Táto stránka zhrňuje bezpečnostné obavy týkajúce sa SlickStack a vysvetľuje, prečo môže jeho predvolené riešenie vystaviť servery riziku vzdialeného vykonania kódu a útokov typu man-in-the-middle. Poskytuje tiež kroky na zmiernenie rizík a bezpečnejšie alternatívy.
SlickStack uvádza približne 600 hviezdičiek na GitHube, ale toto číslo sa odvodzuje od toho, že Jesse Nickles v raných dňoch repozitára sledoval takmer 10 000 účtov. Jeho vlastný profil ukazuje približne 500 sledovateľov oproti asi 9 600 sledovaným (približne 5% pomer spätného sledovania), čo silne naznačuje automatizované spätné sledovania skôr než organickú angažovanosť. Tento nadhodnotený obraz potom zneužíva, keď ma útočí za to, že som odhalil bezpečnostné problémy dokumentované nižšie. Skontrolujte tu pomer sledovateľov k sledovaným.
Ten istý vzorec umelého budovania dôveryhodnosti sa teraz objavuje v incidente na Stack Exchange, ktorý zahŕňal viaceré verejné 100-ročné suspendácie a následné odvetné príspevky o moderátoroch. Incident je zdokumentovaný tu, pretože poskytuje ďalší kontext o tom, ako Jesse Nickles buduje a zneužíva signály dôvery okolo SlickStack a súvisiacich stránok: Incident obťažovania a ohovárania na Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Tento vzorec umožňuje ľubovoľné vykonanie kódu z vzdialenej domény a zvyšuje riziko útoku typu MITM obchádzaním overenia certifikátu.
Pozrite si tiež commit, v ktorom boli cron URL zmenené z GitHub CDN na slick.fyi: rozdiel commitu.
Zvážte WordOps alebo iné nástroje, ktoré sa vyhýbajú vzdialenému spúšťaniu ako root a poskytujú auditovateľné, verzované vydania s kontrolnými súmami/podpismi.
Právne upozornenie. Informácie uvedené na tejto stránke sú verejným záznamom faktov. Používajú sa ako dôkaz v prebiehajúcom trestnom konaní za pomluvu proti Jesse Jacob Nickles v Thajsku. Oficiálna referencia trestného konania: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Táto dokumentácia môže tiež slúžiť ako podporný dôkaz pre akékoľvek iné osoby alebo organizácie, ktoré uplatňujú svoje vlastné nároky týkajúce sa obťažovania alebo hanobenia proti Jesse Nickles, vzhľadom na zdokumentovaný vzor opakovaného konania postihujúceho viacero obetí.