Stel jezelf liever de vraag hoe je router kan worden gehacked.
Dat kan
- Direct via internet via de Wan
- Indirect via het internet via apparaten met te weinig bescherming en teveel rechten
- Via Wifi

Volgens mij zijn indirecte aanvallen het vaakst voorkomend.
in dat geval wordt een slecht beveiligd apparaat benaderd van buiten het lokale netwerk om van binnen het lokale netwerk in de router (of andere apparaten) te komen.

Als je bv een NAS gebruikt die slechts de poorten 80 en 22 gebruikt, dan dient in die NAS een firewall aanwezig te zijn die zowel al het verkeer tussen NAS en router verbiedt, alsook het toegestane verkeer beperkt tot met de computers waarmee ze bedoeld zijn te communiceren. Dus als jouw Mac een ip heeft van 192.168.0.10, en je poort 22 alleen vanaf dat systeem benadert, dan mag die poort niet via andere IPs benaderbaar zijn. Poort 80 zou je in dit geval waarschijnlijk willen beperken tot het volledige locale netwerk muv het ip van de router zodat dat ook via je mobiele devices te benaderen is.

Dat geldt ook voor je Mac, Firewall aan en alle poorten blokkeren behalve die je gebruikt. per app kun je op internet terugvinden welke poorten ze gebruiken en waaraschijnlijk heb je aan <20 open poorten meer dan genoeg.

Services deinstalleren is mijns insziens wat ongericht en zou ik niet doen. (tenzij je eerst gaat wiresharken oid, maar als je dat zou doen zou je jouw vraag niet gesteld hebben :P)

Op zich zou je dus ook al je mobiele devices moeten rooten en van firewall moeten voorzien en anders blijven zij een risico voor de rest van je netwerk. SmartTvs en andere stommiteiten kun je beter - lesje geleerd- nooit meer aansluiten.

TLDR: Stel op ieder apparaat in je lokale netwerk een firewall in die alle poorten behalve degenen die het apparaat gebruiken blokkeert.
--
Op de router geldt hetzelfde. stel daar voor ieder apparaat de regels in 'blokkeer alle poorten behalve diegenen in gebruik door dat specifieke apparaat'.
--
En als de hacker dan toch toegang tot je router heeft weten te bemachtigen, dan is de kans erg klein dat hij zonder vergaande truukjes als MiTM kloonpaginas e.d. iets met je Mac kan, want die zit potdicht.

Als deze postings ook allemaal van jou zijn.
En ik denk met grote zekerheid in te schatten dat dat zo is.


Dan heb je inmiddels een overweldigende hoeveelheid informatie gekregen en ook weerleggingen van angsten die je hebt.
Als die angsten onverminderd groot blijven omdat je opereert op het niveau van de sneeuwman (ex nsa), dan kan je beter Tails gaan gebruiken.
En als die posts allemaal van jou zijn, dan heb je Tails dus al!

Macos is een fantastisch OS en ook veilig, maar het is niet gemaakt om je volledig tegen hackende geheime diensten met software van hacking team etc te beschermen.

Maar als de nood van de angst te hoog is dan helpt Tails ook niet meer, dan zit het probleem in het koppie en is Mentrum de aangewezen plek voor softeoplossingen voor jonge mensjes.

Een nog snellere en goedkopere oplossing is stoppen met deze website bezoeken.
Die Mac van jou is op zich veilig genoeg met de normale mogelijkheden die het biedt onder de systeemvoorkeuren.

Wat Bartbartbart zegt.

Maar het begint ook bij een knappe router aanschaffen. Ik vertrouw die Chinese meuk die je veeal krijgt niet.
Frits!box zijn mooie routers voor de consument.

Maar, je weet dat je Mac al 'gehackt' is bij aankoop?

https://nsa.gov1.info/dni/prism.html

De NSA kijkt allang mee en slaat alles op in Utah.

Over punt 1 en 2
Je verkleint hiermee de speelruimte van de hacker maar het is niet waterdicht.
Punt 3, niks is potdicht...

De meeste routers/camera's en andere devices die direct aan i-net hangen worden gehacked omdat er vrij veel vulnerabilities bestaan in default firmware/software. Deze wil je dan ook altijd up2date hebben, daarnaast doe je er goed aan om de management interfaces NOOIT van extern benaderbaar te maken. Mocht je nu een router hebben van provider X waarbij dit niet kan. Laat deze dan vervangen met een eigenrouter.

