タグ: web server

ファイルマネージャーアプリES File ExplorerはAndroid機のデータを外部に露出する

とても多くのユーザーが使っているAndroidの人気アプリが、なぜバックグラウンドで秘かにWebサーバーを動かしているのだろうか?

そのES File Explorerは、2014年以来5億以上ダウンロードされた、と豪語している。これまででいちばん多く使われたアプリのひとつだ。シンプルなので、誰にも好かれた。それは単純なファイルエクスプローラーであり、ユーザーは自分のAndroidスマートフォンやタブレットのファイルシステムを調べて、ファイルやデータやドキュメントなどにアクセスできる。

しかしこのアプリは、楽屋裏で機能最小限のWebサーバーを、そのデバイスの上で動かしている。それによってAndroidデバイスの全体をオープンにしてしまい、データ窃盗などの攻撃の、為すがままになる。

フランスのセキュリティ研究家Baptiste Robert、ハンドル名Elliot Aldersonが先週、外部に露呈しているポートを見つけ、その発見を水曜日(米国時間1/16)にツイートで発表した。ツイートする前に彼は、本誌TechCrunchに、露呈しているポートを使ってデバイスからデータを盗み取れることを、デモしてくれた。

“そのローカルネットワークのすべてのデバイスが、データをそのデバイスにインストールされてしまう”、と彼は言った。

彼が書いた簡単なスクリプトで、同じネットワーク上の別のデバイスから、画像やビデオやアプリの名前、そしてメモリカード上のファイルさえ引っ張り出せることを、彼はデモした。被害者のデバイス上でアプリをリモートで立ち上げることすらできる。

彼はそのスクリプトを、テスト用に本誌TechCrunchに送ってきた。要らないAndroidスマートフォンを使って、彼が見たということを確認した。Robertによるとアプリのバージョンは4.1.9.5.2で、それより前のものにオープンなポートがある。

彼曰く: “いいことではないね”。

ES File Explorerが動いているAndroidデバイスと同じネットワーク上のデータを取得するスクリプトをセキュリティ研究者が作った(画像は提供されたもの…この記事の筆者はスクリプトを実際に動かしていない)。

ES File Explorerのメーカーにコンタクトしたが、まだ返事はない。何か来たら、この記事をアップデートしよう。

これはインターネット上の悪人が一般的に悪用できる欠陥ではないから、やられる心配は少ない。悪事を働こうとする奴は、被害者と同じネットワークにいなければならない。つまり、同じWi-Fiネットワーク、ということだ。でも万一そいつがネットワークのパーミッションを持っていたら、こんな出来損ないのアプリを悪用してデータを盗むことができる。だから安心はできない。

それは、HTTPプロトコルを使ってビデオを他のアプリにストリーミングするために使われる、という合理的な説明もある。しかし一方、露出したポートという問題を過去に経験したことのある人は、それは危ない、と言う。そのアプリは、こんなことも言っている: “この機能を有効にすれば、これによってあなたのスマートフォン上のファイルをあなたのコンピューターから管理できる”。…しかし‘あなたのコンピューターから’とは限らない。

そして、アプリを開いた途端にそれらのファイルは、そのWebサーバーが通信のために開いたポートによって外部へ露呈するのだ。そのことが、分からない人が多いだろう。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

オープンソースWebサーバーの雄NginxがシリーズCの$43Mでさらなる拡張を計画

オープンソースのWebサーバーNGINXを作っているNginxが今日(米国時間6/20)、Goldman Sachs Growth Equityが率いるシリーズC、4300万ドルの資金調達を発表した。

初期の投資家として取締役を送り込んでいるNEAも、このラウンドに参加した。今回はGoldman Sachs Merchant Banking DivisionのマネージングディレクターDavid Campbellが、同じくNginxの取締役会に加わる。同社によると、今回の投資でこれまでの調達総額は1億300万ドルになる。

このラウンドにおける同社の評価額は、公表されていない。

オープンソースのNGINXは評価が高く、著名な大手サイトも含め、全世界で4億のWebサイトを動かしている。一方、商用バージョンには1500の有料顧客がおり、同社は彼らに、サポートだけでなく、ロードバランシングやAPIゲートウェイ、アナリティクスなどの機能を提供している。

