近期的一些教训提醒了美国五角大楼官员，使用商业云时需要采取额外的安全措施。为此，他们决定自己亲自动手进行查验。 五角大楼代理正职的副首席信息官大卫·麦考恩（David McKeown）在上周三AFCEA TechNet网络会议的小组讨论中表示，“近期发生的一系列事件表明，我们可能需要解决某些可见性问题，也许应该从外部视角来观察服务商为我们建造的云环境。” 美国国防部采购的云服务商会使用“一套严格的检查”，包括建立持续监控，并定期向国防部上报检查结果。 但泄露事件仍时有发生。为了防患于未然，国防部希望能够定期检查服务商代表客户运营的云基础设施。 麦考恩向外媒Defense One表示，“我们希望能了解基础设施周边发生了什么，甚至以内部的红队角度开展深入研究。” “因为一旦有人侵入云服务的管理程序…就相当于掌握了打开王国大门的钥匙。我们想确保服务商所拥有的一切都安全可靠，并且随着时间推移始终保持稳定。” 这个概念本身并不新鲜。2023年国防授权法案中的一项条款就授权五角大楼对保存机密级数据的云基础设施开展威胁评估。麦考恩表示，国防部一直在与云服务商合作，为定制的（而非商用的）云系统探索安全路径，并且迄今为止“还没有遇到过太大的阻力”。 麦考恩还提到，新的检查将采取“主动防御”形式，例如扫描IP地址以查找各类系统上的漏洞。 “我们可以开展外部扫描，看看有什么被暴露在了互联网上。如果确实易受攻击而且我们发现了问题，就会提醒供应商立即着手处理。在云端，我们也会采取同样的措施。” 近年来，五角大楼经历了多起数据泄露事件，包括今年2月美国特种作战司令部服务器的敏感邮件暴露事件，该服务器没有设置保护密码。 麦考恩在小组讨论中指出，“每当看到事件发生，都会出现我们把所有鸡蛋都放进云服务这个篮子里的批评声音。但我想用亲身经历向大家证明：我们也曾在部门之内构建并保护过各种系统，其实际水平远无法与云服务商的方案相提并论。” 总之，“我们双方必须在网络安全领域取得成功，这样才能携手并进、共赴未来。”     转自 安全内参，原文链接：https://www.secrss.com/articles/54472 封面来源于网络，如有侵权请联系删除

从按键和屏幕截图到录音和GPS定位追踪，据估计，到2025年，每10家美国公司中至少有7家会对员工进行数字监控，以观察衡量员工的生产力。 这项研究是由位于英国的在线简历制作商StandoutCV所建立的，他将2023年大流行后的监控趋势与该公司在2021年收集的相同统计数据进行了比较。据数据显示：每三个雇主中就有一个会使用追踪员工确切位置的工具，这个比例在过去两年中增加了44.85%。 通过研究这两年来近50种最受欢迎的监控工具，他们发现相比2021年，如今近25%的boss软件已经具有更多入侵性功能。 Fennell说，Covid-19大流行开始的时候远程工作还处于起步阶段，但如今的各类工具已经变得更精进了。例如，可以将截图设置为随机截取，在一天中的固定时间截取，或者基于触发动作截取，例如访问娱乐网站。 而在这些各大监控程序中，最受雇主欢迎的监控功能包括： 时间跟踪(96%) 截取员工电脑屏幕的截图(78%) 视频监控(42%) keylogging (40%) GPS定位追踪(34%) 通过员工设备内部麦克风录制员工的音频(8%) 比较可怕的是，这些工具中其实有38%是在没有员工意识到或明确许可的情况下秘密运行的。而且，超过80%的员工都受到实时监控。 Fennell表示：员工最私人的谈话可能会在他们没有事先同意或不知情的情况下在家中被录音。 尽管该研究确实显示，自2023年以来，隐形模式的使用略有减少，但这些“生产力”工具中有78%是基于雇主设定的条件。 这意味着没有标准；监控工具可以为每个员工、每个部门设置不同的监控工具，或者在没有理由或警告的情况下进行更改，这可能会导致工作场所的歧视、报复和打压工会活动。 转自 Freebuf，原文链接：https://www.freebuf.com/news/365937.html 封面来源于网络，如有侵权请联系删除

