Le famigerate vulnerabilità Meltdown e Spectre scoperte dal team Google Project Zero hanno attirato anche l’attenzione dei politici. Il Congresso degli Stati Uniti (per la precisione la Commissione su Energia e Commercio della Camera dei rappresentanti) vuole avere maggiori chiarimenti sul modo in cui è stata gestita la divulgazione del problema, visto che le conseguenze di eventuali attacchi informatici interessano diversi settori, non solo l’information technology.
Meltdown e Spectre, presenti in ogni processore moderno, possono essere sfruttate per accedere alla memoria riservata del sistema operativo e delle applicazioni. Un malintenzionato potrebbe quindi eseguire un attacco informatico per rubare dati sensibili. Diverse aziende hanno già distribuito aggiornamenti per cercare di mitigare l’impatto delle vulnerabilità, ma la risoluzione completa richiede la riprogettazione dei processori. Il Congresso degli Stati Uniti ha apprezzato la celerità degli interventi, ma desidera avere maggiori chiarimenti sull’embargo.
I dettagli sulle vulnerabilità erano noti fin dal mese di giugno 2017, ma solo ad un numero limitato di aziende (meno di 10). Per studiare il problema in maniera approfondita era stato stabilito un embargo fino al 9 gennaio 2018. Un annuncio pubblico era programmato dopo la distribuzione delle patch. Invece, a causa della divulgazione delle informazioni, l’embargo è stato anticipato al 4 gennaio 2018. Ciò ha creato problemi per le aziende non coinvolte dall’origine che non hanno potuto offrire una protezione adeguata ai loro utenti in tempi brevi.
I membri della Congresso ritengono che la divulgazione delle vulnerabilità doveva avvenire in maniera coordinata e coinvolgendo più settori dell’industria, in quanto la cybersicurezza è una responsabilità collettiva. Pertanto, la Commissione ha inviato una lettera ai CEO di Apple, Amazon, AMD, ARM, Google, Intel e Microsoft, chiedendo di rispondere ad una serie di domande: perché è stato imposto l’embargo, chi ha proposto l’embargo, quando sono stati informati US-CERT e CERT/CC, se è stato valutato l’impatto dell’embargo sulle infrastrutture critiche. Le risposte dovranno pervenire entro il prossimo 7 febbraio.