Правда ли, что Линус Торвальдс признался во встраивании бэкдоров по приказу ЦРУ

Статус проверки новости

Исходная новость: текст

31 марта 2026 года в 19:14:19 UTC в Telegram-чате БАГодельня – Чат был опубликован пост https://t.me/bug_makers_chat/30734. Из embed-версии поста проектный парсер извлёк такой основной текст:

ЛИНУС ТОРВАЛЬДС ПРИЗНАЛСЯ В ВСТРАИВАНИИ БЕКДОРОВ ПО ПРИКАЗУ ЦРУ. https://youtu.be/7gRsgkdfYJ8 — Данное видео датируется 2013-ом годом, в следующем году была найдена уязвимость ShellShock, которая просуществовала 22 года (по анализу исходного кода GNU Bash первое появление этой уязвимости 1992-ой год) и представляет из себя НДВ, которая согласно Российским правовым документам в сфере ИБ представляет критическую опасность для конфиденциальности

данных, также не стоит забывать про остальные уязвимости (DirtyCow: 2006-2018-ый, PwnKit: 2009-2021). Помимо этого в 2009-2011-ых годах был взломан kernel.org с доступом к исходникам ядра. При этом стоит учитывать заинтересованность Правительства США в сторону контроля за Информационными Технологиями, например, слитые Сноуденом Документы (в которых кстати фигурируют инструменты, позволяющие эксплуатировать уязвимости 0-го дня в linux) или

Директива США от 15-го апреля 1993-го года.

Источник поста: https://t.me/bug_makers_chat/30734

Короткое резюме о новости

Ключевой тезис поста не подтверждается. Видео 2013 года не содержит доказанного признания Линуса Торвальдса во встраивании бэкдоров по приказу ЦРУ. В лучшем случае это был двусмысленный ироничный ответ на вопрос о том, обращалось ли к нему правительство США или NSA с просьбой о бэкдоре. Дальнейшее перечисление Shellshock, Dirty COW, PwnKit, взлома kernel.org, документов Сноудена и директивы от 15 апреля 1993 года не доказывает исходное обвинение:

часть дат в посте неточна, часть фактов вырвана из контекста, а разные события из разных проектов и эпох склеены в одну конспирологическую цепочку.

Где факты, где оценки, где предположения

Факты

31 марта 2026 года в 19:14:19 UTC в @bug_makers_chat опубликован пост https://t.me/bug_makers_chat/30734.

В посте есть ссылка на видео https://youtu.be/7gRsgkdfYJ8, которое относится к выступлению Линуса Торвальдса на LinuxCon 2013.

Shellshock действительно публично раскрыли 24 сентября 2014 года (CVE-2014-6271), Dirty COW опубликовали 10 ноября 2016 года (CVE-2016-5195), PwnKit координированно раскрыли 25 января 2022 года (CVE-2021-4034).

kernel.org действительно сообщил о компрометации инфраструктуры в 2011 году.

15 апреля 1993 года в США действительно была выпущена директива PDD/NSC-5 Public Encryption Management, связанная с key escrow и lawful surveillance.

Оценки

Формулировка «признался во встраивании бэкдоров по приказу ЦРУ» является оценочным и сенсационным пересказом, а не установленным фактом.

Связка «нашли старые уязвимости, значит был умышленный бэкдор» является интерпретацией автора поста, а не выводом из первичных источников.

Предположения

Предположение, что старые уязвимости Bash, Linux kernel и polkit были частью единой линии внедрения закладок спецслужб, проверенными источниками не подтверждается.

Предположение, что директива США от 15 апреля 1993 года или документы Сноудена доказывают приказ ЦРУ Торвальдсу, не подтверждается.

Новостиметр с пояснениями каждого пункта

Пиздежеметр: ★★★★★

Главный тезис про «признание» и «приказ ЦРУ» не доказан. В посте смешаны шутка или двусмысленный жест из публичного Q&A, реальные, но разнородные уязвимости и старые истории про госнадзор за криптографией. Итоговая конструкция выглядит как сильное искажение.

Пруфометр: ★★☆☆☆

У поста есть ссылка на одно видео и перечисление известных инцидентов, но нет ни одного источника, который прямо подтверждал бы приказ ЦРУ или признание Торвальдса. Для большинства тезисов нужны внешние проверки и уточнение дат.

Паникерометр: ★★★★☆

Пост построен как цепочка намёков на тотальный контроль и повсеместные закладки. Даже реальные факты в нём поданы так, чтобы усиливать тревогу и создавать впечатление доказанного глобального заговора.

Гойдометр: ★☆☆☆☆

Явного патриотического пафоса почти нет. Это скорее конспирологически-алармистская подача о западных технологиях и спецслужбах, чем патриотическая новость.