近日，Finish 报纸 Helsingin Sanomat 创建了一张定制的反恐精英：全球攻势 (CS:GO) 地图，明确用于绕过俄罗斯新闻审查并向俄罗斯玩家走私有关乌克兰战争的信息。   从 2022 年 3 月开始，在俄乌战争之后，俄罗斯开始封锁国际新闻媒体，以更严格地控制向俄罗斯受众传播的有关正在进行的战争的新闻。 CS:GO 是世界上最受欢迎的第一人称射击游戏之一，是 Steam 上玩得最多的游戏。CS:GO 尤其受到俄罗斯玩家的喜爱，据报道 ，俄罗斯玩家约占该游戏玩家总数的十分之一。 到目前为止，它还逃脱了俄罗斯的审查机器，允许来自该国的用户登录 CS:GO 服务器并不受限制地享受他们的比赛。 正如PC Gamer首次报道的那样 ，一张名为“ de_voyna ”的自定义 CS:GO 地图类似于斯拉夫城市的废墟，其中有一个秘密地下掩体，玩家可以访问该掩体以获取有关乌克兰战争的信息。 游戏地图的描述中写道：“从表面上看，它似乎是一座普通的斯拉夫城市。然而，可能隐藏着一些东西。” “de_voyna” 地图（上）和秘密掩体（下） 地下室以英语和俄语提供有关战争的一系列关键数据。这些信息包括来自可靠来源的俄罗斯军队死亡统计数据、导弹袭击和对平民实施的其他暴行的详细信息、图像和事件地点。 “目的是让俄罗斯人看到战争的恐怖正在他们看起来非常熟悉的地方发生。”该报纸在关于推出特殊 CS:GO 地图的专门页面上解释道。 突出事件地图 当玩家在“de_voyna”地图上死亡时，地堡也可以进入并变得更加明显，因为秘密房间在“飞行视图”模式下突出显示，对于那些不知道它存在的人来说很难错过。 该地图于 2023 年 5 月 3 日发布，恰逢世界新闻自由日，它刚刚开始获得关注，拥有超过 10,000 名订阅者。但是，不幸的是，它变得越流行，俄罗斯当局禁止 CS:GO 的可能性就越大。 那些有兴趣在他们的 CS:GO 安装中下载“ de_voyna ”的人可以通过游戏中的“Workshop Maps”部分或 Steam 桌面或 Web 应用程序进行下载。 Helsingin Sanomat 呼吁西方国家的玩家玩这张地图，并努力让俄罗斯玩家也玩这张地图，这就实现了它存在的主要目的。 从 Steam 获取“de_voyna” 去年，一个旨在向俄罗斯人“走私”有关乌克兰战争的信息的类似项目使用电影和游戏种子来实现。 该计划名为“真相洪流”，在盗版内容档案中植入视频和文本，共享有关如何使用 VPN 保持俄罗斯 ISP 匿名的信息以及可靠新闻来源列表。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/BERm_hAQCdu9_ZeKMwXvFQ 封面来源于网络，如有侵权请联系删除  

旧金山Claroty 网络战略副总裁 Josh Corman 于 4 月 26 日表示，对所有设备的软件物料清单 (SBOM) 的抵制，无论是真诚的还是虚伪的，都是误导的，并且对提高设备安全性造成了损害。 I am the Calvary 的创始人、 SBOM 政策的“创始人”Corman 说：“JAVA 一直在这样做，这始于 40 年代，不是为了网络安全，而是为了商业价值、质量和效率。SBOM不是新的、异国情调的、可怕的。那么为什么人们如此害怕呢？” 将 SBOM 包含在设备提交中的反对者谈到了增加的成本、知识产权的暴露，甚至是创建攻击设备路线图的可能性。将这些相同的概念应用于 CVE、MITRE Att&ck 甚至逆向工程工具，它会揭示偏见或错位的担忧。   围绕SBOM建立安全管理流程 白宫国家网络战略和 FDA 最近围绕医疗设备制造商的网络要求采取的行动证实了所有供应商的透明度和责任。 SBOM 绝不是灵丹妙药，它是一个数据层，可以让安全领导者更好地执行他们的工作。该标签提供了急需的透明度，并且数据证实，那些有权访问这些关键文件的人能够更好地解决已知问题。 SBOM 如何帮助组织缓解 Log4j 问题 以Log4j为例，根据一项研究，能够访问 SBOM 的实体不太可能面临倦怠，并且能够比没有访问权限的实体更快地保护受影响的设备。 