Управление компьютером с телефона android

2а (опционально) – настраиваем двухфакторную аутентификацию

Для некоторых доверенных устройств (личный ноутбук, рабочий компьютер) можно отключить проверку OTP-кода. Кстати, для генерации OTP-кодов можно использовать и программу Google Authentificator вместо Synology SignIn: точно так же сканируете пригласительный QR-код и просто добавляете Synology DSM к другим вашим сервисам (интернет-банкинг, вход в личный кабинет и т.д.) – чертовски удобно.

Двухфакторная и беспарольная аутентификации работают только в пределах веб-интерфейса Synology: это полезно для таких встроенных приложений, как веб-почта, календарь, офисный пакет или чат. Да, все это может быть запущено в пределах одного NAS, что избавит вас от зависимости от интернет-сервисов. Тем не менее протоколы файлового и терминального доступа остаются зависимы только от пары «логин/пароль», поэтому защита от перебора остается важным шагом в настройке безопасности. 

Настроить единый пульт дистанционного управления

Процесс установки Unified Remote выполняется автоматически. Перейдите на свой компьютер с Linux, найдите «Unified Remote» в средстве запуска приложений и щелкните по нему, чтобы запустить сервер. При запуске сервера в Linux в вашем веб-браузере по умолчанию открывается новая вкладка. Эта новая вкладка — ваш центр управления UR. Используйте его для непосредственного взаимодействия с работой службы на вашем ПК.

>> Когда UR запущен, переключитесь обратно на мобильное устройство. Подключитесь к Wi-Fi и откройте приложение. В мобильном приложении выберите опцию поиска нового сервера.

Это займет несколько секунд, но если все настроено правильно, приложение UR Mobile автоматически подключится к вашему ПК с Linux.

Как только приложение Unified Remote подключится к вашему компьютеру с Linux, сервис будет готов к использованию!

1 – отключаем учетку Admin и настраиваем политику паролей

По умолчанию на NAS Synology отключен терминальный доступ, а веб-интерфейс вынесен на порт 5000. Чтобы защититься от подбора пароля администратора, первым делом отключаем учетную запись admin/administrator, присваивая админские функции вновь созданному пользователю. В настройках пользователя можно задать политику для пароля, хотя настроек по умолчанию (восемь символов разного регистра + цифры + спецсимволы) будет достаточно.

NAS может интегрироваться не только в доменную службу Domain/LDAP, но и выступать как единое средство аутентификации, чтобы пользователь мог логиниться в другие приложения через Synology, как это сделано через Facebook и Google на различных веб-сайтах. Такой подход позволяет централизованно хранить учетные данные пользователя и снизить область атаки для похищения логина/пароля, даже если брешь присутствует в других сторонних приложениях. 

AccessToGo RDP

При использовании программного обеспечения AccessToGo RDP можно выбрать два варианта протокола. Первый – собственный и платный. Второй – бесплатный RDP. С помощью этой программы можно настраивать качество передаваемой картинки, изменять вид клавиатуры (для ПК или стандартная смартфонная), устанавливать управление двухпальцевыми или трехпальцевыми жестами. Есть возможность настройки использования телефона в качестве мыши или тачпада, что позволяет управлять курсором нажатиями или движениями пальцев по экрану.

Среди других особенностей программы – поддержка нескольких языков и отдельный режим прокрутки. А еще – возможность использовать не только виртуальную, но и физическую клавиатуру, которая подключена к смартфону или планшету по USB (при наличии поддержки технологии OTG) или Bluetooth. Звук с компьютера может воспроизводиться динамиками самого ПК или на телефоне, есть защита от стороннего доступа при помощи шифрования.

Единственный недостаток утилиты по сравнению с другими программами – меньшая скорость доступа, которая вряд ли позволит нормально воспроизводить на телефоне Full HD или 2K видео, даже если такой формат поддерживается гаджетом.

Установка Unified Remote

Первый шаг — загрузить и установить сервер Unified Remote на используемых вами устройствах: телефоне и компьютере.

  • Чтобы загрузить соответствующее приложение на свой смартфон, просто откройте Play Store (для владельцев платформы Android) или App Store (для владельцев iPhone) и введите «Unified Remote» в строке поиска. Зайдя на страницу с программой, скачайте и установите ее на свое устройство.