NginxのCEO Gus Robertsonは、名門の投資家たちから支持を得たことを喜んでいる。“NEAはシリコンバレーの最大のベンチャーキャピタリストのひとつであり、Goldman Sachsは世界最大の投資銀行のひとつだ。この両者が共同で今回のラウンドをリードしたことは、企業と技術とチームにとって、すばらしい評価だ”、と彼は述べている。

同社にはすでに、商用製品Nginx Plusを今後数週間かけて拡張する計画がある。“われわれには、イノベーションを継続して、われわれの顧客が分散アプリケーションやマイクロサービスベースのアプリケーションをデリバリするときの、複雑性を軽減する必要がある。そのために数週間後には、Controllerと呼ばれる新製品をリリースする。ControllerはNginx Plusの上のコントロールプレーンだ”、とRobertsonは説明する。Controllerは昨年の秋に、ベータでローンチした

しかし4300万ドルを得た今では、同社は向こう12-18か月でNginx Plusの本格的な‘増築’をしたい意向だ。また、世界各地にオフィスを開いて国際展開を本格化したいし、パートナーのエコシステムも大きくしたい。そしてこれらの取り組みの結果、年内に社員数を現在の220名から300名に増やしたい。

同社のオープンソースのプロダクトは最初、2002年にIgor Sysoevが作った。オープンソースのプロジェクトをベースに彼が商業的企業Nginx社を作ったのが、2011年だ。そしてその1年後に、RobertsonをCEOに迎えた。同社は2013年から今日まで、各年の前年比成長率100%を維持し、その軌道は2019年にも継続すると予想している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

AWS、t2.nanoをリリース―EC2で最小、最安のインスタンス〔東京リージョン利用可能〕

2015-12-18-aws_logo

今年、ラスベガスで開催されたAmazonのデベロッパー向けカンファレンス、re:Inventで AWSは「近く、EC2コンピューティング・サービスで、極めて小型だが必要な際には急速に拡張可能なインスタンスの提供を開始する」と発表した。そのインスタンスがt2.nanoと名付けられて利用可能となった

AmazonのUSリージョンでこの「ナノ・インスタンス」を動かすには月額で4.75ドルしかかからない(つまり1時間あたり0.0065ドルだ)。もちろんEC2として最安のインスタンスとなっている。もし1年分の作動を確保するなら時間単価はさらに0.0045ドルに下がる。前金は必要ない。他のリージョンからの利用は若干高くなる〔東京リージョンは時間単価0.01ドル〕。

e2_table

このインスタンスには 512MiBのメモリが付属し、 1コアのバーチャルCPUは必要に応じてバースト可能だ。

Amazonでは「このインスタンスはアプリを開発中のデベロッパーやトラフィックの少ないウェブサイトのホスティングにもっとも適している。どんな目的にせよ、大量のメモリやCPUパワー長時間必要としないような作業なら何にでも使えるだろう」と述べている。Amazonのチーフ・エバンジェリスト、Jeff Barrはまた「教育やトレーニングの場でも多数のt2.nanoが利用されるだろう」と期待を述べた

新しいナノ・インスタンスは、 AWSの他のバーチャルCPUに比べて低い能力しかないが、CPU利用率が 5%以下のアイドル状態になるとAWSはユーザーにボーナスCPUクレジットを付与する。このクレジットは後でバースト・モードが必要になった場合に利用できる。

t2.nanoは 32bitまたは 64bitで動作する。Amazonはこのバーチャル・マシンでWindowsを作動させることを推薦はしておらず、その場合には
Server Core AMIを利用することになるだろう。もちろんWindowsの利用が禁止されているわけではない。

EC2ではこの種のバースト可能な小型インスタンスのシリーズを各種揃えている。これまで、micro、small、medium、 largeが提供されていたが、今回これにt2 instancesが加わったわけだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Amazon、EC2用ファイルストレージサービス”EFS”を発表