然而，所有团体面临的最大挑战是供应链供应商的响应延迟。可以说，医疗保健行业面临着透明度方面的最大挑战之一，尤其是来自设备供应商的挑战。 Corman 提到了该国最大的卫生系统之一 Sutter Health 的 Log4j 响应，并将其与金融部门的响应进行了比较。一家未具名的金融实体能够通过 Log4j 从他们的供应商那里获得所需的信息，并且在四天内，他们修复了 4,000 个受影响的应用程序中的 80%。 另一方面，Corman 解释说，在 480 天之后，Sutter Health 仍未从 55% 的医疗器械和设备供应商那里收到能够修复缺陷的必要数据。Sutter Health 拥有“该国最成熟的网络安全计划之一”。 那个时间间隔长甚至不涉及补救，卫生系统甚至无法确定这些关键任务设备中可能存在 Log4j 的位置，医院拥有“不透明的供应链”。在 Log4j 被披露一年多之后，关键的救生设备仍然处于危险之中。  使用SBOM生成软件风险信息 大多数医院“不知道自己的代码中有什么”。大多数供应商无法让他们的客户通过风险来识别它。不透明会害死人，不透明可能已经杀了人。如果我们拥有技术，就让我们应用该技术。 大部分的阻力都是真诚的，并且植根于一系列担忧，其中一些与可能暴露的“无法解决的技术债务”的使用有关，甚至是由于在没有适当许可的情况下使用开源技术而产生的法律问题。 新发现的透明度确实可能会造成法律曝光，或者由于依赖于旧平台的令人难以置信的旧版本，迫使公司将许多设备推向生命周期的尽头。 “无论你是否表现出来，无法解决的技术债务都是真实存在的。人们害怕这种启示。” Corman继续说道，“人们担心每次报告已知的漏洞利用时，他们可能会受到持续的审查和问责。” 担忧是否合理？ 正如 Corman 直言不讳地说的那样，这背离了“通过默默无闻获得安全根本就不是安全的基本普遍信念”。 不仅如此，现在许多法规使这些争论成为一个有争议的问题。虽然行业团体继续反对这些要素，但 FDA 的新当局已对所有新医疗设备提交（包括 SBOM）强制执行网络要求。 正如SC Media 报道的那样，在10 月 1 日截止日期之前，FDA 已经在设备提交不包含这些必要元素时进行干预，届时他们将拒绝因未能满足要求而提出的申请。 这些最低网络卫生要求之所以成为可能，部分原因是我们现在可以看到，这些对医院的攻击造成了生命损失。 这里的关键是对所负责的客户直截了当，对自身是否以及何时能够解决这些问题设定期望，然后做出明智的成人决定，分担下游传递的风险。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/qL7ZEcx91UELxcrcmjassg 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员将展示他们如何在被称为世界上第一个道德卫星黑客演习的演示中夺取对欧洲航天局 (ESA) 卫星的控制权。 法国国防巨头泰雷兹（ Thales） 的专家周二宣布，他们将与 ESA 团队的成员一起，在巴黎的 CYSAT 会议上对攻击情景进行深入解释。 此次演习计划在一系列高度机密的美国情报文件公布之前进行。其中一份警告称，其他国家也正在发展类似的能力，以控制其评估为敌对卫星的卫星。 该文件称：“攻击者会模仿操作员的信号，可能使他们能够夺取对卫星的控制权，使其无法有效支持通信、武器或情报、监视和侦察系统。” 这次演示性黑客攻击是专门为 CYSAT 会议组织的，目的是举例说明现实世界中的网络攻击可能对太空民用系统造成的后果。 它针对的是 ESA 的OPS-SAT，这是一颗鞋盒大小的纳米卫星，于 2019 年 12 月发射，其中包含“一台比目前任何 ESA 航天器都强大十倍的实验计算机”。 OPS-SAT 的重点是解决实时测试任务控制系统所涉及的风险。Thales 表示，欧空局在整个演习过程中保留了对卫星系统的访问权限，以便之后可以恢复正常运行。 副总裁 Pierre-Yves Jolivet 说：“这次史无前例的演习是一个机会，可以提高人们对潜在缺陷和漏洞的认识……并提高卫星和太空计划的网络弹性，包括地面部分和轨道系统。” 尽管 Thales 演示的全部性质尚不清楚，但该公司表示其团队能够在看似传统的网络攻击中劫持用于操作演示卫星的多个系统。 该公司表示，其道德黑客利用卫星的“标准访问权限来控制其应用程序环境，然后利用漏洞并将恶意代码引入卫星系统。 Thales 说，“这使得有可能破坏发送回地球的数据，特别是通过修改卫星相机捕获的图像，并实现其他目标，例如在卫星图像中掩盖选定的地理区域，同时隐藏他们的活动以避免被欧空局发现。” 此次演示之际，空间网络安全总体上受到了专家的更多关注。美国政府支持的一个小组最近敦促拜登政府将太空指定为关键基础设施部门。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/kfE7-_hlEGvrIcJDjEFA0Q 封面来源于网络，如有侵权请联系删除

服务定位协议（SLP）被曝高严重性安全漏洞，该漏洞可被用作武器化，对目标发起体积性拒绝服务（DoS）攻击。 Bitsight和Curesec的研究人员Pedro Umbelino和Marco Lux在一份与《黑客新闻》分享的报告中说：攻击者利用这个漏洞可以发动大规模的拒绝服务（DoS）放大攻击，系数高达2200倍，有可能成为有史以来最大的放大攻击之一。 据称，该漏洞为CVE-2023-29552（CVSS评分：8.6），影响全球2000多家企业和54000多个通过互联网访问的SLP实体。 这其中包括VMWare ESXi管理程序、柯达打印机、Planex路由器、IBM集成管理模块（IMM）、SMC IPMI等其他665种产品。 易受攻击的SLP实体最多的前十个国家分别是美国、英国、日本、德国、加拿大、法国、意大利、巴西、荷兰和西班牙。 SLP是一个服务发现协议，使计算机和其他设备能够在局域网中找到服务，如打印机、文件服务器和其他网络资源。 攻击者利用受CVE-2023-29552漏洞影响的SLP实体，发起放大攻击，用超大规模虚假流量攻击目标服务器。 要做到这一点，攻击者需要做的就是在UDP 427端口找到一个SLP服务器并注册 ，直到SLP拒绝更多的条目，然后以受害者的IP作为源地址反复对该服务发起请求。 这种攻击可以产生高达2200倍的放大系数，导致大规模的DoS攻击。为了减轻这种威胁，建议用户在直接连接到互联网的系统上禁用SLP，或者过滤UDP和TCP 427端口的流量。 研究人员表示：同样需要注意的是，实施强有力的认证和访问控制，只允许授权用户访问正确的网络资源，并对访问进行密切监控和审计。 网络安全公司Cloudflare在一份公告中说，预计基于SLP的DDoS攻击的普遍性将在未来几周内大幅上升，因为攻击者正在尝试新的DDoS放大载体。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/364915.html 封面来源于网络，如有侵权请联系删除  

研究人员警告说，如果劫持者开始使用人工智能辅助的热成像技术来确定输入后不久的密码，目前基于密码的安全保护设施情况可能会恶化。格拉斯哥大学的研究人员公布了一种方法，通过对用户手指的热信号进行成像，来猜测键盘和手机屏幕上最近输入的密码，精确度很高。 该技术的成功率因时间、材料和密码长度的不同而不同，但可能会使最近设备盗窃案的上升趋势恶化。 盗窃者们最近开始通过观察用户在公共场合输入密码来偷窃和闯入他们的手机和其他设备。用受害者的密码登录是克服苹果和Google等公司煞费苦心实施的所有安全措施的直接方法，一旦有人偷窃并登录他们的设备，受害者就无能为力。 然而，一次成功的身份盗窃需要犯罪者记住他们看到的密码，或者在受害者输入密码时进行录音。研究人员的新方法可以给盗贼一个更广阔的窗口，让他们在有人输入密码后分辨出密码。 如果一个人在输入密码后一分钟内用热像仪拍下屏幕或键盘的照片，人工智能就能可靠地猜出按键的顺序。这个被称为ThermoScure的系统，根据不同的条件，至少有62%的成功率。 时间是关键，ThermoSecure在分析输入密码后20秒内拍摄的照片时，成功率为86%。30秒时成功率下降到76%，一分钟后下降到62%。 较长的密码在一定程度上降低了系统的有效性。ThermoSecure可以猜出一个16个字符的密码，在有人输入密码后20秒内拍摄的图片中，有67%的时间可以猜出。12个字符的密码的猜测率上升到82%，8个字符的密码为93%，6个字符的密码为100%。这些结果使任何非字母数字的iPhone密码成为该系统的主要目标，因为该设备的简单密码最多为六个数字。 对于键盘来说，打字方式和材料等其他因素也会影响ThermoSecure的准确性。通过30秒的热特征图像，系统可以猜出80%的触摸式打字员的密码，92%的情况下可以猜出猎取式用户的密码。同时，由PBT塑料制成的按键将成功率降低到14%，而ABS塑料只能将其降低到50%左右，背光键盘也更安全，因为它们会产生更多热量，隐藏热指纹。 身份盗窃者已经可以轻松而廉价地获得热敏相机。虽然将它们与人工智能驱动的猜测结合起来的方法还没有出现，但这项研究似乎证明了这一理论，使用户有更多理由制定强有力的安全措施。他们应该避免在别人看得见的地方输入密码，并尽可能使用其他认证方法，如生物识别技术。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7225708353542947339/ 封面来源于网络，如有侵权请联系删除

GitHub宣布正式上线提供私人漏洞报告功能，以便研究人员和更广泛的公众可以私下报告漏洞。有了这个功能，研究人员可以在不公开披露弱点的情况下报告漏洞。这确保了恶意行为者不会在修复措施发布之前利用这些漏洞。   私人漏洞报告首先在GitHub Universe 2022年作为公开测试版提供。从那时起，30000个组织的维护者已经在超过180,000个存储库中启用了该功能。GitHub表示，这种私人报告机制启动以来，已经收到了超过1000份报告。 随着GitHub将这一功能晋升为普遍可用，它还增加了几个新功能。第一个改进让维护者可以在其组织中的所有仓库上启用该功能，而不是一次只启用一个仓库。维护者还可以为那些帮助发现问题的人指定一个类型，一些类型包括分析员、发现者、赞助者等等。 最后，还有一个新的版本库安全顾问的API，方便与第三方系统的整合，自动提交，和漏洞警报。希望随着这一功能的普及，开源项目会变得更安全一些。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7223979662970946105/ 封面来源于网络，如有侵权请联系删除

在2023年第一季度中，沃尔玛被评为最有可能被网络犯罪分子在品牌网络钓鱼攻击中冒充的品牌。 根据Check Point研究公司的最新品牌网络钓鱼报告，沃尔玛在上一季度的排名中“名列前茅”，占全球所有网络钓鱼事件的16%。 世界各地都在受到网络钓鱼的侵扰，每天发送恶意电子邮件的数量更是惊人。 根据最近的网络钓鱼邮件统计数据，每天有高达34亿封网络钓鱼邮件被发送，相当于全球所有邮件发送量的1.2%。 2023年品牌网络钓鱼数据统计 预计在2023年，将有超过3300万条信息记录被勒索软件或网络钓鱼攻击勒索。网络犯罪分子将在未经授权的情况下获得全球数百万人的敏感数据。 2023年第一季度，与沃尔玛有关的网络钓鱼攻击激增。其原因与一场大型活动有关，该活动诱导人们点击一个所谓的 “供应系统故障 “的虚假链接。 DHL是本次品牌网络钓鱼报告中的“第二名”，占所有网络钓鱼事件的13%，而微软以12%紧随其后。 报告还指出，金融服务公司越来越成为网络钓鱼活动的目标。 Raiffeisen银行首次上榜，位列第八，占本季度网络钓鱼攻击的3.6%。 在Raiffeisen的网络钓鱼活动中，收件人被诱导点击一个恶意链接，以确保他们的账户免受欺诈活动的影响。然而一旦提交，信息就会被攻击者窃取。 Check Point软件公司数据组经理Omer Dembinsky说：”企业应该对员工进行适当的培训，以发现那些可疑的特征，如错误的域名、错别字、不正确的日期以及其他可能暴露恶意邮件或链接的细节。 犯罪组织精心策划的网络钓鱼活动，最终目的是获取尽可能多的个人信息。当然也包括其他目的，例如在Raiffeisen活动中观察到的攻击，目的是获取敏感的账户信息；针对流行的流媒体服务Netflix的攻击，是为了盗取支付细节。 现在网络钓鱼正变得越来越复杂，所以个人在回复电子邮件或点击链接时必须谨慎。 不惜一切代价保护数据 根据F5实验室2020年的网络钓鱼和欺诈报告，大多数网络钓鱼网站（55%）使用目标品牌名称来轻松捕获敏感信息。 84%的美国企业表示，定期的安全意识培训有助于降低员工受网络钓鱼攻击的比率。 令人震惊的是，根据IBM的2022年数据泄露报告，92%的网络钓鱼攻击在澳大利亚非常成功，相比前一年增加了53%。 在这些网络钓鱼攻击中，最常被冒充的品牌是亚马逊和谷歌，占13%的份额，其次是Facebook和Whatsapp，占9%，苹果和Netflix，占2%。 该报告还强调了一个问题，即由网络钓鱼引起的漏洞平均需要295天的时间来识别和控制，这是所有类型的安全漏洞中第三长的时间段。也因此企业和个人对这些攻击更要保持警惕。 在品牌网络钓鱼攻击中，犯罪分子试图使用类似的域名或URL和类似于真实网站的网页设计来模仿知名品牌的官方网站。 假网站通常包含一个表格，旨在窃取用户的凭证、付款细节或其他个人信息。 对网络钓鱼威胁的最好防御是了解网络钓鱼的攻击方式，因此公司应确保其员工接受培训，以识别可疑的电子邮件或链接。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364638.html 封面来源于网络，如有侵权请联系删除

据Dark Reading 4月21日消息，谷歌云平台 (GCP) 被曝存在一个安全漏洞，可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。 这个被称为“GhostToken”的漏洞是由 Astrix 安全研究人员发现并报告，根据该团队 4 月 20 日发布的分析，恶意程序之所以进行隐藏，是为了进一步读取受害者的 Gmail 帐户、访问 Google Drive 和 Google Photos 中的文件、查看 Google 日历以及通过谷歌地图跟踪位置，有了这些信息，攻击者就可以设计出极具迷惑性的网络钓鱼攻击。 除此之外，攻击者还可能从Google Drive 中删除文件，从受害者的 Gmail 帐户中写入电子邮件以执行社会工程攻击，从 Google Calendar、Photos 或 Docs 中敏感数据，等等。 如鬼魂般的恶意程序 谷歌云平台是谷歌所提供的一套公有云计算服务。该平台包括一系列在 Google 硬件上运行的用于计算、存储和应用程序开发的托管服务，也包括为最终用户托管各类应用程序，这些应用程序与其他应用程序生态系统一样，可通过谷歌应用市场下载。一旦用户授权下载，应用程序就会在后台收到一个令牌，根据应用程序请求的权限授予相应的Google 帐户访问权限。 但利用GhostToken 漏洞，网络攻击者可以制作一个恶意应用程序，将其植入到应用程序商店，伪装成合法的实用程序或服务。一旦用户下载并安装，便会隐藏在受害者的谷歌账户申请管理页面中，并无法从谷歌帐户中删除。此外，攻击者可以随时取消对恶意程序的隐藏状态，让其使用令牌访问受害者的帐户，然后再次隐藏并恢复成不可删除的状态。 Astrix 的研究员表示，这个特定的漏洞允许网络攻击者一方面可以访问组织的 GCP 环境，另一方面也可以访问个人 的Google Photos 和他们的电子邮件帐户，从而对企业和个人构成安全风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364315.html 封面来源于网络，如有侵权请联系删除