Привет, странник!
Меня зовут Омар Ганиев, профессионально идентифицирую себя как хакер, занимаюсь предпринимательством в области информационной безопасности.
Зачастую мне приходят в голову различные мысли, которые я транслирую друзьям и коллегам в ряд чатов, в которых нахожусь.
Формат чата не располагает к вдумчивой формулировке мысли, а необходимость срочно поделиться гениальным откровением или новым знанием с различными группами людей располагает к прокрастинации, распылению, пустым дискуссиям и флуду.
В связи с этим решил предпринять попытку вести канал (хотя бы для себя), куда писать то, что может показаться интересным и не слишком очевидным.
Тематика постов может включать следующие области (в примерно убывающем по приоритету порядке), не ограничиваясь ими: компьютерная и информационная безопасность, технологии, IT-предпринимательство, стартапы, философия, математика, лингвистика, климатология.
Меня зовут Омар Ганиев, профессионально идентифицирую себя как хакер, занимаюсь предпринимательством в области информационной безопасности.
Зачастую мне приходят в голову различные мысли, которые я транслирую друзьям и коллегам в ряд чатов, в которых нахожусь.
Формат чата не располагает к вдумчивой формулировке мысли, а необходимость срочно поделиться гениальным откровением или новым знанием с различными группами людей располагает к прокрастинации, распылению, пустым дискуссиям и флуду.
В связи с этим решил предпринять попытку вести канал (хотя бы для себя), куда писать то, что может показаться интересным и не слишком очевидным.
Тематика постов может включать следующие области (в примерно убывающем по приоритету порядке), не ограничиваясь ими: компьютерная и информационная безопасность, технологии, IT-предпринимательство, стартапы, философия, математика, лингвистика, климатология.
🤡3
Что ж, перед сном ссылку на канал я запостил в маленький чат сообщества DEFCON ALKASH, и теперь есть уже 150 подписчиков.
Распространение похлеще коронавируса!
Поскольку это не книжка и программный манифест, буду сразу писать на злобу дня о текущих мыслях.
Распространение похлеще коронавируса!
Поскольку это не книжка и программный манифест, буду сразу писать на злобу дня о текущих мыслях.
Обсуждали тут услугу Next Generation Penetration Test от BugCrowd. Суть в том, что таргет раздают N багхантерам, каждому выдаётся чеклист, который надо выполнить и подписаться о выполнении.
При этом тесты необходимо проводить через VPN, а также выгрузить лог из Burp Suite в качестве доказательства проведения работы.
Открыв файлик с методологией можно немедленно распознать знакомые формулировки, ведь это не что иное как старенькое и несовершенное описание OWASP Testing Guide, взятое отсюда: https://github.com/wisec/OWASP-Testing-Guide-v5/tree/master/checklist
В целом направление мысли, на мой взгляд, очень правильное, и я давно ещё мечтал сделать супер-платформу, в которой каждый пентест будет разбиваться на мельчайшие подзадачи, для каждой из которых прописана сложность (=стоимость), и участник платформы может взять на себя хорошо документированную задачу, при этом качество и покрытие контролируется через логи прокси и файл проекта Burp Suite, а сбор скоупа и сканы автоматизированы.
Однако, полагаю, что BugCrowd вряд ли проверяет логи, это скорее инструмент incident response на случай разбирательства. Выходит, что по сути они просто раздают корявый чеклист рандомным людям, на всякий случай собирают лог и называют это "NG PenTest".
Сложность следования примитивным чеклистам в том, что, когда они статичные, фокус размывается: ведь половина пунктов вообще N/A для конкретного проекта, в итоге холеричный пентестер не следует чеклисту, а просто в конце по памяти помечает пункты выполненными.
Более флегматичный и старательный человек пойдёт подряд по пунктам и может попросту застрять на какой-то малозначительной проверке, теряя время.
При этом тесты необходимо проводить через VPN, а также выгрузить лог из Burp Suite в качестве доказательства проведения работы.
Открыв файлик с методологией можно немедленно распознать знакомые формулировки, ведь это не что иное как старенькое и несовершенное описание OWASP Testing Guide, взятое отсюда: https://github.com/wisec/OWASP-Testing-Guide-v5/tree/master/checklist
В целом направление мысли, на мой взгляд, очень правильное, и я давно ещё мечтал сделать супер-платформу, в которой каждый пентест будет разбиваться на мельчайшие подзадачи, для каждой из которых прописана сложность (=стоимость), и участник платформы может взять на себя хорошо документированную задачу, при этом качество и покрытие контролируется через логи прокси и файл проекта Burp Suite, а сбор скоупа и сканы автоматизированы.
