Bitcoin Forum

Для дома роутер будет куплен в магазине.

Безопастность - роутер

Тема - огонь!
Принимаем к сведению.

2 вопроса к знатокам в продолжение этой темы:
1) Если у меня инет тычется непосредственно проводом в системник - это гарантирует 100% (ну ладно, 99,9%) безопасность моего интернет-подключения?
2) Подключение через раздачу мобильного инета безопаснее подобного роутера или ломается еще легче (при условии сложного пароля, естественно)?

А почему не написал где галочку ставить, на IP4 или IP6?))
Всегда надо ставить автовыбор и не городить что попало, уже давно прошли времена, когда в настройках адаптера определённый IP и DNS прописывались.

Лучше бы замутили мануал с картинками, как на примере того же Eltex хотя бы проверить все настройки, поменять то, что можно поменять, ибо там не по-русски всё.
А можно так замутить с настройками, что Интернета уже вообще не будет...не в том окне, в роутере, не то значение поставить и пысец и забыть потом.

А так, эта тема не про безопасность, а лажа какая-то....

отключение кабеля WAN...хоть бы картинку или расписать, тот, кто не шарит даже не поймёт что это и где отключать.
обновление firmware....вот я ламер и не понимаю что это и как делать....

Надо более творчески подходить к таким вещам.

у каждого роутера свои настройки и прошиваться может по разному. всё легко гуглится на нужную вам модель

А почему не написал где галочку ставить, на IP4 или IP6?))
Всегда надо ставить автовыбор и не городить что попало, уже давно прошли времена, когда в настройках адаптера определённый IP и DNS прописывались.

Лучше бы замутили мануал с картинками, как на примере того же Eltex хотя бы проверить все настройки, поменять то, что можно поменять, ибо там не по-русски всё.
А можно так замутить с настройками, что Интернета уже вообще не будет...не в том окне, в роутере, не то значение поставить и пысец и забыть потом.

А так, эта тема не про безопасность, а лажа какая-то....

отключение кабеля WAN...хоть бы картинку или расписать, тот, кто не шарит даже не поймёт что это и где отключать.
обновление firmware....вот я ламер и не понимаю что это и как делать....

Надо более творчески подходить к таким вещам.

Если у человека с вышеуказанными моментами возникают затруднения и он самостоятельно не может разобраться, то ему и объяснять бесполезно. Лучший вариант в этом случае не заниматься ничем в Интернете. А вообще и в реальной жизни с такого толку не будет, всё за счёт родителей будет получаться.

некоторые провайдеры интернета прописывают свои настройки DNS и IP. на автомате работать не будет.

по настройкам и прошивке роутера творчество тут не к чему. у каждого роутера свои настройки и прошиваться может по разному. всё легко гуглится на нужную вам модель.

[...]
по настройкам и прошивке роутера творчество тут не к чему. у каждого роутера свои настройки и прошиваться может по разному. всё легко гуглится на нужную вам модель.

Живу в общежитии, мой сосед так же как и я начал заниматься заработкам с помощью баунти, соответственно сидим мы с одного роутера но с разных ПК, не будет ли это считаться то что мы не добросовестные и пытаемся "обмануть" систему, и не забанят ли нас за это?

Что за жизнь пошла. Раньше рад был что вайфай везде появился, сейчас в кафешках и вокзалах лучше не пользоваться

Точно подмечено! Халявный вай фай для лохов ;D

III. Нужно понимать, что ломать именно Ваш роутер с целью украсть у Вас что-то будут только по наводке, либо школьник-сосед из спортивного интереса. Ваш роутер находится еще за кучей железок провайдера, которые тоже нужно обойти. Муторное это дело, да и выгода сомнительна. (Но это не значит, что можно забыть на безопасность).

Я понимаю, что всего в этой жизни знать нельзя, поэтому у некоторых людей знания в этой области могут быть ограничены. Для таких людей окажу безвозмездную посильную консультативную помощь в этом топике. Задавайте вопросы  ;)

Основано на реальной истории.

Для тех, кому лень много читать сразу напишу, что в основном необходимо следить за двумя вещами в роутере, через который подключаетесь к Интернету:

• в настройке DNS не должно стоять левой херни;
• должно быть обеспечено, чтобы никто не мог прописать херню в настройке DNS.

Если вы прощёлкаете этот момент, то в лучшем случае посторонние хакеры будут знать, по каким сайтам ходите. В худшем вас отправят на фишинговый сайт со всеми вытекающими последствиями.

