SEO Man - وحید نامنی | SEO Expert & Open Source Researcher
اول از همه جریان از این قرار هست که پدر لینوس توروالدز آقای نیلز توروالدز که جزو سیاستمداران اروپایی هست حرفی رو زده که خیلی توی رسانه ها بازتاب پیدا کرده و کاربران بسیاری در این مورد بحث کردن. اما آقای نیلز گفتن که :
” وقتی از بزرگ ترین پسرم (لینوس توروالدز) در این باره سوال شد که آیا NSA با او تماس گرفته جواب داد «نه» اما همزمان سرش را به نشانه تایید تکان داد(!). بعد از آن هم که از لحاظ قانونی مشکلی نداشت و آزاد بود. او جواب درستی داد [اما] همه فهمیدند که NSA با وی در تماس بوده. “
مشکلی که با این جریان وجود داره اینه که لینوس توروالدز اصلا روی کدها نظارت مستقیم دیگه نداره و تنها از طریق maillist روی پیشنهادات نظر نهایی رو می ده. اون تیم اصلی گسترش دهندگان هست که نظارت مستقیم روی کد ها دارند. در نتیجه حتی اگر خود توروالدز هم بخواد امکان نداره.
اما اگر فرض رو بر این بگیریم که کد ها رو دستکاری کنند تا یک حفره ایجاد بشه چیزی که دور از انتظار نیست. چون نحوه گسترش کرنل طوری هست که همه می تونند از همه جا کد ها رو اضافه کنند. اگر برنامه نویسی ماهر باشه خیلی راحت می تونه یک حفره ایجاد کنه مثل چنین کدی :
if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
retval = -EINVAL;
در حالت عادی کد بالا مشکلی نداره ولی اونجایی که current->uid برابر با صفر قرار گرفته باعث ایجاد حفره می کنه!!!
اینو همه قبول دارند و بیشتری ها هم می گن اگر چنین چیزهای مشابه ای اضافه بشه توی کرنل خیلی سخته پیدا کردنش ! و راست هم می گن.
اما قبلا تیم گسترش روی این مسایل فکر کرده به خاطر همین کیلویی نیست که هر کسی هر کدی دلش خواست بیاد پیشنهاد بده . یک سری قوانین وجود داره مثل این قانون :
” Don’t put multiple statements on a single line unless you have something to hide. Don’t put multiple assignments on a single line either. Kernel coding style is super simple. Avoid tricky expressions. “
که به صراحت ذکر کرده که چنین کاری مجاز نیست.[ منبع ]
پدر لینوس به نظر من تنها استفاده سیاسی از این مورد کرده و هیچ وقت NSA خودش رو این طوری ضایع نمی کنه !
همه این ها به کنار وقتی NSA چیزی به نام SELinux داره چرا بره سراغ درپشتی !! SELinux صد در صد محصول خود NSA هست و برای تامین امنیت. باز هم این مورد رو در نظر نگیریم وقتی NSA می تونه مستقیما در تولید سخت افزار دخالت کنه چرا این روش رو بیاد انتخاب کنه . باز هم این مورد به کنار وقتی نرم افزار های غیر متن بازی که توی لینوکس استفاده می شه کافیه چند تا از اون ها رو مورد هدف قرار بده .
در کل اینکه توی کرنل در پشتی وجود داشته احتمالش خیلی خیلی کمه نزدیک به صفر اما نمی شه تضمین داد در بقیه برنامه ها چنین اتفاقی نیافتاده باشه.