Однако, полагаю, что BugCrowd вряд ли проверяет логи, это скорее инструмент incident response на случай разбирательства. Выходит, что по сути они просто раздают корявый чеклист рандомным людям, на всякий случай собирают лог и называют это "NG PenTest".
Сложность следования примитивным чеклистам в том, что, когда они статичные, фокус размывается: ведь половина пунктов вообще N/A для конкретного проекта, в итоге холеричный пентестер не следует чеклисту, а просто в конце по памяти помечает пункты выполненными.
Более флегматичный и старательный человек пойдёт подряд по пунктам и может попросту застрять на какой-то малозначительной проверке, теряя время.
🤡3
Сниппет мысли про самоидентификацию и приоритеты.
Вот хакеры: если судить по СМИ, это почти то же, что и мошенники.
Если слушать инвесторов из Долины, это просто любые технологические стартаперы, которые дизраптят какую-то индустрию, или же вообще участники хакатонов.
Ну а в пересечении лежит изначальное значение — человек, умеющий находить нестандартные подходы к задаче.
Лично я всё-таки в это слово вкладываю именно понятие "взломщик информационных систем". И пока я большей частью занимаюсь именно этим, хоть и являюсь предпринимателем с точки зрения формы занятости.
Можно ли считать предпринимательство хакерством? Ну да, например, в YC так на это и смотрят, у них даже в анкете есть вопрос о том, как вы successfully hacked some (non-computer) system to your advantage.
Но мне кажется очевидным, что это, хоть и интересно, намного менее содержательно, чем компьютерный взлом.
Хакнуть жизненную ситуацию и извлечь денежную выгоду (в том числе из кризиса) может и некомпетентный человек, ему может хватить чистого везения.
А вот прочитать десятки тысяч строк кода или мегабайты бинарников, чтобы найти цепочку уязвимостей для взлома айфона, могут совсем немногие, так что цель научиться такому куда достойнее.
Вот хакеры: если судить по СМИ, это почти то же, что и мошенники.
Если слушать инвесторов из Долины, это просто любые технологические стартаперы, которые дизраптят какую-то индустрию, или же вообще участники хакатонов.
Ну а в пересечении лежит изначальное значение — человек, умеющий находить нестандартные подходы к задаче.
Лично я всё-таки в это слово вкладываю именно понятие "взломщик информационных систем". И пока я большей частью занимаюсь именно этим, хоть и являюсь предпринимателем с точки зрения формы занятости.
Можно ли считать предпринимательство хакерством? Ну да, например, в YC так на это и смотрят, у них даже в анкете есть вопрос о том, как вы successfully hacked some (non-computer) system to your advantage.
Но мне кажется очевидным, что это, хоть и интересно, намного менее содержательно, чем компьютерный взлом.
Хакнуть жизненную ситуацию и извлечь денежную выгоду (в том числе из кризиса) может и некомпетентный человек, ему может хватить чистого везения.
А вот прочитать десятки тысяч строк кода или мегабайты бинарников, чтобы найти цепочку уязвимостей для взлома айфона, могут совсем немногие, так что цель научиться такому куда достойнее.
🤡3
От рефлексии к более техническим вопросам.
Мы зачастую не замечаем, насколько стремительно развиваются технологии, а ведь многие привычные нам вещи появились совсем недавно.
Вот например, сейчас веб-хакер обязан хоть на каком-то приемлемом уровне понимать облака, докер, контейнеры, веб-серверы и многослойные архитектуры.
Так вот сейчас трудно представить области, в которых можно быть вменяемым специалистом без знания основ технологий (конечно, не всех сразу, в каждой специализации своё), которые появились за последние 5-10 лет:
- Вебсокеты. Сюрприз, нормальная их поддержка появилась лишь после 2013, а большинство WAF и Anti-DDoS не поддерживают до сих пор. Уязвимости вебсокет-приложений довольно типичны.
- HTML5. Это 2014, но вы только подумайте, хлеб client-side web-хакеров, поддержка CORS, начала появляться в браузерах лишь с 2010!