  • Скачать программу на ПК или ноутбук следует исключительно с официального сайта разработчика (https://www.unifiedremote.com/download), выбрав соответствующую операционную систему. Процесс установки довольно прост и не требует серьезной настройки со стороны пользователя. Единственное, во время этой процедуры приложение будет запрашивать разрешение на добавление нового драйвера, необходимого для корректной синхронизации. Разрешите доступ и выполните следующие действия. Также не рекомендуется вносить какие-либо изменения в параметры по умолчанию.

Основное требование для правильной работы — каждое устройство подключено к одной и той же сети Wi-Fi. Также вы можете использовать альтернативный вариант, подключив их друг к другу через Bluetooth.

ВАЖНЫЙ. Если вы столкнулись с какими-либо проблемами или ошибками при подключении, попробуйте отключить сторонний антивирус или брандмауэр на обоих устройствах и посмотрите, помогло ли это решить проблему. Также мы рекомендуем вам установить последнюю версию «.NET Framework 4». 

WiFi Mouse HD

Это достаточно функциональное и бесплатное приложение для удаленного управления ПК со смартфона. Правда, разработчик предлагает и расширенную версию с большим количеством функций – за нее придется заплатить около $2. Соединение смартфона и компьютера выполняется с помощью беспроводной сети после установки на первом устройстве приложения, а на втором – сервера.

В списке функций, которые есть у WiFi Mouse HD:

  • имитация клавиатуры компьютера на экране телефона;
  • выполнение задач беспроводной мыши, включая управление жестами;
  • управление презентациями, медиа-плеером, браузерами, «Проводником» и выключением ПК.

Утилита совместима с телефонами на iOS и Андроид, а также с ПК с любой современной платформой – от Windows и macOS до Ubuntu. Но есть и минус – для использования телефон и компьютер должны находиться в одной сети.

8 — защищаем Data at Rest для защиты от кражи / изъятия

К «данным на отдыхе» относится вся информация, находящаяся на накопителях, независимо от того, лежит ли она в кэше или в хранилище, часто она запрашивается либо редко. Здесь Synology предлагает защиту папок общего доступа по стандарту AES-256, используя файловую систему eCryptFS поверх BTRFs или EXT4, в которой каждый файл кодируется индивидуально. Стойкость защиты подтверждена сертификатом FIPS 140, и кодирование настраивается индивидуально для каждой папки общего доступа в любой момент времени, в том числе после создания.

Данная защита помогает при физической краже NAS-а или накопителей: каждый раз при перезагрузке устройства, общая папка находится в неподключённом состоянии, и чтобы её содержимое было доступно, нужно вручную смонтировать её, введя сохранённый ключ.

Если зайти через терминал в неподключённую закодированную папку, то содержимое её будет выглядеть следующим образом:

Для закодированной папки недоступна функция сжатия данных, и некоторые сервисы, например Active Backup или Virtual Machine Manager не могут использовать её в качестве хранилища. Что же касается хороших новостей, то на таких папках поддерживаются снэпшоты (хотя их и нельзя просматривать), а так же кодировать можно гибридные папки, которые используются в качестве облачного диска на ноутбуках и смартфонах.

3 – включаем защиту от перебора паролей

По умолчанию эта опция отключена, но Synology предлагает два уровня защиты. Первый – это временная блокировка самой учетной записи, на которую идет атака. Это наиболее экологичный вид защиты, потому что, если атакующий использует IP-адреса вашей подсети или подсети ваших клиентов, работа сервисов не пострадает.

Можно также по старинке блокировать IP-адреса атакующих, для чего открываем панель управления > безопасность > защита и включаем блокировку IP-адреса при 10 ошибочных логинах в течение пяти минут. Удаление IP-адреса блокировщика можно поставить через один-два дня, и здесь же имеет смысл добавить локальные подсети или доверенные IP-адреса в белый список, чтобы исключить их блокировку, когда, например, зловред имеет своей целью специально заблокировать хост, выполняя бесконечный брутфорс NAS-а.

На этой же вкладке можно включить защиту от DoS-атак без каких-либо дополнительных настроек.