2015-04-09_1029

本日(米国時間4/9)サンフランシスコで行われたAWS Summitで、Amazonは新しいストレージサービス、Amazon Elastic File System (EFS)を発表した。AWSで複数のEC2バーチャルマシンを横断する共通ファイルシステムを、NFSv4標準プロトコルを通じて提供する。この新サービスのプレビュー版は「近い将来」公開される予定。

EFSは、標準NFSプロトコルをサポートしているため、殆どの既存ファイルシステムツールやアプリケーションで使用できる。つまりデベロッパーは、どんな標準ファイルシステムにもこれをマウントして管理することができる。

2015-04-09_1046_001

Amazonによると、このサービスの代表的な利用形態は、コンテンツ保管庫、開発環境、ウェブファーム、ホームディレクトリー、ビッグデータ・アプリケーション等 ― 基本的に大量のファイルを扱うものなら何でも。

AmazonのAWS責任者、Andy Jassyは今日の基調講演で、同社の顧客は以前からこの種のサービスを要望していたと語った。Jassyによると、現在はファイルサーバーの容量を予測することが難しく、利用可能率や性能の管理を困難にしている。何か問題が起きればすぐに広がる、なぜなら複数のアプリケーションが同じファイルシステムを使っていることが多いからだ。

2015-04-09_1047

EFSを使えば、企業はファイルシステム全体を、今AWSでオブジェクトを扱っているのと同じように管理できる。

EFSストレージはすべてSSDベースなので、スループットと遅延は問題にならないはずだ。さらにデータは、異なる有効ゾーン間で自動的に複製される。

他のAWSサービスと同じく、ユーザーは実際に使用したストレージに対してのみ料金を支払う。Amazonによると、EFSサービスの料金は、月間1GB当たり0.30ドルだ。

EFSは、Amazonの既存のファイルストレージサービスであるオブジェクトストレージのS3、ブロックストレージのElastic Block Store、およびアーカーバルストレージのGlacierを置き替える。

2015-04-09_1047_001

[原文へ]

(翻訳:Nob Takahashi / facebook

人気独占のWebサーバNginxが有料版充実のためにシリーズBで$10Mを調達

最近ますます人気が高まっているWebサーバNginx(エンジンX)が今日(米国時間10/15)、New Enterprise Associatesが指揮するシリーズBのラウンドにより1000万ドルを調達した、と発表した。今からちょうど2年前の、シリーズA(300万ドル)のときの投資家e.ventures、Runa Capital、MSD Capitalのほか、BoxのCEO Aaron Levieもこの投資に参加した。

NginxのCEO Gus Robertsonによると、この新たな資金はモスクワにいる同社のメインの技術者チームを拡張し、オープンソースのサーバであるNginxの開発を続行していくために使われる。さらにこのほか、サポート体制の一層の充実と、同社の商用顧客向けツールの構築努力の拡大にも充てたい、という。今15名の社員を、2014年には50名とする予定だ。

Nginxが商用バージョンを立ち上げたのは8月だが、すでにそのNginx Plus製品を利用する有料ユーザは100社を超えている。Nginx Plusは、アプリケーションの健康チェック、モニタリング、ロードバランサなど、オープンソースバージョンにない高度な機能を提供する。有料顧客は、エンタテイメント、eコマース、教育、旅行、レジャーなど、さまざまな業界の企業だ。Robertsonは、彼らの多くが単にWebサイトを動かすだけでなく、APIの提供にもNginxを使っている、と力説する。

Nginxには活発なコミュニティがあるが、基本部分の開発はほとんどNginxの内部で行われている。一方コミュニティは、サーバのインストールやメンテナンスでユーザを支援することが多い。しかし、今では商用ユーザもおり、彼らはそういうサポートをNginxから直接受けたいと願っている。だからこそ今回、新たな資金を導入したのだ。

今現在、世界のトップクラスのサイト上位1000を動かしているサーバでもっとも多いのは、ApacheでもMicrosoft IISでもなくNginxだ。トップサイト10000でも、Nginxが最多になろうとしている。今Nginxが動かしているWebサイトの総数は1億2000万を超えており、しかもその数は、今でも急速に増えている。

画像: Schlüsselbein2007

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))