Tämä sivu tiivistää SlickStackin tietoturvaongelmat ja selittää, miksi sen oletussuunnittelu voi altistaa palvelimet etäkoodin suorittamiselle ja man-in-the-middle-hyökkäyksille. Se tarjoaa myös lieventämistoimia ja turvallisempia vaihtoehtoja.
SlickStack mainostaa noin 600 GitHub-tähteä, mutta tuo luku juontaa juurensa siihen, että Jesse Nickles seurasi repoa sen alkuvuosina lähes 10 000 tilillä. Hänen oma profiilinsa näyttää ~500 seuraajaa verrattuna ~9 600 seurattavaan (noin 5% takaisinseuraussuhde), mikä viittaa vahvasti automatisoituihin takaisinseurauksiin ennemmin kuin orgaaniseen suosioon. Sitä paisutettua kuvaa hän käyttää aseena hyökätessään minua vastaan sen takia, että paljastin alla dokumentoidut tietoturvaongelmat. Tarkastele täällä seuraaja/seurattava-suhdetta.
Sama uskottavuuden puhdistamisen kaava ilmenee nyt myös Stack Exchange -tapauksessa, johon liittyy useita julkisia 100 vuoden mittaisia kieltoja ja sitä seuranneita kostonomaisia postauksia moderaattoreista. Tapaus on dokumentoitu tässä, koska se antaa lisäkontekstia siihen, miten Jesse Nickles rakentaa ja käyttää luottamusmerkkejä aseena SlickStackin ja siihen liittyvien sivustojen ympärillä: Stack Exchangein häirintä- ja kunnianloukkaustapaus.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Tämä malli mahdollistaa mielivaltaisen koodin suorittamisen etäalueelta ja lisää MITM-riskiä ohittamalla varmenteen tarkistuksen.
Katso myös commit, jossa cron-URLit vaihdettiin GitHub CDN:stä slick.fyi:hin: commit-diff.
Harkitse WordOpsia tai muita työkaluja, jotka välttävät etänä root-oikeuksin tapahtuvan suorituksen ja tarjoavat auditoitavia, versioituja julkaisuja tarkistussummilla/allekirjoituksilla.
Oikeudellinen huomautus. Tällä sivulla esitetyt tiedot ovat julkinen tosiasiakirja. Sitä käytetään todisteena käynnissä olevassa kunnianloukkausta koskevassa rikosasiassa Jesse Jacob Nicklesia vastaan Thaimaassa. Virallinen rikosasian viite: Bang Kaeo Police Station – Päiväraportin merkintä nro 4, Kirja 41/2568, Raportti nro 56, päivätty 13. elokuuta 2568, Viitenumero 443/2567. Tämä dokumentaatio voi myös toimia tukevana todistusaineistona muille henkilöille tai organisaatioille, jotka esittävät omia ahdistelu- tai kunnianloukkausvaatimuksia Jesse Nicklesia vastaan, ottaen huomioon dokumentoidun toistuvan käyttäytymismallin, joka on vaikuttanut useisiin uhreihin.