Теперь моя история.

Недавно сменил место жительства и на новом месте подключал Интернет. На старом был АДСЛ, на новом оптика 100 Мб/с. Поэтому своего роутера не было для нового места. Старый роутер имел заводские настройки по умолчанию защищёные, т. е. подключиться к нему после первого включения можно было только по LAN-порту.

Итак пришёл ко мне специалист от провайдера, с роутером (в кредит). Начал подключать и не краснея при мне меняет настройку DNS с auto на manual. Ну я немного удивился. Дальше я ещё сильнее удивился, когда он не краснея при мне прописал адрес сервера DNS 150.254.124.26. Просто я как бы ни разу такой айпишник в своём городе не видел. Странные какие-то у провайдера настройки, подумал я. Немного освобожусь - почитаю инструкцию, надо будет разобраться. А пока пусть всё так останется, ничего не буду трогать, он же с заводскими настройками - значит защищённый.

Дальше, в течение занятий в Интернете криптовалютными делами заметил несколько странностей, в первые дни при мне в разгар деятельности "сам" перегрузился роутер. Подумал (ну и мудак я!), что он не выдержал моего напора серфингового. Через 2 недели по непонятной причине пару раз сбросилась сессия на бирже, что обычно происходило, когда я на неё с другого компьютера заходил. (До сих  вспоминаю, что к счастью незадолго до этого всё вывел с неё на локальный кошелёк). Ну я зашёл в роутер, вроде всё нормально, на всякий случай поставил пароль на админа.

Ещё через 2 недели, т. е. через месяц после подключения, за меня плотно взялись. Все биржи либо не прогружались, либо стали выдавать сообщения типа "сайт выдаёт за того, кем не является" и т. п. При подключении через VPN всё было ОК и я сразу понял, что лоханулся, не начав разобираться сразу с роутером. После смены DNS с мануал на авто всё заработало. Бросил все дела и занялся настройками.

В процессе разбора выяснилось, что всё грустно. Мало того, что ко мне пришёл левый мутный тянутель проводов, но и роутер представлял из себя одну сплошную грязную дырищу:

• заводские настройки таковы, что любой без пароля может подключиться по LAN, Wi-Fi и WAN и менять настройки как угодно (при сохранении потребуется перезагрузка роутера - см. я выше написал, как он при мне "сам" перегружался)
• краткая инструкция на листочке из коробки ничего про дырень не предупреждала
• встроенный в роутере хелп на английском к каждой настройке полезен, но про дырку тоже ничего

Вобщем пришлось разбираться путём "научного тыка", экпериментально и установил всю дырявость изделия и абсурдность заводских настроек. Так что имейте в виду, что такое тоже бывает и не расслабляйтесь.

Что в таком случае делать - решайте сами. Напишу, что сделал я, без претензии на идеал, в хронологическом порядке, с частыми сохранениями-перезагрузками роутера (так через жопу он сохраняет):

• отключение кабеля WAN
• сброс настроек на заводские и сразу же запароливание админа и юзера со сменой имён на другие
• отключить Wi-Fi
• настройка подключения Интернету, подключение кабеля WAN, скачивание последней версии прошивки, отключение кабеля WAN (!), обновление firmware. Кстати, обновление прошивки не сбрасывает настройки на заводские, что не есть правильно на мой взгляд.
• сброс настроек на заводские, сразу запаролить админа и юзера, для надёжности со сменой имён
• запаролить Wi-Fi
• настроить Интернет
• подключить кабель WAN
• с роутером всё, теперь идти менять пароли на сайтах

И на будущее если буду когда-нибудь где-нибудь подключать Интернет, то специалист по подключению придёт, подключит провода, проверит, что всё работает и удалится вместе со своим роутером. Для дома роутер будет куплен в магазине.

Спасибо за внимание, берегите себя от уродов.

Я бы ещё советовал отключать WPS, ибо через него роутер брутится часов за пять.

Да уж ... очень странная история. Тема безопасности работы в инете всегда актуальна на всех этапах подключения от устройства на стороне пользователя , до конечного ресурса.Данная история с техническими рекомендациями окажется кому-то полезной.
Кстати , автор темы не пробовал звонить провайдеру для выяснения ? ведь , возможно , виноват не сам провайдер , а всего лишь один из их сотрудников занимается "темными делишками" ? Заявка на подключение была дана конкретному провайдеру и , думаю , они должны знать кого отправили " на дело " , не мог же прийти какой-то бомж с улицы.