10 — защита архивных данных

Давайте разберёмся с шифрованием различных резервных копий, которые могут храниться на NAS-е. Поскольку Synology DSM состоит из ядра и приложений, то за снэпшоты отвечает одно приложение (Snapshot Replication), за резервные копии между NAS-ами или в облако — другое (Hyper Backup), а за резервирование серверов, виртуальных машин и рабочих мест — третье (Active Backup for Business). Соответственно, механизмы защиты у каждого из приложений свои. Начнём по порядку:

Внутри снимков закодированных папок так же находятся закодированные данные, так что даже при репликации на удалённый сервер, открыть данные без ключа невозможно. Вы не можете просматривать содержимое снэпшотов закодированных папок, что конечно осложняет задачу типа «вытащить нужный файл за вчерашний день. Незащищённые папки имеют доступные снэпшоты, и для их защиты можно использовать защищённое соединение при репликации на удалённый сервер.

Резервирование содержимого самого NAS-а на другой NAS или в облако с помощью программы Hyper Backup поддерживает защиту как при передаче, так и для хранения. Ключ задаётся единожды для задачи резервирования, то есть у вас могут быть разные пароли для сохранения данных в Google и на Synology C2.

В программе резервирования Active Backup for Business кодирование реализовано наиболее удобным способом: каждая задача бэкапа может использовать собственное хранилище (папку верхнего уровня на дисковом томе), которой совершенно не обязательно находиться в смонтированном состоянии, чтобы на неё можно было бэкапиться. Да, вы можете создавать новые задачи или удалять старые, используя защищённую папку, ключ от которой знает только ваш босс. Удобно, правда? И таких папок может быть сколько угодно, вы можете миксовать закодированные и незакодированные хранилища. Ну а подключить закрытую папку вводом пароля придётся при восстановлении бэкапа или для автоматической проверки целостности копий. Кстати, в настройках хранилища можно ввести автомонтирование закрытого хранилища и указать, на каком именно разделе NAS должен хранить ключи доступа, подгружая их после ребута, но я не советую это делать.

Unified Remote

Специализированное ПО для компьютеров и смартфонов на iOS и Android включает серверный агент и мобильное приложение. Первая часть устанавливается на ПК, вторая – на телефон. Возможностей приложения достаточно для запуска видео и музыки, которые автоматически останавливаются на время поступления вызова. А еще такое программное обеспечение поможет управлять включением ПК и его громкостью, выполняя задачи пульта управления.

Для работы с утилитой на компьютере должен быть установлен NET Framework версии 4 и выше. Зато последние версии поддерживают не только Windows, но и другие операционные системы. У бесплатной версии возможностей меньше, для получения доступа ко всем функциям пользователю придется заплатить 339 рублей за версию Full (для Android) или $3,99 для iPhone.

Используйте единый пульт дистанционного управления

Unified Remote очень прост, и все отображается прямо перед пользователем, когда приложение открывается в списке. Все, от «мыши / клавиатуры» до «средств управления мультимедиа» и «передачи файлов» — у вас под рукой. Не знаете, как работают эти функции? Ознакомьтесь с информацией ниже!

Ввод с клавиатуры / мыши

>> Если вы хотите удаленно управлять своим ПК с Linux, откройте приложение UR и нажмите кнопку «основной ввод».

Чтобы переместить мышь на ПК с Linux, проведите пальцем по сенсорной панели. Для ввода с клавиатуры коснитесь значка клавиатуры.

Управление мультимедиа

>> Хотите удаленно управлять воспроизведением мультимедиа на ПК с Linux? С Unified Remote это возможно! Чтобы управлять медиа, откройте приложение UR и нажмите на опцию «Медиа». Выбор «Медиа» из списка мгновенно загрузит интерактивные кнопки управления мультимедиа.

Используйте кнопки мультимедиа, чтобы приостанавливать воспроизведение, регулировать громкость, пропускать песню и т. Д.

Файловый менеджер

>> В системе Unified Remote есть много различных функций, но одна из самых полезных — это «файловый менеджер». С его помощью пользователи могут удаленно исследовать файловую систему хост-компьютера и запускать в нее элементы.

Чтобы получить доступ к функции диспетчера файлов, откройте приложение UR и выберите «Диспетчер файлов». Затем щелкните каталог, к которому хотите получить доступ. Откройте любой файл на удаленном ПК, нажав на него в приложении.