- Докер. Только в 2013 появилась самая первая версия. Типичные уязвимости докеров уже во всех читшитах.
- Кубернетес. Год рождения — 2014. Уже есть и багбаунти, и различные тулзы для аудита конфигов, и специализированные средства защиты.
- Блокчейн. Биткоин уже подросток, но Ethereum появился в 2015, создав целую специальность по разработке и взлому смарт-контрактов. Вкатиться во взлом смарт-контрактов за пару дней можно тут.
- Новые технологии в AWS, GCP, Azure, такие как serverless. Лямбды в AWS появились лишь в 2014! Мини-курс по уязвимостям AWS можно пройти тут.
- Мобильные платежи. ApplePay, GooglePay, WePay, AliPay и другие развились после 2014-2015. Кучу ресёрчей по уязвимостям этих штук делал Тимур.
- AI. Да, ИИ пока не существует, а статистике не первый десяток лет, но нейронные сети стали коммодити недавно, Tensorflow выпустили лишь в 2015. А после 2018 стали обычным делом атаки на машинное обучение, есть даже готовые фреймворки.
- Nginx. Разработка-то началась давно, но популярность пришла позже, одноимённая компания создана лишь в 2011, а сейчас большая часть интернета работает на этом продукте. Надо хотя бы уметь проверять безопасность конфигов.
Это только то, что удалось с ходу вспомнить. Сейчас мне трудно представить, что об этих технологиях можно не знать, можно совсем не уметь их ломать или строить продукты на их основе, а ведь всего 10 лет назад их не было вообще!
Главный вопрос — о чём мы сможем сказать то же самое, через 10 лет?
Что нужно начать делать и изучать сейчас, чтобы иметь преимущество в 2030?
Подписывайтесь на канал и узнаете (но это не точно) :D
Мы зачастую не замечаем, насколько стремительно развиваются технологии, а ведь многие привычные нам вещи появились совсем недавно.
Вот например, сейчас веб-хакер обязан хоть на каком-то приемлемом уровне понимать облака, докер, контейнеры, веб-серверы и многослойные архитектуры.
Так вот сейчас трудно представить области, в которых можно быть вменяемым специалистом без знания основ технологий (конечно, не всех сразу, в каждой специализации своё), которые появились за последние 5-10 лет:
- Вебсокеты. Сюрприз, нормальная их поддержка появилась лишь после 2013, а большинство WAF и Anti-DDoS не поддерживают до сих пор. Уязвимости вебсокет-приложений довольно типичны.
- HTML5. Это 2014, но вы только подумайте, хлеб client-side web-хакеров, поддержка CORS, начала появляться в браузерах лишь с 2010!
- Докер. Только в 2013 появилась самая первая версия. Типичные уязвимости докеров уже во всех читшитах.
- Кубернетес. Год рождения — 2014. Уже есть и багбаунти, и различные тулзы для аудита конфигов, и специализированные средства защиты.
- Блокчейн. Биткоин уже подросток, но Ethereum появился в 2015, создав целую специальность по разработке и взлому смарт-контрактов. Вкатиться во взлом смарт-контрактов за пару дней можно тут.
- Новые технологии в AWS, GCP, Azure, такие как serverless. Лямбды в AWS появились лишь в 2014! Мини-курс по уязвимостям AWS можно пройти тут.
- Мобильные платежи. ApplePay, GooglePay, WePay, AliPay и другие развились после 2014-2015. Кучу ресёрчей по уязвимостям этих штук делал Тимур.
- AI. Да, ИИ пока не существует, а статистике не первый десяток лет, но нейронные сети стали коммодити недавно, Tensorflow выпустили лишь в 2015. А после 2018 стали обычным делом атаки на машинное обучение, есть даже готовые фреймворки.
- Nginx. Разработка-то началась давно, но популярность пришла позже, одноимённая компания создана лишь в 2011, а сейчас большая часть интернета работает на этом продукте. Надо хотя бы уметь проверять безопасность конфигов.
Это только то, что удалось с ходу вспомнить. Сейчас мне трудно представить, что об этих технологиях можно не знать, можно совсем не уметь их ломать или строить продукты на их основе, а ведь всего 10 лет назад их не было вообще!
Главный вопрос — о чём мы сможем сказать то же самое, через 10 лет?