TAILS draaien.
Maar dat geen geen garanties voor de internetverbindingen..

Daarom kun je beter overstappen op een Open Source besturingssysteem als Linux en je router voorzien van een Open Source firmware zoals b.v. OpenWrt.

Maar dan heb je jezelf alleen ingedekt voor thuis, je weet niet wat er verder meegelezen wordt bij je provider.

Je kunt ook gewoon denken: laat maar meekijken want dat doen ze linksom of rechtsom toch wel. Bestanden die je echt lief zijn qua privacy gewoon versleutelen op een manier dat jij de enige bent die de sleutel weet.

Waar heb jij het allemaal over?
Gaat alles wel goed met jou?

Je blijft volharden in het verspreiden van FUD over Apple met misbruik van links die niet staven van wat je aan onzin beweert.

In de eerste plaats is dit informatie van lang geleden.

In de tweede of eerste eerste plaats ging het hier om het onderscheppen van verbindingen tussen servers onderling (https://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data , bekend is in ieder geval de totale hack van Yahoo), en NIET om het hacken van complete besturingssystemen, laat staan dat verscheepte computers massaal door de NSA zijn geinfecteerd.

Bekend is uit de tijd van het NSA schandaal dat zij hardware onderweg soms onderschepte, aanpaste en weer netjes verpakte om het naar de klant te laten gaan.
Maar dan ging het onder andere om aangepaste routers of snoertjes waar extra chips aan werden toegevoegd.

Dit soort aanhoudend gedrag van valse suggestie krijgt vormen van leugenachtig getroll!

Er zitten kwetsbaarheden in routers die mogelijk niet bekend zijn. Ik gebruik de router die ik van mijn internet provider gekregen hebt. Ik heb maar drie poorten openstaan: 53, 443, 80, de rest blokkeer ik alles.
Ik heb wel op het web gelezen dat dit slim is om te doen maar dat het voor een hacker niet zoveel uitmaakt als je deze poorten hebt openstaan, want ook via poort 443 en 80 kan je gehackt worden en via port 53 kan je bijvoorbeeld getunneld worden.
Of denk je dat dit veilig genoeg is als een router gehacked is?

Definiëren massaal....
Ik heb er namelijk nog heel weinig mee gemaakt waarbij de router gehacked is, zeker door overheden of hackers. De gene die gehacked zijn, worden eigenlijk altijd door criminelen gehacked.
Als je echt een overheid hebt die je router zou hacken, dan zou ik je eerder andere adviezen geven.

Mee eens.

Overigens raad ik je ook aan om gebruik te maken van een tweede router.
Wifi zet je dan uit op de router van je provider (wifi via die router is bijna altijd 'onbeveiligd'. admin/admin, admin/leeg, etc zijn de standaard en op internet terugvindbare wachtwoorden.)

Aan die router hang je dan slechts jouw tweede router. Die router zou ik dan idd zoals hierboven al voorgesteld voorzien van OpenWRT of DDWrt (en daar moet je bij aanschaf wbt compatibiliteit op letten)
Als je tevens zorgt dat de router fisieke antennes heeft ipv ingebouwd, dan kun je toegang tot jouw wifi vanaf de straat belemmeren dmv het maken van deze directionele 'schotels':
https://rchelimenace.wordpress.com/how-to-build-your-own-windsurfer-antenna/

Zonder diverse lagen van uiterst complexe en dure maatregelen en actieve monitoring is het niet mogelijk om je thuis tegen overheden te beschermen terwijl je pc's met het internet zijn verbonden.

Als jouw netwerk interessant genoeg is voor een (vreemde) mogendheid wordt die hoe dan ook gehackt ongeacht het type router/laptop/os je gebruikt.

De kans is echter zeer reeel dat je helemaal niet interessant bent voor een overheid.

Je hebt toch ook routers van openbsd(had er vroeger 1), die zijn redelijk veilig en kan je zelf ook nog instellen hoe je firewall ingesteld dient te zijn? Weet iemand de naam van dit soort routers?
Ook kan het zelfde met iptables achtige routers, maar ik kan sorry niet op de namen van de devices komen.

Welke diverse lagen complexe maatregelen zouden volgens jou ons wel kunnen beschermen tegen overheden?
Ik vraag dit uit nieuwsgierigheid.

Om deze vraag te beantwoorden, moet je bedreigingen kennen die je in deze scenario's zou plaats vinden. Tot nu roepen mensen alleen maar wat en ook ik ken de bedreigingen niet.
Security doe je op basis van reële verdedigingsstrategie tegen een mogelijke bedreiging en niet zomaar iets doen omdat je het ergens hebt gelezen.

