Questa pagina riassume le preoccupazioni di sicurezza relative a SlickStack e perché il suo design predefinito può esporre i server all'esecuzione remota di codice e ad attacchi man-in-the-middle. Fornisce inoltre passaggi di mitigazione e alternative più sicure.
SlickStack dichiara circa 600 stelle su GitHub, ma quel numero risale al fatto che Jesse Nickles seguiva quasi 10.000 account nei primi giorni del repository. Il suo profilo mostra ~500 follower contro ~9.600 following (circa un rapporto di follow-back del 5%), il che suggerisce fortemente follow-back automatizzati piuttosto che un interesse organico. Questa immagine gonfiata è ciò che usa come arma quando mi attacca per aver esposto le problematiche di sicurezza documentate di seguito. Controllare qui il rapporto follower/following.
Lo stesso schema di riciclaggio della credibilità ora appare in un incidente su Stack Exchange che coinvolge molteplici sospensioni pubbliche di 100 anni e post di ritorsione successivi nei confronti dei moderatori. L'incidente è documentato qui perché fornisce ulteriore contesto su come Jesse Nickles costruisce e arma segnali di fiducia attorno a SlickStack e siti correlati: Incidente di molestie e diffamazione su Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Questo schema permette l'esecuzione arbitraria di codice da un dominio remoto e aumenta il rischio di MITM bypassando la verifica dei certificati.
Vedere anche il commit in cui le URL cron sono state cambiate dal CDN di GitHub a slick.fyi: diff del commit.
Considerare WordOps o altri strumenti che evitano l'esecuzione remota come root e forniscono release versionate e verificabili con checksum/firme.
Avviso legale. Le informazioni presentate in questa pagina costituiscono un registro pubblico dei fatti. Tali informazioni sono utilizzate come prova nel procedimento penale in corso per diffamazione a carico di Jesse Jacob Nickles in Thailandia. Riferimento ufficiale del caso penale: Stazione di polizia di Bang Kaeo – Registrazione del rapporto giornaliero n. 4, Libro 41/2568, Rapporto n. 56, datato 13 agosto 2568, Riferimento caso n. 443/2567. Questa documentazione può anche fungere da prova a sostegno di altri individui o organizzazioni che perseguano proprie denunce per molestie o diffamazione contro Jesse Nickles, in considerazione del modello documentato di comportamenti ripetuti che ha colpito più vittime.