Основано на реальной истории.

в первые дни при мне в разгар деятельности "сам" перегрузился роутер.

Роутер пробовали через бесперебойник подключать? (Свет моргнул - глазу не заметно).

Он потом нашел причину. Она была в том что третьи лица вносили изменения в настройки и применяли их (они только после ребута вступали в силу)


DarkNightRider а я что-то пропустил - в результате какие-то потери были, кроме времени на расчистку этой Авгиевой конюшни?

Ушла налево информация о том, по каким сайтам я хожу, а также названия расшаренных папок LAN. Возможно был доступ по Wi-Fi к содержимому расшареных папок LAN, на тот момент в них ничего ценного не было, кроме личных фотографий в стиле ню шутка.

Ну относительно малой кровью. Потери только во времени.

Наверняка немало есть работников по такой схеме. Насколько мне известно, в Москве реально много кто просто "да я %имя_провайдера% купил - мне роутер поставили - все ок". Еще раз спасибо что поделились.

Благодаря дополнительным рубежам защиты, встроенным в современные браузеры и лицензионную Windows 10. Будь я на ХР - уделали бы по максимуму. Ну и конечно же это были не профессионалы. Так, техники по протягиванию пыльных проводов, гадящие людям при случае.

Ну относительно малой кровью. Потери только во времени.

Наверняка немало есть работников по такой схеме. Насколько мне известно, в Москве реально много кто просто "да я %имя_провайдера% купил - мне роутер поставили - все ок". Еще раз спасибо что поделились.

Я конечно не специалист по сетям, но значение DNS на мой взгляд сильно преувеличено... браузеры сильно поумнели и заботятся о безопасности пользователя. Они просто откажутся загружать сайт по HTTPS у которого сертификат не соответсвует доменному имени...

Я конечно не специалист по сетям, но значение DNS на мой взгляд сильно преувеличено. Сейчас в реальности украсть инфу таким образом довольно сложно и то, что автор темы фактически ничего не потерял это подтверждает.

Причина этого в том, что сейчас практически везде используется протокол HTTPS, а браузеры сильно поумнели и заботятся о безопасности пользователя. Они просто откажутся загружать сайт по HTTPS у которого сертификат не соответсвует доменному имени. Поэтому хакерам придется заодно каким-то образом добавить на свой фейковый сайт правильный сертификат, только где они его возьмут? Поэтому тема с подменой DNS фактически больше не работает, вернее работает только для HTTP и/или древних версий браузеров и некоторых труднореализуемых частных случаев.

Можно конечно сделать так, что браузер будет доверять левому сертификату, но для этого придется сначала получить доступ к этому компьютеру. По этой причине всем стоит трижды подумать, прежде чем пользоваться компьютерами на работе для доступа к кошелькам, биржам, банка и т.д.
Если я не прав, то объясните каким образом подмена сейчас может сработать.

Если я не прав, то объясните каким образом подмена сейчас может сработать

Хакеры могут увидеть, по каким ссылкам ходите и ничего хорошего в этом нет.

Что картины вообще, то кроме ДНС просто доступ к настройкам роутера с целью дальнейшего проникновения в домашнюю локальную сеть со стороны через Wi-Fi может быть очень опасен.

Но тем не менее довольно неприятно, когда провайдер, точнее его фиксик с роутером приходит в твой дом и втупую пытается слямзить важную информацию. В любом случае нужно следить за этим и тут же присекать подобные действия, а лучше не молчать а сразу же вопрошать, что за дичь вы мне тут прописываете в DNS... Ну и как минимум понаблюдать за реакцией пойманного на горячем "хакера".

Нате Вам полезную темку с биткойнтолка (https://bitcointalk.org/index.php?topic=456716.0;all). И еще статейку (https://habrahabr.ru/post/320700/) из недавного. Википедию по запросу "DNS-hijacking" тоже можно почитать.

Ну увидят ресурсы мной посещаемые, неприятно но не кретично. Каким образом подмена DNS открывает доступ к настройкам роутера?
Для взлома моего Wi-Fi хакеру придется приехать на адрес моего места жительства, не много сложновато ехать куда-то ради неизвестно чего. Не находите? Я кстати Wi-Fi не использую, у меня провод.