TeamViewer – Удаленный доступ

Приложение Team Viewer – не только популярное, но и практически самое функциональное среди всех похожих утилит. Работать оно может на разных операционных системах и имеет неплохой рейтинг. Однако перед использованием понадобится довольно сложная настройка и инициализация. Не исключено, что не слишком опытному пользователю придется воспользоваться для работы с приложением инструкцией или посторонней помощью.

Среди плюсов этого ПО – поддержка передачи аудио и видеороликов с высоким разрешением, возможность отправки и получения файлов с любыми расширениями в любом направлении. Еще одна особенность – чат в реальном времени для общения пользователя смартфона с тем человеком, который работает за компьютером.

Соединение зашифровано с помощью кодировки AES (256 бит), что делает передачу данных достаточно безопасной. Благодаря этой особенности Team Viewer применяется не только отдельными пользователями, но и крупными компаниями – например, Philips или Microsoft. Впрочем, у приложения есть и минус – для его использования придется платить. Стоимость лицензии на программу зависит от числа подключенных компьютеров и выбранного пакета и стартует с 15600 рублей в год за бизнес-версию.

Chrome Remote Desktop

Chrome Remote Desktop – один из самых простых вариантов управления компьютером с телефона. Его преимущества заключаются в том, что для работы на большинство ПК даже не придется ничего устанавливать – у многих пользователей уже и так стоит браузер Chrome. Кроме того, для приложения не имеет значения платформа – это приложение будет работать при наличии любого телефона и компьютера с Windows, macOS и даже Unix-подобной системой. Среди других заметных преимуществ – полностью бесплатное распространение и отсутствие необходимости в дополнительной установке серверного ПО.

В то же время функциональность приложения сравнительно небольшая. Все, что может сделать пользователь – выполнение действий в браузере Chrome. И все, что может сделать пользователь – заниматься интернет-серфингом, читать книги, запускать аудио и видео в режиме онлайн. Доступ к файлам на компьютере отсутствует. Зато благодаря такому приложению, можно просматривать данные сразу на нескольких ПК, синхронизированных с телефоном с помощью профиля .

KiwiMote

В отличие от большинства приложений для управления компьютером с телефона, этим можно пользоваться совершенно бесплатно. Нет никаких дополнительных и имеющих расширенную функциональность версий. Правда, и работать с ПО могут только владельцы смартфонов на Android.

Среди причин для выбора именно этой программы стоит выделить:

  • совместимость с ПК практически с любой ОС – Windows, macOS или Linux;
  • клавиатура в приложении, полностью совпадающая с компьютерной;
  • возможность использования телефона в качестве мыши или игрового манипулятора;
  • простая настройка (хотя для работы понадобится загрузка с официального сайта разработчиков) и использование;
  • управление презентациями, плеерами, читалками, программами для просмотра фото;
  • стабильная, благодаря использованию Java, работа.

Раскладка клавиатуры может настраиваться пользователем так, как ему удобно. При желании можно выбрать фон, цвета символов и границы. Кнопки регулировки громкости телефона могут применяться для прокрутки информации на экране, обновления страницы или смены слайдов.

Финальные штрихи

На данном этапе мы максимально защитили наш NAS Synology от DoS-атак, попыток подобрать пароль, кражи пароля кейлоггером или другим зловредом, физическим похищением всего устройства или его дисков, а так же от снифферов всех мастей. При грамотной настройке привилегий для доступа к общим папкам, NAS превращается в неприступный сейф, вскрыть который не под силу даже специалистам Synology. Осталось защититься от самой страшной проблемы — от человеческого фактора.

Во-первых, настраиваем антивирусное сканирование внутреннего пространства NAS бесплатным пакетом Antivirus Essential, либо платным McAfee Antivirus. Оба решения примерно идентичны по параметрам, а так же включаем еженедельное сканирование настроек безопасности средством Security Advisor.

Во-вторых, настраиваем резервирование всего NAS-а в облачную службу Synology C2. Это дёшево, практично, удобно и плюс Synology не продаёт ваши данные рекламщикам.