Что подтвердилось в новости

Видео действительно относится к LinuxCon 2013. По разбору Techdirt от 19 сентября 2013 года, Торвальдсу задали вопрос, обращалось ли к нему правительство США с просьбой встроить бэкдор в Linux. Techdirt описывает его реакцию как ответ «no» при покачивании головой «yes», после чего зал засмеялся. Это подтверждает наличие двусмысленного эпизода, но не подтверждает достоверное признание. Источник:

1. https://www.techdirt.com/2013/09/19/linus-torvalds-admits-he-was-approached-us-government-to-insert-backdoor-into-linux-did-he/

Уязвимость Shellshock реальна. NVD указывает дату публикации CVE-2014-6271 как 24 сентября 2014 года. Дополнительный технический разбор на Unix Stack Exchange со ссылкой на старые changelog и списки рассылки указывает, что ошибка появилась ещё 5 августа 1989 года и вошла в bash-1.03. Источники: https://nvd.nist.gov/vuln/detail/CVE-2014-6271 ,

1. https://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-what-is-the-pat/157495#157495

Уязвимость Dirty COW реальна. NVD указывает дату публикации CVE-2016-5195 как 10 ноября 2016 года. В многочисленных технических разборах уязвимость связывают с ядром Linux 2.6.22, выпущенным в 2007 году, а не с 2006 годом. Источник NVD: https://nvd.nist.gov/vuln/detail/CVE-2016-5195

Уязвимость PwnKit реальна. Qualys пишет, что она затрагивает все версии pkexec с первого релиза в мае 2009 года, а координированное раскрытие произошло 25 января 2022 года. Источник: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034-

kernel.org действительно пережил серьёзный инцидент в 2011 году. Linux Foundation объяснял 31 августа 2011 года, что сама инфраструктура была скомпрометирована, но целостность исходников защищалась распределённой моделью git, хэшами и копиями репозитория у множества разработчиков. Источник: https://www.linuxfoundation.org/blog/blog/the-cracking-of-kernel-org

Директива от 15 апреля 1993 года существует. В тексте PDD/NSC-5 Public Encryption Management говорится о policy в сфере шифрования, key escrow и lawful electronic surveillance. Источник: https://irp.fas.org/offdocs/pdd/pdd-5.pdf

Что не подтвердилось или искажено в новости. Описание разоблачения со ссылками

Не подтверждается фраза «Линус Торвальдс признался во встраивании бэкдоров по приказу ЦРУ». Даже в разборе самого эпизода речь идёт не о ЦРУ, а об общем вопросе про правительство США или NSA. Techdirt прямо отмечает, что по жесту и реакции Торвальдса «hard to tell» и что из этого невозможно надёжно вывести, имел он в виду «да» или «нет». Это не признание и не доказательство. Источник:

1. https://www.techdirt.com/2013/09/19/linus-torvalds-admits-he-was-approached-us-government-to-insert-backdoor-into-linux-did-he/

Подмена CIA на NSA или на «правительство США» искажает исходный сюжет. В источниках вокруг вопроса Торвальдсу фигурируют именно government/NSA, а не подтверждённый приказ ЦРУ. Это важная смысловая подмена, потому что пост делает обвинение конкретнее и громче, чем доступные материалы.

Shellshock в посте датирован неточно. Проверяемые разборы указывают не на 1992 год и не на «22 года», а на появление бага ещё в августе 1989 года, с публичным раскрытием 24 сентября 2014 года. Между 1989 и 2014 прошло около 25 лет, а не 22. Источники: https://nvd.nist.gov/vuln/detail/CVE-2014-6271 , https://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-what-is-the-pat/157495#157495

Dirty COW в посте датирован как «2006-2018-ый», что не бьётся с общепринятой датировкой. Уязвимость связывают с ядром 2.6.22 из 2007 года, а публичное раскрытие прошло в 2016 году. Источник: https://nvd.nist.gov/vuln/detail/CVE-2016-5195

PwnKit в посте датирован как «2009-2021», но это упрощённо и неточно. Да, корень проблемы идёт от первой версии pkexec в мае 2009 года, но координированное публичное раскрытие состоялось 25 января 2022 года, а не в 2021-м. Источник: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034-

Взлом kernel.org не доказывает успешную подмену исходников Linux. Linux Foundation прямо писал, что kernel.org был в первую очередь точкой распространения, а не единственным местом разработки, и что git с распределёнными копиями и хэшами позволял обнаружить подмену. То есть сам факт компрометации инфраструктуры реален, но использовать его как доказательство внедрённых бэкдоров в ядро нельзя. Источник:

1. https://www.linuxfoundation.org/blog/blog/the-cracking-of-kernel-org

Директива США от 15 апреля 1993 года не про Linux и не про приказ Торвальдсу. Это документ PDD/NSC-5 о государственной политике по шифрованию, key escrow и законному доступу к зашифрованной связи. Он подтверждает интерес правительства США к контролю над криптографией, но не подтверждает тезис о приказе встроить бэкдор в Linux. Источник: https://irp.fas.org/offdocs/pdd/pdd-5.pdf

Склейка разных историй в одно «доказательство» некорректна. Shellshock относится к GNU Bash, PwnKit к polkit, Dirty COW к ядру Linux, а эпизод с Торвальдсом был публичным Q&A. Это разные проекты, разные типы уязвимостей и разные контексты. Само наличие старых багов или даже компрометации серверов не является доказательством умышленного выполнения приказа ЦРУ.