De beste router is een router die jezelf gebouwd hebt en waar inlichtingendiensten en andere hackers niet zomaar een kant en klare hack voor hebben zoals je waarschijnlijk dat wel hebben voor de modem/router wat je van je ISP krijgt.
Om zo'n router te configureren heb je een APU2c4 nodig wat een paar honderd euro kost. deze zet je achter de modem die je van je ISP krijgt. Je kan dan op basis van je firewall kennis of je voor een linux (iptables) of openbsd (pf) gaat.
Ik zou als je een Mac hebt het afwisselen met een linux router

In dat geval schakel je de router los. Vervolgens en zet er een kwalitatief betere router hardware op basis van open source OpenWRT of DD-WRT firmware voor in de plaats. Die schaf je zelf aan. Dat is een eerste goed begin.

Het kan dat je internet provider je het leven zuur maakt. omdat ze soms het MAC-adres en/of een te te voeren code vereisen van je [oude|nieuwe] router. Zoek dat eerst uit. Ga met ze in overleg. Dat voorkomt je tijd verdoen.

I want to buy a router which is supported?
https://openwrt.org/supported_devicesp

Wat je dan met een Mac thuis dan nog ter preventie kunt doen, is hele serie van aanvullende, gelaagde maatregelen te nemen om je veiligheid en mate van privacy aanmerkelijk te verhogen:

https://toolbox.bof.nl/overzicht/formfactor/computer/platform/mac-osx/

Kan je met een WRT router zelf de firewall regels instellen en de router zelf updaten?

Als je daarmee, naast van buiten naar binnen, ook van binnen naar buiten bedoelt, dan lopen de klokken in devices aan jouw netwerk waarschijnlijk niet op tijd, maar dat terzijde.

Naast dat je de eventuele mogelijkheid voor beheer van de router vanaf internet moet dichtzetten, raad ik aan om je aan de volgende regels te houden:
1) Laat NOOIT jouw webbrowser wachtwoorden voor jou onthouden;
2) Wijzig ALTIJD het af-fabriek ingestelde beheerwachtwoord van de router (bij voorkeur 16 karakters lang, random gegenereerd en in bijv. Keepass gezet);
3) Log ALTIJD uit als je klaar bent met het bekijken en/of wijzigen van instellingen in je router;
4) Gebruik NOOIT gelijktijdig dezelfde webbrowser voor het ingelogd zijn op jouw router en surfen op internet (bijv. zoeken naar informatie over die router, diens instellingen, firmware etc).

Redenen: veel routers (d.w.z. hun webinterfaces) zijn kwetsbaar voor CSRF (Cross Site Request Forgery, ook bekend als XSRF) aanvallen. Dit betekent dat, als je met jouw webbrowser een kwaadaardige website bezoekt, die website jouw webbrowser één or meer instellingen in die router kan laten veranderen - waarbij die router niet beter weet dan dat jij degene bent die -interactief via jouw webbrowser- genoemde wijzigingen doorvoert. Dit kan allemaal zonder dat jij hier iets van ziet.

Maar daarvoor is het wel nodig dat de aanvaller ofwel:
- het wachtwoord van de router kent (omdat het de fabrieks-default is);
- het wachtwoord eenvoudig kan raden (admin, nimda, root, toor, password, letmein etc);
- jouw webbrowser (nog) ingelogd is op de router;
- jouw webbrowser zelf, namens jou, jouw wachtwoord invult als de aanvaller wijzigingen probeert door te voeren.

Naar verluidt zijn in 2012 in Brazilië 4,5 mljoen routers "gehacked" op deze manier (de instellingen voor DNS server waren erin gewijzigd, waardoor mensen naar een look-a-like site i.p.v. hun bank werden gestuurd). Zie o.a. https://nakedsecurity.sophos.com/2012/10/01/hacked-routers-brazil-vb2012/ of Google naar router csrf brasil.

Als je je aan de bovenstaande 4 regels houdt, ben je hier niet kwetsbaar voor (er bestaan ongetwijfeld routers met webinterfaces die niet kwetsbaar zijn voor CSRF, maar better safe than sorry).

Je kan je Laptop niet verdedigen als je modem/router gehacked is.
Het plaatsen van een router achter een modem/router dat gehacked is lijkt mij niet echt de oplossing voor dit probleem.
Mensen moeten nadenken over wat ze zeggen...
De modem mag absoluut niet gehacked zijn anders is je hele netwerk onbetrouwbaar.