нужно иметь доступ к атакуемому компьютеру

Таким образом подмена DNS является только одним из необходимых компонентов атаки, чтобы успешно заманить пользователя на фишинговый сайт

К сожалению, есть вещь пострашнее подмены DNS: https://xakep.ru/2015/04/07/195-routers/

Новые уязвимости в роутерах находятся постоянно, и какими-то из них успевают воспользоваться еще до того, как выйдет исправление. Все, что может сделать владелец маршрутизатора, — это отключить лишние сервисы, сменить дефолтные параметры, ограничить удаленное управление, почаще проверять настройки и обновлять прошивку.

Хорошая статья. Сервис, на который там отправляют (grc.com) тоже годный - всё в закладках теперь.

Быстрые извлечения из статьи на Хакере:
1. Отключите UPnP - сделаете себе дополнительный защитный барьерчик.
2. Цитата последнего, резюмирующего абзаца:

Так и напрашивается обзор роутеров и прошивок теперь :)

К сожалению, есть вещь пострашнее подмены DNS: https://xakep.ru/2015/04/07/195-routers/

Зачем сразу фишинговый сайт? Подмененный DNS-сервер может тупо собирать информацию, поступающую с компьютера пользователя (или "закачивать" на него что-то) - и никак не "светиться". Если взламывают роутер, получают доступ к его настройкам - а это не только прописывание "левых" DNS.

Основано на реальной истории.

Для тех, кому лень много читать сразу напишу, что в основном необходимо следить за двумя вещами в роутере, через который подключаетесь к Интернету:

• в настройке DNS не должно стоять левой херни;
• должно быть обеспечено, чтобы никто не мог прописать херню в настройке DNS.

...

Я говорю о том, что подмена DNS не ведет к взлому роутера, это не связанные между собой события

В современные роутеры имеют функцию автообновления.

А отключать да, надо всё, что можно.

Для повернутых на безопасности есть способ обойтись совсем без DNS. Способ довольно неудобный и подходит только для ограниченного списка важных сайтов типа MEW, биржи, банки и т.д. Открываем в windows файл hosts и для нужного домена прописываем его ip. Теперь при открытия данного сайта не будет делаться запрос к DNS-серверу, а сразу откроется указанный ip-адрес. В качестве бонуса вы получите чуточку более быструю загрузку.
Сложность в том, что у крупных популярных сайтов обычно множество ip-адресов, а в hosts можно прописать только один. Даже если у сайта только один ip, он может со временем измениться. Поэтому если сайт не загрузится, придется выяснять актуальные ip для этого домена и снова править hosts файл.

Кастомную прошивку рассмотреть?
В свое время много перелопатил про роутер Асус WL-500 и его модификации. Вот он, по крайней мере с моим не самым широким опытом, выглядит весьма внушающе. И может претендовать на роль надежного гейтвея.

В современные роутеры имеют функцию автообновления.

А отключать да, надо всё, что можно.

Можете разъяснить почему Др.Веб постоянно на этот файл ругается?
А способ занятный. Реально для тех у кого куча бабла и паранойи.

Спасибо что поделились. Меры приняты.

Интересно вот что: как именно к Вам попал "левый" монтер? Как я понял вы разговаривали с провайдером, у провайдера имя все-таки есть и интерес сохранить имидж. А тут такое вероломство. Это личная инициатива пришедшего, или уже появились "фишинговые" номера телефонов  :o

Так или иначе очень ценный опыт, как я понял материального ущерба Вы не понесли - это радует.

Антивирусы не должны ругаться на этот файл, там нет ничего опасного. Другое дело, что всякие вирусы частенько используют его для своих черных дел, модифицируя его или подменяя своим.
Раз у вас Др. Веб ругается, я бы на вашем месте напрягся. Посмотрите внимательно, файл должен называться hosts и ни как иначе, не иметь расширения типа .txt или любого другого. Находиться должен в папке C:\Windows\System32\drivers\etc
Что именно пишет антивирус? Покажите содержимое файла, в нем нет ни секретного, так что ни бойтесь.

Если заморочиться, можно пойти еще дальше и сделать какой-нибудь скрипт, который будет периодически проверять актуальность данных и в случае необходимости вносить изменения в hosts файл.

В современных много вкусных фишек для безопасности. Есть функционал сегментации сети, если неймётся телефон через WiFi гонять в Инет.