Существует и обратный исторический пример: в 2003 году в Linux действительно пытались скрытно подсунуть классический backdoor вне обычного процесса утверждения, но эта попытка была замечена и не сработала. Это скорее аргумент в пользу того, что открытая модель разработки способна вскрывать такие вмешательства. Источник: https://blog.citp.princeton.edu/2013/10/09/the-linux-backdoor-attempt-of-2003/

Блок с правильным текстом новости

31 марта 2026 года в Telegram-чате @bug_makers_chat появился пост с утверждением, что Линус Торвальдс якобы признался во встраивании бэкдоров по приказу ЦРУ. Корректнее писать так: в публичном Q&A на LinuxCon 2013 Торвальдсу действительно задали вопрос, обращалось ли к нему правительство США с просьбой встроить бэкдор в Linux, но доступные материалы не подтверждают, что он сделал однозначное признание, и тем более не подтверждают приказ именно от

ЦРУ. Наиболее аккуратный разбор этого эпизода указывает лишь на двусмысленную шутливую реакцию со стороны Торвальдса, которую нельзя превращать в доказанный факт. Источник: https://www.techdirt.com/2013/09/19/linus-torvalds-admits-he-was-approached-us-government-to-insert-backdoor-into-linux-did-he/

Перечисленные в посте старые уязвимости и инциденты действительно существовали, но они не доказывают исходное обвинение. Shellshock был публично раскрыт 24 сентября 2014 года, при этом технические разборы относят корень проблемы к bash-1.03 1989 года, а не к 1992 году. Dirty COW был публично раскрыт в ноябре 2016 года и обычно связывается с ядром 2.6.22 2007 года, а не с 2006-м или 2018-м. PwnKit действительно затрагивал pkexec с первой версии в

мае 2009 года, но публичное раскрытие произошло 25 января 2022 года. Источники: https://nvd.nist.gov/vuln/detail/CVE-2014-6271 , https://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-what-is-the-pat/157495#157495 , https://nvd.nist.gov/vuln/detail/CVE-2016-5195 ,

1. https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034-

Компрометация kernel.org в 2011 году тоже реальна, но она не равна доказанному внедрению закладки в ядро Linux. Linux Foundation объяснял, что разработка ядра не зависела от одного сервера, а модель git и множество внешних копий репозитория позволяли обнаружить подмену исходников. Источник: https://www.linuxfoundation.org/blog/blog/the-cracking-of-kernel-org

Наконец, директива США PDD/NSC-5 от 15 апреля 1993 года действительно показывает, что американские власти были заинтересованы в механизмах lawful surveillance и key escrow для шифрования. Но она не относится к Linux, не упоминает Торвальдса и не подтверждает тезис о приказе на внедрение бэкдора. Источник: https://irp.fas.org/offdocs/pdd/pdd-5.pdf

Итог: пост в @bug_makers_chat опирается на реальные, но разрозненные факты и на старый двусмысленный эпизод с LinuxCon 2013, после чего делает значительно более жёсткий и недоказанный вывод о «признании» Торвальдса и «приказе ЦРУ». Корректная формулировка новости должна говорить не о признании, а о том, что вокруг старого выступления Торвальдса снова распространяют конспирологическую интерпретацию, которая не подтверждается первичными и

профильными источниками.

Все использованные ссылки

1. https://t.me/bug_makers_chat/30734
2. https://youtu.be/7gRsgkdfYJ8
3. https://www.techdirt.com/2013/09/19/linus-torvalds-admits-he-was-approached-us-government-to-insert-backdoor-into-linux-did-he/
4. https://nvd.nist.gov/vuln/detail/CVE-2014-6271
5. https://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-what-is-the-pat/157495#157495
6. https://nvd.nist.gov/vuln/detail/CVE-2016-5195
7. https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034-
8. https://www.linuxfoundation.org/blog/blog/the-cracking-of-kernel-org
9. https://irp.fas.org/offdocs/pdd/pdd-5.pdf
10. https://blog.citp.princeton.edu/2013/10/09/the-linux-backdoor-attempt-of-2003/

Категории: Фактчекинг и разоблачения, Технологии и интернет, Медиа и пропаганда.

Теги: фактчек, Telegram, @bug_makers_chat, Linus Torvalds, Linux, Shellshock, Dirty COW, PwnKit, США.

Источник: https://fuckt-check.ru/faktchek-bug-makers-chat-linus-torvalds-backdoor-cia/