И рекомендую обратить внимание на приложение Note station для сохранения заметок на NAS-е: здесь есть возможность использовать защищённые записные книжки, что полезно для хранения настроек, паролей и просто секретиков. Не забудьте включить Note Station в список бэкапов в программе HyperBackup для резервирования в облако, ну а чтобы не забыть пароли, Synology предлагает использовать собственный облачный сервис C2 Password

Михаил Дегтярёв (aka LIKE OFF)

04/10.2021

5 — настраиваем OpenVPN

Вообще, VPN-тоннели обычно реализуют с помощью программных или аппаратных шлюзов доступа, но каждый NAS от Synology может выступать как клиентом, так и сервером VPN: без зависимости от стороннего ПО, без лицензий и сложных настроек командной строки. Мы рекомендуем максимально заворачивать внешний трафик через VPN, даже если соединение итак защищено. В серверной части поддерживаются устаревший PPTP, быстрый и эффективный L2TP/IPsec и универсальный OpenVPN, который можно использовать не только по UDP, но и по TCP транспорту. Для максимальной безопасности имеет смысл поменять стандартный порт 1194 на произвольный.

Настройка VPN-клиента осуществляется в разделе сетевых подключений, и здесь так же доступны три типа туннелей: PPTP, IPSec и OpenVPN. Последний настраивается путём импорта .ovpn файла, без ручных настроек.

На данном этапе мы произвели все настройки, чтобы защитить учётные записи от попыток похищения пароля или взлома методом перебора. Ещё раз спешу заметить, что пока что наши действия относятся только к web-панели NAS-а, и не касаются хранимых на нём данных.

4 — используем встроенный Firewall

В топовых NAS-ах Synology, монтируемых в стойку, поддерживаются функции проброса сетевого порта в виртуальную машину, запущенную на NAS через Virtual Machine Manager. Для каких-то особых ситуаций развёртывания инфраструктуры я рекомендую просто устанавливать в виртуалку PFSense или OPNSense, чтобы можно было пользоваться признанным во всём мире ПО для сетевой безопасности, но если такой возможности нет, встроенный Firewall не стоит сбрасывать со счетов.

По умолчанию он отключен, и буквально в несколько кликов можно закрыть доступ ко встроенным сервисам NAS-а из регионов, в которых у вас нет ни сотрудников, ни клиентов. Все используемые службами порты уже прописаны, так что выбираем все службы, и запрещаем для примера им доступ из Антарктиды, Анголы и некоторых других стран.

Splashtop 2 Remote Desktop

Еще одно популярное ПО, которым можно пользоваться бесплатно. Правда, обычная версия обеспечивает синхронизацию только между ПК и смартфоном, которые находятся в одной сети. Для удаленного управления по интернету понадобится покупка полной версии Splashtop 2 Remote Desktop – ее стоимость составляет $2 в месяц и $17 в год.

Среди особенностей программы – необходимость создания учетной записи в сервисе Splashtop. Для этого придется установить на ПК утилиту Splashtop Streamer и зарегистрироваться в ней. После подключения на экране смартфона появятся подсказки по поводу управления жестами и использования панели управления.

По умолчанию действия выполняются прикосновениями к нужной точке экрана, имитирующими клики левой кнопки мыши. Но есть возможность переключиться в режим тачпада, управляя ПК так же, как с помощью сенсорной панели ноутбука.

2 – настраиваем беспарольную аутентификацию

Все большую популярность набирают методы идентификации пользователя не через пару «логин/пароль», а через токен, которым может выступать как аппаратный ключ, так и смартфон. Начиная с версии DSM 7, в NAS Synology поддерживаются оба этих метода. Для идентификации с аппаратным ключом потребуется, чтобы NAS был доступен по HTTPs через доменное имя, например nas.yourdomain.com, что не всегда возможно и желательно. Идентификация через смартфон не требует даже белого IP-адреса и работает через встроенную систему доменных имен Synology QuickConnect.

Настройка проста: все, что нам необходимо, – это установить на смартфон нужного пользователя программу Synology SignIn и в свойствах пользователя включить беспарольный вход. После этого сканируем сгенерированный QR-код из приложения, подтверждаем его в настройках NAS, и все. Теперь при попытке войти в NAS вам будет предложено только ввести логин, после чего на смартфон будет отправлено уведомление с просьбой подтвердить вход на устройство. Но возможность аутентификации вводом пароля с клавиатуры остается как резервный вариант на случай, если смартфон разрядился/потерялся и т.д. 