Почему сами производители не предусматривают определенную защиту для роутеров? Из коробки. Все привыкли, что с любого гаджета входить в сеть без хоть какого-нибудь ативируса  не рекомендуется. А про роутеры забывают.

Производители не в состоянии предусмотреть всех уязвимостей. Поэтому выходят новые прошивки к существующим продуктам. Но ведь роутер сам себя не прошьёт, пока лежит на полке в магазине, верно?

Мне кажется вопрос был про антивирус для роутера, а не уязвимость прошивок. Антивирус не делают, просто потому что они не нужны. Роутер это не компьютер за которым сидит пользователь под администратором и ставит кучу всяких левых программ, отключает элементы защиты для своего удобства и делает много других вещей облегчающих жизнь злоумышленникам.

Он работает под линуксом, заточен под управление трафиком и вполне надежен, если только из-за разгильдяйства  пользователя или уязвимости в прошивке, хакер не получит доступ к его управлению. 
Конечно есть варианты установки разных скриптов и программ на роутер самим пользователем и превращения его в мини-сервер, но это уже немного другая история.

...
Для тех, кому лень много читать сразу напишу, что в основном необходимо следить за двумя вещами в роутере, через который подключаетесь к Интернету:

• в настройке DNS не должно стоять левой херни;
• должно быть обеспечено, чтобы никто не мог прописать херню в настройке DNS.

Если вы прощёлкаете этот момент, то в лучшем случае посторонние какеры будут знать, по каким сайтам ходите. В худшем вас отправят на фишинговый сайт со всеми вытекающими последствиями.
...

Офигеть! Реалии из сериала Мистер Робот всё ближе и ближе.
Про роутер, купленный в магазине, я усёк. Буду иметь ввиду.

Вопрос: что безопаснее, выходить в интернет через волокно, или через 4G-модем?

А какая в сущности разница как пользователи подключены к мощностям провайдера? Пока вроде о перехвате траффика по радио ничего не известно.

Или Вы что-то иное имели в виду? Обрисуйте схему, может я Вас неправильно понял.

Ну согласитесь, если неизвестно, это не означает, что этого не существует. С Калилинуксом тоже дел можно наворотить.  Да и есть куча интересного оборудования... Короче, нужно быть очень внимательным, а проо общественный вайфай забыть

А какая в сущности разница как пользователи подключены к мощностям провайдера? Пока вроде о перехвате траффика по радио ничего не известно.

Или Вы что-то иное имели в виду? Обрисуйте схему, может я Вас неправильно понял.

На комп устанавливают, хотя бы бесплатный. А вот про другие гаджеты, участвующие в передаче информации забывают

По поводу перехвата по радио, в общественных сетях (WI-FI) перехватывается на ура,если у кого то на ПК в вашей подсети будет скан бот хакеру перехватить ваш трафик не составит труда, а там до паролей недалеко.

Если на то уже и пошло то лучше использовать например роутер микротик с выведением рабочей машины в отдельный влан и жесткой привязкой к внешнему днс - как вариант гугла. Дополнительно настроить доступ в файрволе только к рабочим сайтам,все остальные запретить.

Описанный Вами сценарий вполне возможен, однако речь же шла о перехвате несколько иного радио, нежели Wi-Fi. Речь же шла о 4G модеме. Да, ясно что и модем и вайфай адаптер имеют радио антенны, которые работают на своих частотах. В случае описанном Вами перехват осуществляется на высоком уровне, а не на низком, как я имел в виду. А про такие я не слыхивал, хотя наверняка технически это возможно.

Для рабочей машины неплохой вариант, при условии что она никуда не перемещается.

можно все данные хранить на дедике,удаленном пк.

чтоб пользователь видел свой IP в профиле

IP можно подменить (хотя для многих взломщиков это уже что-то за гранью фантастики, конечно).
Впрочем, "не панацея" - не значит "плохая идея". На многих сервисах (включая почтовые) сейчас ведут логи сессий, позволяющие видеть IP и устройства, с которых заходят на аккаунт. Google тот же крик поднимает с рассылкой писем на вспомогательные адреса, если вдруг IP не тот, а Facebook может и вовсе заблокировать учетку. Но с такими предложениями лучше обращаться напрямую к англоязычной администрации.

