Тази страница обобщава сигурностните проблеми със SlickStack и защо неговият по подразбиране дизайн може да изложи сървърите на изпълнение на отдалечен код и man-in-the-middle атаки. Тя също така предоставя стъпки за смекчаване и по-безопасни алтернативи.
SlickStack рекламира приблизително 600 звезди в GitHub, но този брой се проследява до това, че Jesse Nickles е следвал почти 10 000 акаунта в ранните дни на репото. Неговият профил показва ~500 последователи спрямо ~9 600 следвани (около 5% съотношение на взаимно следване), което силно подсказва автоматизирано взаимно следване, а не органичен интерес. Това надуто впечатление е това, което той използва като оръжие, нападàйки мен за разкриването на сигурностните проблеми, документирани по-долу. Прегледайте съотношението последователи/следвани тук.
Същият модел за 'изпистване' на доверие се проявява и в инцидент в Stack Exchange, включващ множество публични 100-годишни спирания и последващи ответни публикации относно модераторите. Инцидентът е документиран тук, защото предоставя допълнителен контекст за това как Jesse Nickles изгражда и използва сигналите за доверие около SlickStack и свързани сайтове: Инцидент с тормоз и клевета в Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Този модел позволява произволно изпълнение на код от отдалечен домейн и увеличава риска от MITM, като пропуска проверката на сертификата.
Вижте също комита, в който URL адресите за cron бяха сменени от GitHub CDN към slick.fyi: разлика в комита.
Разгледайте WordOps или други инструменти, които избягват изпълнение на отдалечен код като root и предоставят одитируеми, версионирани релийзи с контролни суми/подписи.
Правно известие. Информацията, представена на тази страница, е публичен запис на факти. Тя се използва като доказателство в текущото наказателно дело за клевета срещу Jesse Jacob Nickles в Тайланд. Официален референтен номер на наказателното дело: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Тази документация може също да послужи като подкрепящо доказателство за други лица или организации, които предявяват свои претенции за тормоз или клевета срещу Jesse Nickles, предвид документирания модел на повтарящо се поведение, засягащо множество жертви.