het jezelf wel gemakkelijk maken, dan kom je al snel uit op een nat-droogstofzuiger. Dat is een traditionele stofzuiger met een dweilfunctie. Omdat dit soort apparaten nog redelijk nieuw zijn, maken veel mensen dezelfde fouten.

Hoewel het technisch gezien mogelijk is een nat-droogstofzuiger op alle typen houtvloeren te gebruiken, is het toch af te raden als het gaat om onbewerkt of onafgewerkt hout. Dat komt doordat een onafgewerkte houten vloer geen beschermende afdichtingslaag heeft. Als die onbehandeld blijft, absorbeert het hout gemakkelijk water of vocht van een nat- en droogzuiger. Dat kan ervoor zorgen dat de vloer kromtrekt of na verloop van tijd zelfs splijt.

Verkeerde dingen opzuigen

Daarnaast is het belangrijk om te voorkomen dat je met een nat-droogstofzuiger dingen opzuigt waar het apparaat niet goed mee overweg kan. Denk aan grotere objecten die nog weleens op de vloer liggen, zoals hondenbrokken. Als je tegelijkertijd dweilt en stofzuigt, kan zo'n object klem komen te zitten bij de dweilkop, een filter of verderop in het systeem. Gebeurt dat regelmatig, dan is het verstandig om voortaan eerst even op te ruimen voordat je de stofzuiger aanzet.

In dezelfde lijn geldt: glasscherven of andere scherpe voorwerpen kun je beter eerst handmatig opvegen met een stoffer en blik. Ook gewone en robotstofzuigers zijn hier niet tegen bestand – de kans op schade aan interne onderdelen is groot. Vermijd bovendien altijd het opzuigen van brandbare vloeistoffen, want die kunnen bij contact met elektrische onderdelen ontbranden.

©Wesley Akkerman

Leeg de vuilwatertank regelmatig.

Tot slot nog even over het opzuigen van verf. Het kan verleidelijk zijn om verfspetters weg te halen met de dweilkop van bijvoorbeeld de Dreame H15 Pro, maar dat is echt geen goed idee. Zowel natte als droge verf kan het systeem verstoppen, waardoor vuil zich ophoopt en filters beschadigd raken. Kom je verf op de vloer tegen, pak dan liever een emmer met warm sop en een doek of spons. Daarmee voorkom je problemen én krijg je het meestal ook gewoon beter schoon.

Van modus wisselen en meer

Het is ook slim om de nat-droogstofzuiger af en toe in een andere modus te gebruiken, zodat hij altijd optimaal blijft presteren. Bij tests op de redactie gebruiken we standaard de automatische stand, waarbij het apparaat zelf de zuig- en dweilintensiteit aanpast aan de situatie. Maar schakel gerust de dweilfunctie eens uit als je alleen wat stof wilt verwijderen. Dat ontlast het systeem en kan de levensduur van het apparaat flink verlengen.

Besteed daarnaast voldoende aandacht aan het onderhoud van de verschillende onderdelen. Tijdens het gebruik zie je vaak vanzelf dat de vuilwatertank volloopt. Leeg deze regelmatig – bij voorkeur na elke schoonmaakbeurt – om te voorkomen dat de zuigkracht afneemt. Dweil je vaak, dan is dat nog belangrijker: je wilt natuurlijk voorkomen dat je bij het legen vervuild water morst.

Controleer ook regelmatig de staat van de filters. In sommige gevallen kun je dat zelfs via de app doen. Zit er te veel stof in, dan gaat dat ten koste van de zuigkracht. En tot slot: zet de nat-droogstofzuiger altijd netjes rechtop in het oplaadstation. Zo kan het systeem zichzelf opladen én onderhouden – denk aan het automatisch drogen van de borstel, wat nare geurtjes helpt voorkomen. Kleine moeite, groot effect!