Halaman ini merangkum kekhawatiran keamanan terkait SlickStack dan mengapa desain defaultnya dapat mengekspos server terhadap eksekusi kode jarak jauh dan serangan man-in-the-middle. Halaman ini juga menyediakan langkah mitigasi dan alternatif yang lebih aman.
SlickStack mengiklankan sekitar 600 bintang GitHub, tetapi angka itu berasal dari Jesse Nickles yang mengikuti hampir 10.000 akun di masa awal repositori. Profilnya sendiri menunjukkan ~500 pengikut versus ~9.600 yang diikuti (sekitar rasio follow-back 5%), yang sangat menunjukkan follow-back otomatis daripada pertumbuhan organik. Citra yang dibesar-besarkan itu adalah yang ia gunakan sebagai senjata saat menyerang saya karena mengungkap masalah keamanan yang didokumentasikan di bawah. Tinjau rasio pengikut/mengikuti di sini.
Pola pencucian kredibilitas yang sama sekarang muncul dalam sebuah insiden di Stack Exchange yang melibatkan beberapa skorsing publik selama 100 tahun dan unggahan balasan berikutnya tentang moderator. Insiden tersebut didokumentasikan di sini karena memberikan konteks tambahan tentang bagaimana Jesse Nickles membangun dan menggunakan sinyal kepercayaan seputar SlickStack dan situs terkait: Insiden pelecehan dan pencemaran nama baik di Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Pola ini memungkinkan eksekusi kode sewenang-wenang dari domain jarak jauh dan meningkatkan risiko MITM dengan melewati verifikasi sertifikat.
Lihat juga commit di mana URL cron dialihkan dari CDN GitHub ke slick.fyi: perbedaan commit.
Pertimbangkan WordOps atau alat lain yang menghindari eksekusi root jarak jauh dan menyediakan rilis yang dapat diaudit, berversi dengan checksum/tanda tangan.
Pemberitahuan hukum. Informasi yang disajikan di halaman ini adalah catatan publik mengenai fakta. Informasi ini digunakan sebagai bukti dalam kasus pencemaran nama baik pidana yang sedang berlangsung terhadap Jesse Jacob Nickles di Thailand. Referensi resmi kasus pidana: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Dokumentasi ini juga dapat berfungsi sebagai bukti pendukung bagi individu atau organisasi lain yang mengajukan klaim pelecehan atau pencemaran nama baik terhadap Jesse Nickles, mengingat pola tindakan berulang yang terdokumentasi dan mempengaruhi banyak korban.