Vaak kun je als klant niet bij al je gegevens van je router. (zelfs al heb je hier wegens het europese recht op vrije router keuze recht op aangezien je de instellingen moet kunnen bemachtigen die noodzakelijk zijn voor het instellen van andere routers)

Veelal staat beheer op afstand aan zodat de helpdesk bij eventuele problemen in jouw router kan kijken wat er mis gaat en indien nodig iets kan aanpassen of de router resetten. De login is weliswaar niet bij de gewone burger bekend, maar als iemand met ervaring aan de andere kant van de lijn weet ik dat de login voor iedereen gelijk is.

Het hele internet bestaat uit routers achter routers achter routers die allemaal als vijandig moeten worden gezien.
Eentje meer of minder maakt dan ook niet meer uit.
De router van de provider zou ik ter aller tijde als onveilig beschouwen.

Eindelijk iemand met verstand!
Ja want je ISP moet gewoon meewerken met de AIVD als zij willen je hacken. Inzichtendiensten hacken liever ipv aftappen want ze hebben liever geen encryptie ed.

Probeer voor de grap aan je ISP te vragen of je zelf een Modem mag configureren en alleen de instellingen nodig hebt.
Ik heb het bij verschillende ISP's gevraagd bij geen 1 mocht het.

Iedereen focust zich op de firewall van het systeem, of anti-virus ed. Een goede router/modem zou je systeem zoveel veiliger maken wat veel mensen niet beseffen door hun obsessief denken over dat het beveiligen van een systeem op het systeem moet gebeuren.

Stel je voor je krijgt slimmere modems mee met een intrusion prevention systems in je modem en ze schakelen dat toegang tot de modem uit ben je stukken veiliger...

Als we daar nou eens van maken:

Hackers van overheden en andere hackers hacken massaal routers, mobiele telefoons en laptops/desktops.

Dan zijn we meteen klaar. Waarom een discussie over de een mogelijke aanval op routers als 't voor "hackers van overheden" net zo eenvoudig is om jouw macbook te hacken? Een mailtje, een link, een wifi access point dat overgenomen is - en meteen toegang tot mail, foto's: je laptop draait complexere software en bevat meer informatie. Je macbook wordt gehackt (is misschien al gehackt), niet je router. En als de overheid dermate in jou geïnteresseerd is dat ze je router hacken, dan doe jij er weinig tegen dat ze je macbook ook hacken, jennifer...

Ik had het ook nagevraagd en ik vond het ook verdacht bij KPN. Ik moet maar hopen dat dit soort verhalen niet waar zijn....

Google Macosx hardening, en kijk naar tips om je systeem optimaal te beveiligen. Naast firewall, AV en dergelijke. Inderdaad, zaken als niet gebruikte services disablen.

Hacken van je PC of MAC zal inderdaad meestal gebeuren via porten die gewoon open staan op je router (i.e. HTTP/HTTPS, wat je toe wil laten voor webverkeer, mail met malicious attachment, via toegestane mail port). Je router ziet immers niet of het verkeer over een toegestane port malicious is.

Indien je denkt dat men je router moet hacken voordat men bij je laptop komt, is wat dat betreft misplaatst. Kan het geval zijn, hoeft niet.

De kans dat je ooit doelwit wordt van een overheidshacker is vrijwel uitgesloten (tenzij je beschikt over gevoelige informatie, waar regeringen in geinteresseerd zijn). Overheids hackers breken niet op willekeurige systemen in. Begin met de vraag 'wat is een bedreiging voor mij'. En op basis van het antwoord kan je kijken tegen welke bedreigingen jij je zou moeten beveiligen.

Voor de gemiddelde burger is de kans om doelwit van staatshackers te worden 0.00% (natuurlijk zijn er mensen die niet binnen deze groep vallen, en die wel een interessant doelwit kunnen vormen).

Niet. De overheid kan met een gerechtelijk bevel richting je provider gaan, en de firmware van je router laten vervangen, zodat ze toegang hebben. Vervolgens gebruiken ze een 0day exploit om je systeem binnen te dringen, die nog niet bekend is bij de fabrikant. Of een oudere exploit, indien het systeem niet goed up to date is.

Is er echter enige reden om te veronderstellen dat staats hackers geinteresseerd zijn in jouw Mac ?

