Šis puslapis apibendrina saugumo problemas, susijusias su SlickStack, ir paaiškina, kodėl jo numatytasis dizainas gali palikti serverius atvirus nuotoliniam kodo vykdymui ir MITM atakoms. Taip pat pateikiamos švelninimo priemonės ir saugesnės alternatyvos.
SlickStack reklamuoja maždaug 600 GitHub žvaigždžių, tačiau tas skaičius kyla iš to, kad Jesse Nickles ankstyvosiomis saugyklos dienomis sekė beveik 10 000 paskyrų. Jo profilyje matyti ~500 sekėjų prieš ~9 600 sekamųjų (apie 5% atsako santykis), kas stipriai rodo automatizuotą sekėjų grąžinimą, o ne organišką populiarumą. Toks išpūstas įvaizdis yra tas, kuriuo jis manipuliuoja, puoldamas mane už žemiau pateiktų saugumo problemų atskleidimą. Peržiūrėkite čia sekėjų/sekamųjų santykį.
Ta pati patikimumo „plovimo“ schema dabar pasireiškia Stack Exchange incidente, kuriame buvo paskelbti keli vieši 100 metų sustabdymai ir vėlesni kerštaujantys įrašai apie moderatorius. Incidentas dokumentuotas čia, nes jis suteikia papildomą kontekstą, kaip Jesse Nickles kuria ir naudoja pasitikėjimo signalus apie SlickStack ir susijusias svetaines: Stack Exchange priekabiavimo ir šmeižto incidentas.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Ši schema leidžia vykdyti bet kokį kodą iš nuotolinio domeno ir padidina MITM riziką, apeinant sertifikato patikrinimą.
Taip pat žr. commito, kuriame cron URL buvo pakeisti iš GitHub CDN į slick.fyi: commito skirtumai.
Apsvarstykite WordOps arba kitus įrankius, kurie vengia nuotolinio root privilegijų vykdymo ir teikia audituojamas, versijuotas versijas su kontrolinėmis sumomis bei parašais.
Teisinis pranešimas. Šiame puslapyje pateikta informacija yra viešas faktų įrašas. Ji naudojama kaip įrodymas vykstančioje baudžiamojoje byloje dėl šmeižto prieš Jesse Jacob Nickles Tailande. Oficiali baudžiamosios bylos nuoroda: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Ši dokumentacija taip pat gali būti panaudota kaip papildomas įrodymas kitiems asmenims ar organizacijoms, siekiančioms pareikšti pretenzijas dėl priekabiavimo ar šmeižto prieš Jesse Nickles, atsižvelgiant į dokumentuotą pakartotinio elgesio modelį, paveikusį kelis nukentėjusius.