Что нужно начать делать и изучать сейчас, чтобы иметь преимущество в 2030?
Подписывайтесь на канал и узнаете (но это не точно) :D
🤡4👍2🔥1🤔1🙏1
Одним из интересных направлений "будущего", упомянутых в посте выше, является безопасность систем машинного обучения.
Это тема на стыке собственно науки об анализе данных и компьютерной безопасности. Следует разделять уязвимости самих алгоритмов, моделей и ошибки деплоя или имплементации.
Мне приходилось несколько раз анализировать защищённость AI-продуктов, для которых главной угрозой являлась утечка интеллектуальной собственности (модели нейронной сети, датасета, скриптов).
Ни разу при этом дело не дошло до матана и умных атак (а ведь так хотелось), потому что намного проще поломать классическими способами (однажды на это ушло ровно 6 минут).
Например, могут быть уязвимости при конвертации изображений, получаемых от пользователя (ведь обычно AI-продукты — это про компьютерное зрение), такие как command injection или уязвимости в ffmpeg, imagemagick и других библиотеках для конвертации.
Также нельзя забывать про инфраструктуру проведения ML-экспериментов: дата саентист может забыть закрыть от посторонних глаз свой инстанс Tensorboard или Jupyter notebook, что может привести к исполнению кода и утечке моделей.
Что же касается уязвимостей в ML, то главное, что нужно про них понимать, это модель нарушителя. Необходимо определить, что может знать атакующий (используемый алгоритм, гиперпараметры, датасет, фичи, собственно саму модель), и что он может делать (отравлять датасет, получать бинарные ответы о классификации, получать вероятностные ответы).
Про всё это хакеры задумывались давно, но году в 2016 я не мог в окружении найти людей, которые бы занимались этим направлением, никто этим не интересовался, а в 2017 в мире начался бум исследований в области Adversarial Machine Learning.
Конечно, пейперы про adversarial examples были уже давно, но одной из первых популярных статей стал блогпост про знаменитую панду-гиббона.
Посмотрите презу с моего доклада на KazHackStan 2017 про сабж. Экспертом не являюсь, так что это поверхностный взгляд с точки зрения пентестера.
Это тема на стыке собственно науки об анализе данных и компьютерной безопасности. Следует разделять уязвимости самих алгоритмов, моделей и ошибки деплоя или имплементации.
Мне приходилось несколько раз анализировать защищённость AI-продуктов, для которых главной угрозой являлась утечка интеллектуальной собственности (модели нейронной сети, датасета, скриптов).
Ни разу при этом дело не дошло до матана и умных атак (а ведь так хотелось), потому что намного проще поломать классическими способами (однажды на это ушло ровно 6 минут).
Например, могут быть уязвимости при конвертации изображений, получаемых от пользователя (ведь обычно AI-продукты — это про компьютерное зрение), такие как command injection или уязвимости в ffmpeg, imagemagick и других библиотеках для конвертации.
Также нельзя забывать про инфраструктуру проведения ML-экспериментов: дата саентист может забыть закрыть от посторонних глаз свой инстанс Tensorboard или Jupyter notebook, что может привести к исполнению кода и утечке моделей.
Что же касается уязвимостей в ML, то главное, что нужно про них понимать, это модель нарушителя. Необходимо определить, что может знать атакующий (используемый алгоритм, гиперпараметры, датасет, фичи, собственно саму модель), и что он может делать (отравлять датасет, получать бинарные ответы о классификации, получать вероятностные ответы).
Про всё это хакеры задумывались давно, но году в 2016 я не мог в окружении найти людей, которые бы занимались этим направлением, никто этим не интересовался, а в 2017 в мире начался бум исследований в области Adversarial Machine Learning.
Конечно, пейперы про adversarial examples были уже давно, но одной из первых популярных статей стал блогпост про знаменитую панду-гиббона.
Посмотрите презу с моего доклада на KazHackStan 2017 про сабж. Экспертом не являюсь, так что это поверхностный взгляд с точки зрения пентестера.
🤡3👍1
По ряду просьб добавил к каналу чат, в котором можно опровергнуть или подтвердить мои или чужие утверждения (а интуиционисты могут не подтверждать и не опровергать): https://news.1rj.ru/str/masterbeched_chat
// Мне казалось, телеграм после этого должен добавлять к постам кнопку Discuss/Comment, но видимо для этого нужно подключить бота.