6 – кодируем Data at Transit для защиты от снифферов

Понятие Data at Transit охватывает любые данные, которые находятся буквально в проводах или в воздухе, то есть передаются между устройствами. Еще совсем недавно в этой области данные не защищались, поскольку считалось, что интранет является безопасной сетью. Наверное, по этой причине по умолчанию в Synology DSM «данные в полете» не шифруются. 

6а – включаем кодирование файловых протоколов

Файловый протокол Samba (SMB) или CIFS, который используется для подключения общих сетевых папок с NAS на компьютеры под управлением Windows и MacOS, поддерживает сквозное кодирование каждого запроса. На сервере Windows Server 2022 и в ОС Windows 11 применяются пакеты средств криптографической защиты AES-256-GCM и AES-256-CCM для защиты SMB 3.1.1. Windows будет автоматически согласовывать этот более сложный метод кодирования при подключении к другому компьютеру, который его поддерживает. Кроме того, этот метод можно сделать обязательным с использованием в групповой политике.

Windows 10 и Windows Server 2016/2019 по-прежнему поддерживают AES-128-GCM и AES-128-CCM для протокола SMB 3.0.

Современные процессоры, на которых построены NAS Synology, поддерживают аппаратное ускорение операций кодирования, поэтому влияние на производительность минимальное.

Обратите внимание, что протокол AFP для компьютеров Apple не поддерживает сквозную кодировку, по умолчанию он отключен и трогать здесь ничего не надо: «яблочные» компьютеры прекрасно справляются с работой по протоколу SMB 3

Протокол NFS, часто используемый для Linux клиентов и гипервизоров VMware ESXi, также по умолчанию не защищен. Это настраивается индивидуально для каждой папки и диапазона IP-адресов в закладке NFS Permissions. Здесь вам нужно создать определенное правило, в котором обязательно выбрать поле Kerberos privacy и отключить тип авторизации AUTH_SYS. После этого вам нужно импортировать ключи Kerberos, общие для всей службы NFS.

Для файлового обмена с простыми устройствами включаем FTPs (кодирование поверх FTP) и SFTP (передача данных по защищенному SSH-туннелю), а для того, чтобы ваш NAS мог выступать средством хранения бэкапов с других Linux-устройств, включаем протокол RSync, который также работает по SSH. Здесь все по умолчанию использует кодирование, и никаких настроек делать не нужно.

Обратите внимание: включение RSync и SFTP не означает включение терминального доступа по SSH, и если последний отключен, а первые два включены, то при подключении через терминал соединение будет разорвано

Вообще доступ по SSH вам скорее всего не потребуется, и его можно не включать, но в случае, если он все же нужен, в настройках безопасности вам будет предложен огромный выбор алгоритмов защиты трафика. Я рекомендую отключить поддержку 128-битных ключей, оставив 256-битные и выше.

Осталось только настроить права доступа на общие папки, чтобы исключить возможность доступа с гостевой учетной записи, и почти все закончено.

9 — защита Data at Work

Ранее мы достаточно защитили все собственные сервисы Synology, запускаемые на NAS, но теперь пришло время позаботиться о сторонних программах, которые вы можете перенести в гипервизор Virtual Machine Manager. В NAS-ах, построенных на базе процессоров Intel, сохраняется опасность выполнения эксплоитов Meltdown и Spectre , благодаря чему заражённая виртуалка может получить доступ к данным в памяти другой виртуальной машины. Для предотвращения такой возможности компанией Intel внесены изменения в микрокод процессора, серьёзно замедляющие операции случайного чтения с дисковой подсистемы.

В Synology DSM защита от Meltdown и Spectre по умолчанию выключена, поскольку даже далеко не каждому гипервизору она требуется, а на скорость влияет ощутимо. Если вы планируете дать возможность пользователям запускать в виртуальных машинах, хостящихся на Synology собственный код, то проследуйте в панель управления, в закладку Security — Advanced и включите защиту от Meltdown и Spectre. Если вы точно знаете, что никаких сторонних программ никто в пределах виртуалок запускать не будет, можете этого не делать.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
DS-сервис
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: