Фактчек: правда ли, что Линус Торвальдс признался во встраивании бэкдоров по приказу ЦРУ

Исходная новость: текст

31 марта 2026 года в 19:14:19 UTC в Telegram-чате БАГодельня – Чат был опубликован пост https://t.me/bug_makers_chat/30734. Из embed-версии поста проектный парсер извлёк такой основной текст:

ЛИНУС ТОРВАЛЬДС ПРИЗНАЛСЯ В ВСТРАИВАНИИ БЕКДОРОВ ПО ПРИКАЗУ ЦРУ. https://youtu.be/7gRsgkdfYJ8 — Данное видео датируется 2013-ом годом, в следующем году была найдена уязвимость ShellShock, которая просуществовала 22 года (по анализу исходного кода GNU Bash первое появление этой уязвимости 1992-ой год) и представляет из себя НДВ, которая согласно Российским правовым документам в сфере ИБ представляет критическую опасность для конфиденциальности данных, также не стоит забывать про остальные уязвимости (DirtyCow: 2006-2018-ый, PwnKit: 2009-2021). Помимо этого в 2009-2011-ых годах был взломан kernel.org с доступом к исходникам ядра. При этом стоит учитывать заинтересованность Правительства США в сторону контроля за Информационными Технологиями, например, слитые Сноуденом Документы (в которых кстати фигурируют инструменты, позволяющие эксплуатировать уязвимости 0-го дня в linux) или Директива США от 15-го апреля 1993-го года.

Источник поста: https://t.me/bug_makers_chat/30734

Короткое резюме о новости

Ключевой тезис поста не подтверждается. Видео 2013 года не содержит доказанного признания Линуса Торвальдса во встраивании бэкдоров по приказу ЦРУ. В лучшем случае это был двусмысленный ироничный ответ на вопрос о том, обращалось ли к нему правительство США или NSA с просьбой о бэкдоре. Дальнейшее перечисление Shellshock, Dirty COW, PwnKit, взлома kernel.org, документов Сноудена и директивы от 15 апреля 1993 года не доказывает исходное обвинение: часть дат в посте неточна, часть фактов вырвана из контекста, а разные события из разных проектов и эпох склеены в одну конспирологическую цепочку.

Где факты, где оценки, где предположения

Факты

• 31 марта 2026 года в 19:14:19 UTC в @bug_makers_chat опубликован пост https://t.me/bug_makers_chat/30734.
• В посте есть ссылка на видео https://youtu.be/7gRsgkdfYJ8, которое относится к выступлению Линуса Торвальдса на LinuxCon 2013.
• Shellshock действительно публично раскрыли 24 сентября 2014 года (CVE-2014-6271), Dirty COW опубликовали 10 ноября 2016 года (CVE-2016-5195), PwnKit координированно раскрыли 25 января 2022 года (CVE-2021-4034).
• kernel.org действительно сообщил о компрометации инфраструктуры в 2011 году.
• 15 апреля 1993 года в США действительно была выпущена директива PDD/NSC-5 Public Encryption Management, связанная с key escrow и lawful surveillance.

Оценки

• Формулировка «признался во встраивании бэкдоров по приказу ЦРУ» является оценочным и сенсационным пересказом, а не установленным фактом.
• Связка «нашли старые уязвимости, значит был умышленный бэкдор» является интерпретацией автора поста, а не выводом из первичных источников.

Предположения

• Предположение, что старые уязвимости Bash, Linux kernel и polkit были частью единой линии внедрения закладок спецслужб, проверенными источниками не подтверждается.
• Предположение, что директива США от 15 апреля 1993 года или документы Сноудена доказывают приказ ЦРУ Торвальдсу, не подтверждается.

Новостиметр с пояснениями каждого пункта

Пиздежеметр: ★★★★★

Главный тезис про «признание» и «приказ ЦРУ» не доказан. В посте смешаны шутка или двусмысленный жест из публичного Q&A, реальные, но разнородные уязвимости и старые истории про госнадзор за криптографией. Итоговая конструкция выглядит как сильное искажение.

Пруфометр: ★★☆☆☆

У поста есть ссылка на одно видео и перечисление известных инцидентов, но нет ни одного источника, который прямо подтверждал бы приказ ЦРУ или признание Торвальдса. Для большинства тезисов нужны внешние проверки и уточнение дат.

Паникерометр: ★★★★☆

Пост построен как цепочка намёков на тотальный контроль и повсеместные закладки. Даже реальные факты в нём поданы так, чтобы усиливать тревогу и создавать впечатление доказанного глобального заговора.

Гойдометр: ★☆☆☆☆

Явного патриотического пафоса почти нет. Это скорее конспирологически-алармистская подача о западных технологиях и спецслужбах, чем патриотическая новость.

Что подтвердилось в новости

• Видео действительно относится к LinuxCon 2013. По разбору Techdirt от 19 сентября 2013 года, Торвальдсу задали вопрос, обращалось ли к нему правительство США с просьбой встроить бэкдор в Linux. Techdirt описывает его реакцию как ответ «no» при покачивании головой «yes», после чего зал засмеялся. Это подтверждает наличие двусмысленного эпизода, но не подтверждает достоверное признание. Источник: https://www.techdirt.com/2013/09/19/linus-torvalds-admits-he-was-approached-us-government-to-insert-backdoor-into-linux-did-he/
• Уязвимость Shellshock реальна. NVD указывает дату публикации CVE-2014-6271 как 24 сентября 2014 года. Дополнительный технический разбор на Unix Stack Exchange со ссылкой на старые changelog и списки рассылки указывает, что ошибка появилась ещё 5 августа 1989 года и вошла в bash-1.03. Источники: https://nvd.nist.gov/vuln/detail/CVE-2014-6271 , https://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-what-is-the-pat/157495#157495
• Уязвимость Dirty COW реальна. NVD указывает дату публикации CVE-2016-5195 как 10 ноября 2016 года. В многочисленных технических разборах уязвимость связывают с ядром Linux 2.6.22, выпущенным в 2007 году, а не с 2006 годом. Источник NVD: https://nvd.nist.gov/vuln/detail/CVE-2016-5195
• Уязвимость PwnKit реальна. Qualys пишет, что она затрагивает все версии pkexec с первого релиза в мае 2009 года, а координированное раскрытие произошло 25 января 2022 года. Источник: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034-
• kernel.org действительно пережил серьёзный инцидент в 2011 году. Linux Foundation объяснял 31 августа 2011 года, что сама инфраструктура была скомпрометирована, но целостность исходников защищалась распределённой моделью git, хэшами и копиями репозитория у множества разработчиков. Источник: https://www.linuxfoundation.org/blog/blog/the-cracking-of-kernel-org
• Директива от 15 апреля 1993 года существует. В тексте PDD/NSC-5 Public Encryption Management говорится о policy в сфере шифрования, key escrow и lawful electronic surveillance. Источник: https://irp.fas.org/offdocs/pdd/pdd-5.pdf

Что не подтвердилось или искажено в новости. Описание разоблачения со ссылками

• Не подтверждается фраза «Линус Торвальдс признался во встраивании бэкдоров по приказу ЦРУ». Даже в разборе самого эпизода речь идёт не о ЦРУ, а об общем вопросе про правительство США или NSA. Techdirt прямо отмечает, что по жесту и реакции Торвальдса «hard to tell» и что из этого невозможно надёжно вывести, имел он в виду «да» или «нет». Это не признание и не доказательство. Источник: https://www.techdirt.com/2013/09/19/linus-torvalds-admits-he-was-approached-us-government-to-insert-backdoor-into-linux-did-he/
• Подмена CIA на NSA или на «правительство США» искажает исходный сюжет. В источниках вокруг вопроса Торвальдсу фигурируют именно government/NSA, а не подтверждённый приказ ЦРУ. Это важная смысловая подмена, потому что пост делает обвинение конкретнее и громче, чем доступные материалы.
• Shellshock в посте датирован неточно. Проверяемые разборы указывают не на 1992 год и не на «22 года», а на появление бага ещё в августе 1989 года, с публичным раскрытием 24 сентября 2014 года. Между 1989 и 2014 прошло около 25 лет, а не 22. Источники: https://nvd.nist.gov/vuln/detail/CVE-2014-6271 , https://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-what-is-the-pat/157495#157495
• Dirty COW в посте датирован как «2006-2018-ый», что не бьётся с общепринятой датировкой. Уязвимость связывают с ядром 2.6.22 из 2007 года, а публичное раскрытие прошло в 2016 году. Источник: https://nvd.nist.gov/vuln/detail/CVE-2016-5195
• PwnKit в посте датирован как «2009-2021», но это упрощённо и неточно. Да, корень проблемы идёт от первой версии pkexec в мае 2009 года, но координированное публичное раскрытие состоялось 25 января 2022 года, а не в 2021-м. Источник: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034-
• Взлом kernel.org не доказывает успешную подмену исходников Linux. Linux Foundation прямо писал, что kernel.org был в первую очередь точкой распространения, а не единственным местом разработки, и что git с распределёнными копиями и хэшами позволял обнаружить подмену. То есть сам факт компрометации инфраструктуры реален, но использовать его как доказательство внедрённых бэкдоров в ядро нельзя. Источник: https://www.linuxfoundation.org/blog/blog/the-cracking-of-kernel-org
• Директива США от 15 апреля 1993 года не про Linux и не про приказ Торвальдсу. Это документ PDD/NSC-5 о государственной политике по шифрованию, key escrow и законному доступу к зашифрованной связи. Он подтверждает интерес правительства США к контролю над криптографией, но не подтверждает тезис о приказе встроить бэкдор в Linux. Источник: https://irp.fas.org/offdocs/pdd/pdd-5.pdf
• Склейка разных историй в одно «доказательство» некорректна. Shellshock относится к GNU Bash, PwnKit к polkit, Dirty COW к ядру Linux, а эпизод с Торвальдсом был публичным Q&A. Это разные проекты, разные типы уязвимостей и разные контексты. Само наличие старых багов или даже компрометации серверов не является доказательством умышленного выполнения приказа ЦРУ.
• Существует и обратный исторический пример: в 2003 году в Linux действительно пытались скрытно подсунуть классический backdoor вне обычного процесса утверждения, но эта попытка была замечена и не сработала. Это скорее аргумент в пользу того, что открытая модель разработки способна вскрывать такие вмешательства. Источник: https://blog.citp.princeton.edu/2013/10/09/the-linux-backdoor-attempt-of-2003/

Блок с правильным текстом новости

31 марта 2026 года в Telegram-чате @bug_makers_chat появился пост с утверждением, что Линус Торвальдс якобы признался во встраивании бэкдоров по приказу ЦРУ. Корректнее писать так: в публичном Q&A на LinuxCon 2013 Торвальдсу действительно задали вопрос, обращалось ли к нему правительство США с просьбой встроить бэкдор в Linux, но доступные материалы не подтверждают, что он сделал однозначное признание, и тем более не подтверждают приказ именно от ЦРУ. Наиболее аккуратный разбор этого эпизода указывает лишь на двусмысленную шутливую реакцию со стороны Торвальдса, которую нельзя превращать в доказанный факт. Источник: https://www.techdirt.com/2013/09/19/linus-torvalds-admits-he-was-approached-us-government-to-insert-backdoor-into-linux-did-he/

Перечисленные в посте старые уязвимости и инциденты действительно существовали, но они не доказывают исходное обвинение. Shellshock был публично раскрыт 24 сентября 2014 года, при этом технические разборы относят корень проблемы к bash-1.03 1989 года, а не к 1992 году. Dirty COW был публично раскрыт в ноябре 2016 года и обычно связывается с ядром 2.6.22 2007 года, а не с 2006-м или 2018-м. PwnKit действительно затрагивал pkexec с первой версии в мае 2009 года, но публичное раскрытие произошло 25 января 2022 года. Источники: https://nvd.nist.gov/vuln/detail/CVE-2014-6271 , https://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-what-is-the-pat/157495#157495 , https://nvd.nist.gov/vuln/detail/CVE-2016-5195 , https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034-

Компрометация kernel.org в 2011 году тоже реальна, но она не равна доказанному внедрению закладки в ядро Linux. Linux Foundation объяснял, что разработка ядра не зависела от одного сервера, а модель git и множество внешних копий репозитория позволяли обнаружить подмену исходников. Источник: https://www.linuxfoundation.org/blog/blog/the-cracking-of-kernel-org

Наконец, директива США PDD/NSC-5 от 15 апреля 1993 года действительно показывает, что американские власти были заинтересованы в механизмах lawful surveillance и key escrow для шифрования. Но она не относится к Linux, не упоминает Торвальдса и не подтверждает тезис о приказе на внедрение бэкдора. Источник: https://irp.fas.org/offdocs/pdd/pdd-5.pdf

Итог: пост в @bug_makers_chat опирается на реальные, но разрозненные факты и на старый двусмысленный эпизод с LinuxCon 2013, после чего делает значительно более жёсткий и недоказанный вывод о «признании» Торвальдса и «приказе ЦРУ». Корректная формулировка новости должна говорить не о признании, а о том, что вокруг старого выступления Торвальдса снова распространяют конспирологическую интерпретацию, которая не подтверждается первичными и профильными источниками.

Все использованные ссылки

• https://t.me/bug_makers_chat/30734
• https://youtu.be/7gRsgkdfYJ8
• https://www.techdirt.com/2013/09/19/linus-torvalds-admits-he-was-approached-us-government-to-insert-backdoor-into-linux-did-he/
• https://nvd.nist.gov/vuln/detail/CVE-2014-6271
• https://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-what-is-the-pat/157495#157495
• https://nvd.nist.gov/vuln/detail/CVE-2016-5195
• https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034-
• https://www.linuxfoundation.org/blog/blog/the-cracking-of-kernel-org
• https://irp.fas.org/offdocs/pdd/pdd-5.pdf
• https://blog.citp.princeton.edu/2013/10/09/the-linux-backdoor-attempt-of-2003/

Категории: Фактчекинг и разоблачения, Технологии и интернет, Медиа и пропаганда.
Теги: фактчек, Telegram, @bug_makers_chat, Linus Torvalds, Linux, Shellshock, Dirty COW, PwnKit, США.