// Мне казалось, телеграм после этого должен добавлять к постам кнопку Discuss/Comment, но видимо для этого нужно подключить бота.
Telegram
Beched's Chat
@masterbeched channel discussion chat
Группа предназначена для комментирования постов в канале и плодотворных дискуссий на соответствующие темы.
Флуд запрещён, введён slow mode 1m. Запрещено распространение нелегальной информации, предложения о блекухе
Группа предназначена для комментирования постов в канале и плодотворных дискуссий на соответствующие темы.
Флуд запрещён, введён slow mode 1m. Запрещено распространение нелегальной информации, предложения о блекухе
🤡3
По мотивам рабочей недели привожу свой рейтинг качества недавно использованных мной программных продуктов гигантов глобальной или локальной IT-индустрии:
1) Яндекс.Директ — приемлемо
2) Google Adwords — приемлемо
3) Яндекс.Метрика — удовлетворительно
4) Google Analytics — удовлетворительно
5) Twitter ads — омерзительно
6) Paypal for Business — омерзительно
7) Facebook ads — омерзительно
Шесть из них — рекламные площадки и системы аналитики.
Есть ощущение, что в команды разработки рекламных площадок в принципе не нанимают QA-инженеров, это просто ужасные по качеству продукты. Они медленные, они не интуитивные, у них неактуальная или вводящая в заблуждение документация, у них баги во фронте, баги в серверной части, баги в интеграциях.
Причём самое удивительное, что ведь это кровь бизнеса, это именно то, что приносит деньги тому же Фейсбуку, но даже эта функциональность сайта нормально не работает (не говоря уже о таких маловажных вещах как посты, комментарии и т. д.).
Знаю, что сложно разрабатывать большие продукты, и эта сложность не очевидна извне. Например, над приложением Сбербанк Онлайн трудится ~70 команд, сотни людей!
Несмотря на это теоретическое знание о сложности менеджмента больших команд, я отказываюсь верить, что это действительно необходимо, и что это единственно правильный путь.
Видя такое низкое качество флагманских продуктов компаний с выручкой десятки миллиардов долларов в год, перестаёшь удивляться тому факту, что этим же компаниям регулярно приходится выплачивать исследователям десятки тысяч долларов за обнаруженные уязвимости в рамках программ Bug Bounty.
Было бы прикольно, если бы можно было репортить не только security issues, но и простые баги (которых я в роли обычного юзера нашёл десяток при самых обычных действиях).
Ведь едва ли какое-нибудь исполнение произвольного кода на какой-нибудь изолированной ноде второстепенного приложения ФБ принесёт столько же ущерба, как неправильный подсчёт статистики или неработающая кнопка при создании рекламной кампании.
Всё это лишняя почва для размышлений об оценке рисков и роли репутации, приоритизации бизнес-функций, а также об инертности человеческих коллективов и мизерности вклада отдельного сотрудника в общий успех корпораций.
При этом, конечно, на текущий момент это всё даёт нам, хакерам, лишнюю возможность заработать, эксплуатируя неэффективность процессов разработки в зажравшихся выручкой (или инвестициями, как Твиттер) компаниях 😉
1) Яндекс.Директ — приемлемо
2) Google Adwords — приемлемо
3) Яндекс.Метрика — удовлетворительно
4) Google Analytics — удовлетворительно
5) Twitter ads — омерзительно
6) Paypal for Business — омерзительно
7) Facebook ads — омерзительно
Шесть из них — рекламные площадки и системы аналитики.
Есть ощущение, что в команды разработки рекламных площадок в принципе не нанимают QA-инженеров, это просто ужасные по качеству продукты. Они медленные, они не интуитивные, у них неактуальная или вводящая в заблуждение документация, у них баги во фронте, баги в серверной части, баги в интеграциях.
Причём самое удивительное, что ведь это кровь бизнеса, это именно то, что приносит деньги тому же Фейсбуку, но даже эта функциональность сайта нормально не работает (не говоря уже о таких маловажных вещах как посты, комментарии и т. д.).
Знаю, что сложно разрабатывать большие продукты, и эта сложность не очевидна извне. Например, над приложением Сбербанк Онлайн трудится ~70 команд, сотни людей!