IP можно подменить (хотя для многих взломщиков это уже что-то за гранью фантастики, конечно).
Впрочем, "не панацея" - не значит "плохая идея". На многих сервисах (включая почтовые) сейчас ведут логи сессий, позволяющие видеть IP и устройства, с которых заходят на аккаунт. Google тот же крик поднимает с рассылкой писем на вспомогательные адреса, если вдруг IP не тот, а Facebook может и вовсе заблокировать учетку. Но с такими предложениями лучше обращаться напрямую к англоязычной администрации.

Никогда не думала, что роутер может создать проблемы. Теперь задумалась, так ли необходим мне роутер, ведь сама я вряд ли разберусь в его настройках, А безопасность необходима.

Для этих целей обычно используются SOCKS целевого региона и ОС на виртуалке c настройками целевой системы.
Ничего фантастического.

Ничего фантастического

Кстати, за ОС на виртуалке и ходить далеко не надо, тут многие их на компах используют. И если вогнать трояна туда, то нужно только подождать, когда её запустят.

А вот если безрезультатно в итоге вся эта возня - то должно быть обидно (https://bitcointalk.org/index.php?topic=3077537.msg38284062#msg38284062) :)

Ключевые слова в той фразе - "для многих взломщиков". В том смысле, что многие взломщики сейчас таковы, что для них это за гранью фантастики.

Подобных деятели не взломщики - это дети, скачавшие базу емэйлов с какой - нибудь мутной раздачи. Если целенаправленно будут ломать именно вас, то на последних, не самых сложных этапах(соксы, виртуалка) очень маловероятно, что взломщик допустит ошибку

Добавлю.
В большинстве роутеров возможность его перенастроить можно привязать к маку основного ПК, т.е ПК или ус-во с отличающимся мак адресом просто не сможет даже увидеть вэб интерфейс.
Настойка находится во вкладке безопасность - локальное управление, по умолчанию установлено для всех устройств в локальной сети.Перенастройте с указанием мак адреса вашего ПК.
Так же некоторые роутеры можно настроить при помощи Telnet - отключите данную настройку в настройках базовой защиты.

Спасибо, Капитан. Речь как раз о детях и идет: начитался соответствующих публичных ресурсов, поставил Kali, поймал новость о новом эксплойте из какого-нибудь эксплойтосборника - и побежал проверять. Такие часто даже не имеют цели что-то украсть - так, поиграться и потроллить. И до того, как они начнут ломать целенаправленно и грамотно заметать следы, может пройти немало времени (вполне возможно, что им это надоест гораздо раньше - или их поймают и отобъют всякую охоту).

...поставил Kali, поймал новость о новом эксплойте из какого-нибудь эксплойтосборника - и побежал проверять...

...или их поймают и отобъют всякую охоту).

Если кому то будет интересно:
Опробован еще один вариант обезопасить себя.
Создаем виртуальную машину в Hyper-V  [...]

По-моему весьма элегантное решение, к тому же проверенное. Много ли неудобств при работе таким образом?

если создать загрузочную флэшку [...] и выложить на форум

В смысле образ для записи на флешку? Сомнения у меня, что его будут качать, ведь для этого Вам надо стопроцентно доверять.
А вот если сделать подробную инструкцию по созданию такой флешки с шифрованием - это будет другое дело.

Как говорят мысль посетила - а если создать загрузочную флэшку с вин или линукс (своего рода LiveUSB только для баунтистов)
[...]

Да уж, все гениальное-просто. Если бы я уже не запилил себе отдельный ноут, то точно бы занялся подобной сборкой. Хотя второй ноут может надоесть таскать и тогда придет час.

Так или иначе спасибо Вам kreims за полезные посты в этой теме. Примите поздравление по поводу вашего скорого посвящения в Мемберы, рад что смог Вам в этом помочь  :)

...
Думаю все слышали про вирусы Spectre и Meltdown которые позволяют выполнить произвольный код на вашем ПК и привести к краху системы (в некоторых случаях вывести из строя железо)...

Вроде они позволяют только читать, что не положено. "выполнить произвольный код на вашем ПК и привести к краху системы (в некоторых случаях вывести из строя железо)" - это что-то новое. Можно пруфы?

Думаю все слышали про вирусы Spectre и Meltdown которые позволяют прочитать данные из системной памяти ПК.

Если подтвердится, включите обновление ОС и обновляйте до тех пор пока  система не напишет что обновлений больше нет.