Tja, als je daar bang voor bent, zet een eigen router achter de router van de provider om je netwerk verder te beveiligen. zodat je deze in eigen beheer hebt. Vraag je wel af of het gaat om een realistisch risico, of om paranoia gedrag. In het laatste geval is het zonde van je geld.

Risico blijft verder altijd bestaan dat ook die router weer een zwakheid heeft, welke misbruikt kan worden (helemaal als je patchen van firmware niet bij houdt).

Als zij niet een gebruikersfout(klikken op dingen die je niet hoort te klikken) maakt dan kan de inlichtingendienst niet rechtstreeks haar Macbook hacken.
De meest logische stap is dan de router hacken, wat de inlichtingendienst zo kan doen want ze hebben waarschijnlijk zoveel ervan gehacked ook kunnen ze iemand anders in hetzelfde netwerk hacken met een gebruikersfout.
Daarnaast is de vraag of ze die wel eens moeten hacken want ze hebben waarschijnlijk gewoon toegang totdat de modem door de samenwerking met je provider.

@TS
Overheden hebben een zeer uitgebreide cyber defense waar miljoenen (andere landen miljarden) in is geïnvesteerd en nog worden ze gehacked.
Ze hebben cyberoplossingen die niet voor burgers beschikbaar zijn en toch worden ze gehacked.


Ze kunnen niet rechtstreeks de Macbook hacken, er zit een router tussen. Of ze moeten

En wat moet een router achter de modem dan doen volgens jou om je tegen hackers te beschermen?
Want hoe moet je zo'n router dan instellen want als je het hebt over een router die je in de winkel kant en klaar pakt is dat niet echt een bescherming te noemen....

Nu is die regeling dan ook nog vrij jong (er was tot begin dit jaar onzekerheid over of ISP modems onder eigen eindapparaten valt. Op dit moment wordt gesteld dat het onderscheid bestaat uit wie de stroom betaalt, dat doe jij, en dus is het jouw eindapparaat die je vrij moet kunnen vervangen)
https://tweakers.net/nieuws/132879/kabinet-gebruikers-moeten-in-2018-alternatief-voor-providermodem-kunnen-kiezen.html

Dus het is nu mogelijk om zelf een modem te configureren. Ik heb net mijn provider gebeld met dit verhaal en ze zeggen dat het niet mogelijk.

Ze werken met een script en daar staat het niet in en dus is het onmogelijk. Helpdesks zijn firewalls. Ze zijn niet bedoeld om je te helpen maar om te voorkomen dat de mensen die wel iets voor je kunnen betekenen worden gestoord.

Je zou ze terug kunnen bellen met de artikelnummers bij de hand die aangeven dat het sinds 2016 europees bepaald is, en dat per 2018 de nederlandse definitie van eindapparaten ook het door hen geleverde modem omvat.
Als ze dan nog niets voor je kunnen betekenen dan kun je zeggen dat je hier niet mee akkoord kunt gaan en dat zij zich aan de wet dienen te houden, dat je begrip hebt voor het feit dat een eerstelijns callcenteragent dit niet in het script heeft staan en dat je verzoekt het daarom door te escaleren naar een tweedelijns helpdesk en als ook zei niets met deze vraag kunnen, dat zei dit escaleren naar een afdeling, al dan niet juridisch, die hier wel wat mee kan.
Als je na een weekje geen terugkoppeling hebt gekregen neem je contact op met je rechtsbijstandsverzekering en laat je het door hen voor jou regelen. wet is wet.

Zowiezo de chinese Modems die je van KPN krijgt wordt door de Chinese overheid gehacked.
https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

Wie zegt dat je alleen maar met gebruikersinteractie kunt hacken ?
En wie zegt dat met de consumenten router als tussenstap hacken dan de volgende of enige mogelijke volgende stap is ?

Als we toch super elite hackers poneren - ze hebben al Apple gehacked, en pushen een custom update alleen naar jou toe.
Ze hebben een van je andere applicatie leveranciers gehacked, en pushen een malware versie naar jou toe.
Ze hebben één van je bezochte sites gehacked, en serveren de malware naar jou.

Ze leiden een deel van het internet verkeer om , en inserten de malware naar jou in de omgeleide datastroom.
(aangezien het elite hackers zijn - natuurlijk is het onmerkbaar openen van SSL sessies geen probleem)

Ze staan in de buurt met een PiHole en overstralen je eigen wifi netwerk.

Ze breken fysiek in je huis en modificeren je compu (en/of je router).

[..]