Несмотря на это теоретическое знание о сложности менеджмента больших команд, я отказываюсь верить, что это действительно необходимо, и что это единственно правильный путь.
Видя такое низкое качество флагманских продуктов компаний с выручкой десятки миллиардов долларов в год, перестаёшь удивляться тому факту, что этим же компаниям регулярно приходится выплачивать исследователям десятки тысяч долларов за обнаруженные уязвимости в рамках программ Bug Bounty.
Было бы прикольно, если бы можно было репортить не только security issues, но и простые баги (которых я в роли обычного юзера нашёл десяток при самых обычных действиях).
Ведь едва ли какое-нибудь исполнение произвольного кода на какой-нибудь изолированной ноде второстепенного приложения ФБ принесёт столько же ущерба, как неправильный подсчёт статистики или неработающая кнопка при создании рекламной кампании.
Всё это лишняя почва для размышлений об оценке рисков и роли репутации, приоритизации бизнес-функций, а также об инертности человеческих коллективов и мизерности вклада отдельного сотрудника в общий успех корпораций.
При этом, конечно, на текущий момент это всё даёт нам, хакерам, лишнюю возможность заработать, эксплуатируя неэффективность процессов разработки в зажравшихся выручкой (или инвестициями, как Твиттер) компаниях 😉
🤡3👍1
Застримил вчера в твитче лекцию про инъекции студентам (МИРЭА).
Сначала звук шипел, затем после лекции только заметил, что стримил только часть экрана, и студенты почему-то это посчитали нормой :D
Чувствую себя старпёром! Ведь в тренде уже стримить в VR и в майнкрафте, а я только добрался до твитча.
Вообще, давно думал постримить процесс поиска уязвимостей в каком-нибудь софте (не супер сложном, чтоб за время стрима получить хоть какие-то результаты), но тогда возникнет этическая проблема с раскрытием обнаруженных недостатков.
Так что скорее придётся стримить решение CTF-задач.
Зачем? Да потому что весело, есть коллективный разум, при этом под давлением хакать сложнее, да ещё нужно не палить переписки и рабочие файлы, пока что-то ищешь, так что это full distraction free mode с закрытием лишних окон и погружением в процесс.
Вообще, в карантин становлюсь блогером (хотя это частично совпадение): завтра буду давать интервью, а послезавтра — участвовать в подкасте.
Сначала звук шипел, затем после лекции только заметил, что стримил только часть экрана, и студенты почему-то это посчитали нормой :D
Чувствую себя старпёром! Ведь в тренде уже стримить в VR и в майнкрафте, а я только добрался до твитча.
Вообще, давно думал постримить процесс поиска уязвимостей в каком-нибудь софте (не супер сложном, чтоб за время стрима получить хоть какие-то результаты), но тогда возникнет этическая проблема с раскрытием обнаруженных недостатков.
Так что скорее придётся стримить решение CTF-задач.
Зачем? Да потому что весело, есть коллективный разум, при этом под давлением хакать сложнее, да ещё нужно не палить переписки и рабочие файлы, пока что-то ищешь, так что это full distraction free mode с закрытием лишних окон и погружением в процесс.
Вообще, в карантин становлюсь блогером (хотя это частично совпадение): завтра буду давать интервью, а послезавтра — участвовать в подкасте.
Twitch
beched - Twitch
beched streams live on Twitch! Check out their videos, sign up to chat, and join their community.
🤡3👍1
Через полчаса планируем стримить про приватность и мессенджеры в подкасте Noise Security Bit.
Присоединиться: https://www.youtube.com/watch?v=WTHaqFyV2tM
Присоединиться: https://www.youtube.com/watch?v=WTHaqFyV2tM
🤡3
Пришлось перегенерить ссылку на стрим, он теперь здесь:
https://www.youtube.com/watch?v=QMSBZlt1UzQ
https://www.youtube.com/watch?v=QMSBZlt1UzQ
YouTube
#NoiSeBit 0x21 ”о прайваси, безопасных мессенджерах и не только"
🤡3
Тем временем, продолжаю гастроли по блогам: сейчас идёт наш стрим про ML в ИБ в шоу "ИБшник на удалёнке" от ПТ:
https://www.youtube.com/watch?v=julmHD55cV4
https://www.youtube.com/watch?v=julmHD55cV4
🤡3