Дополнительно можно проверить доступность вашего пк извне ресурсом https://2ip.ru/port-scaner/

Уязвимость в процесоре, обновлять желательно помимо биос и микрокод процессора
Подробнее https://3dnews.ru/965967

Нет при обновлении BIOS вы обновляете поддержку и стабильность материнской платы.
Если быть более точным то когда вы скачиваете файл обновления bios то производитель материнской платы указывает что он добавил или что исправил (напр. для h61 чипсетов intel когда вышли процессоры ivy bridge).
Опять же биос обновляется либо встроенной утилитой либо доп. программой работающей из под Windows или Dos (не без известный afudos)
Микрокод процессора можно обновить только из под линукс - пример i7 3770 https://downloadcenter.intel.com/download/27776/Linux-Processor-Microcode-Data-File?product=65719  

Новый вариант микрокода будет доступен в большинстве случаев через выпуск OEM-производителями новых прошивок материнских плат и ноутбуков.

Выпущенные Intel обновления микрокода против Spectre в ближайшие дни и недели начнут выходить в виде свежих прошивок BIOS для различных материнских плат.

Intel уже выпустила обновления микрокода,вполне возможно что будет возможность обновления вместе с bios мат.платы, но почему то слабо в это верится.
Т.к перебрать несколько версий процессоров во время обновления довольно таки непростая задача учитывая количество поколений (представьте до какого размера разрастется обнова бивиса).
А вот обезопасить себя самостоятельно я считаю будет не лишним.

Роутер таки не нормальный. Контрольные суммы файла прошивки на роутере и на сайте производителя отличаются, хотя должны быть одинаковы:

https://www.virustotal.com/#/file/8b536a5d26be21d472038a7e2e6992e5d817d1d40fe65209e0db5a1953a86dbf/detection

https://www.virustotal.com/#/file/dd8adb9c2811c3405ec81649d36c110058168deb02c0e020e01bc125418ef57e/detection

То то я вспомнил, что одно время он автообновляться никак не хотел, хотя новая версия была.

В современные роутеры имеют функцию автообновления.

Ну увидят ресурсы мной посещаемые, неприятно но не кретично. Каким образом подмена DNS открывает доступ к настройкам роутера?
Для взлома моего Wi-Fi хакеру придется приехать на адрес моего места жительства, не много сложновато ехать куда-то ради неизвестно чего. Не находите? Я кстати Wi-Fi не использую, у меня провод.

Можете разъяснить почему Др.Веб постоянно на этот файл ругается?
А способ занятный. Реально для тех у кого куча бабла и паранойи.

Тут точной информации никто не предоставит

А что насчет перспективы сделать собственный роутер (https://alexmdv.ru/svoj-zashhishhennyj-domashnij-router)? Не пробовали?
По настраиваемости-то вариант, пожалуй, даже Микротику не переплюнуть. Самое то должно быть для совсем уж параноиков.

При покупке в магазине смотреть, чтобы коробка была запечатанной, без следов вскрытия.

«Главной целью здесь являются не таргетированные атаки. Это попытка выгодно использовать уже проверенные и готовые к работе эксплоиты, закидывание большой сети в сравнительно маленький водоем, в надежде, что удастся собрать пул из ранее недоступных девайсов»

...Исследователи пишут, что преступники эксплуатируют технику UPnProxy...

Когда-то у меня был роутер, в инструкции к которому прямо было написано, что службу Universal Plug and Play (UPnP) в роутере следует отключить (если точнее не включать, в том роутере она по умолчанию была выключена с завода), т. к. стандарт сырой, дырявый и ненужный. Поэтому смело выключайте, разницы никакой и безопасней без неё.

Эта уязвимость уже давно известна - проблема заключается в том что большинство пользователей использует одинаковый пароль для входа на роутер и беспроводную сеть. Путем нехитрых манипуляций днс можно менять пачками.

уже был случай подмены днс серверов у гугла, когда пользователи отправлялись на фишингувую страницу MEWa. подмену заметили буквально через пару часов - но многим хватило этого для облегчения кошельков.

В общем-то нужно покупать только роутеры нормальных брендов, tp link например (у нас в городе только такие и есть), но не с Китая. Ну и перепрошить потом.

...
Зато китайская компания...

А, что там за паника по поводу вирусов-майнеров на роутерах для скрытой добычи криптовалют (https://forklog.com/interpol-vyyavil-bolee-20-tysyach-routerov-zarazhennyh-majnerami-kriptovalyut)? Интерпол бьет тревогу, настоящая эпидемия в Азии.