Zie boven - met wat aannames kun je prima hacken. Overigens, vertel trouwens eens HOE je een macbook zou hacken als je dat aan een 'kwaadaardig' netwerk hangt ?
Of ga je dan ook uit van gebruikersinteractie (warnings negeren, installeren ) ?

"Het moment dat de nieuwe beleidsregel van kracht is, is echter uitgesteld. Dat komt doordat het ministerie van Economische Zaken en Klimaat nog werkt aan een definitieve versie van de regel, zodat er geen uiteenlopende interpretaties meer mogelijk zijn. Dat was eerder wel het geval, waardoor sommige providers dwarslagen. Daar zal, met de definitieve versie, verandering in moeten komen."

Ik was wat voorbarig zie ik.

Bij veel providers is dat gewoon mogelijk - dwz, een eigen modem/router aansluiten en werkend maken.
Genoeg voorbeelden van mensen die dat werkend hebben bij diverse providers.

De helpdesk gaat je alleen niet helpen om dat voor jouw router uit te zoeken.

Jij vraagt hoe je iemand kan hacken nadat je volledig controle hebt over de netwerk laag en deels over de transport laag.
Je geeft advies aan mensen die nergens opslaan.

Antwoord:
MITM, MITS.

Dat is geen antwoord knul.

Als je niet alleen de letters MITM/MITS kende maar ook het concept snapte, had je gezien dat ik al een MITM /MITS beschreef (met heel ruime aannames) in de stukken die je te snel hebt weggeknipt.

Maar doe nog eens een poging : omschrijf eens precies hoe JIJ een malicious router zou inrichten zodat je een aangesloten mac overneemt . Wat neem als je randvoorwaarden , en wat heb je nodig aan software en 'nodig' van de gebruiker van die mac qua gedrag/software om 'm te hacken ?

Waarom niet direct gebruik maken van de 0-day exploits van het OS of geinstalleerde Apps met netwerk toegang?
*Wat is 'MITS'?

Man on the side:
https://en.wikipedia.org/wiki/Man-on-the-side_attack
Kan potentieel extreem gevaarlijk zijn als je de router onder controle hebt...
Een zeroday kan ook ingezet worden maar dat zijn hele dure aanvallen die de inlichtingendiensten niet zomaar kwijt willen. Een MITM en MITS zijn goedkopen en makkelijke hacks om burgers ermee te hacken.
Ik denk niet dat inlichtingendiensten een Zero days zomaar op burgers gaat uitproberen, of het moet zeer zeker er van zijn dat de detectie graad zeer laag is.

Ah.. MITS - goede oude campustijd! :) Dat ken ik dan wel, maar heet het dan geen MOTS?
ZeroDay kan juist erg goedkoop zijn. OS updates zijn bv vanaf de eerste dag in updatelogs gedocumenteerd terwijl op dat moment slechts nog maar een fractie hun OS heeft geupdate. De kans dat het doelwit in die eerste X% procent zit is klein, dus OS 0-days zijn periodiek toepasbaar met een beetje timing en geduld. Met je MI(O?)TS toegang stel je de geinstalleerde apps vast en ook daarvan raadpleeg je de updatelogs en vindt zo de 0-days. oftewel. 0-days zijn in eerste instantie de snelst en voordeligste optie. Met MITM ben je afhankelijk van userinput en dat staat gelijk aan de regie uit handen geven, dat wil je niet, maar als uitgeworpen dobber in de tussentijd is het natuurlijk nooit verkeerd.

Als heb je een eigen modem, hoe wou je dat dan gaan beveiligen?

Ik denk dat weinig mensen hier een goede modem kunnen instaleren vanaf scratch. Beter kopen jullie een betrouwbare modem of laten jullie gewoon je modem zoals deze is want als je het slecht doet wordt je niet door de overheid gehacked maar een amateur hacker

Indien je router is gehacked, moet je gewoon aannemen dat je computer erachter ook gehacked is.
Je moet de beveiligingsmodel van besturingssysteem kennen.
De meeste operatingsysstems gaan ervan uit dat je zeer waarschijnlijk via de mail of webbrowser wordt gehacked en Apple heeft geen enkele vorm van verdediging tegen een zero-day aanval dat zich over jouw netwerk zou verspreiden.

Ik denk dat inderdaad als je geen verstand van dingen hebt, niet bezig moet houden met zelfstandig configureren van een modem.
De meeste mensen zullen niet instaat zijn een firewall te configureren dat enkel poorten toestaat of blokkeert.