Các nhà khoa học ở ĐH Ben Gurion (Israel) giới thiệu mô hình tấn công mạng nhằm vào các hệ thống thủy lợi thông minh, tự động hóa quá trình tưới nước cho vườn hoặc thảm cỏ. Họ đã quan sát 3 thiết bị tưới nước và phát hiện những nhược điểm mà hacker (tin tặc) có thể dựa vào đó để kiểm soát lưu lượng nước.
Sau khi phân tích hoạt động của các thiết bị tưới nước thông minh GreenIQ và BlueSpray, các nhà khoa học thấy rằng, kết nối của chúng với máy chủ ảo (máy chủ trong đám mây điện toán) không được mã hóa. Điều đó tạo thuận lợi cho kẻ tấn công truy cập vào cùng mạng nội bộ (mạng LAN), thay đổi mệnh lệnh được gửi đến hệ thống tưới nước, trong dạng tấn công gọi là tấn công xen giữa (man-in-the-middle attack).
Việc truy cập vào mạng LAN hoàn toàn không khó. Các nhà khoa học khẳng định, hacker có thể thuê dịch vụ botnet để tạo ra mạng các thiết bị giả với nhiệm vụ tìm kiếm các thiết bị tưới nước thông minh. Nếu không tìm thấy các thiết bị tưới nước kết nối với hệ thống thủy lợi, bot sẽ tự hủy để xóa dấu vết.
Hệ thống phun nước thông minh Rainmachine có thể tự động điều chỉnh hoạt động và các thông số tưới nước, theo dữ liệu từ dịch vụ dự báo thời tiết của Cơ quan Khí tượng Na Uy. Sau khi phân tích firmware (phần mềm hệ thống) của thiết bị phun nước, các nhà khoa học có thể làm giả dữ liệu dự báo thời tiết, bởi dịch vụ này được cung cấp thông qua kết nối không được mã hóa.
Mục đích của cuộc tấn công được phát hiện trong mạng LAN nhờ phân tích kết nối máy chủ ảo với một trong 3 hệ thống phun nước. Toàn bộ quá trình kéo dài 15 phút, bắt đầu từ thời điểm tìm kiếm thiết bị bị tấn công. Điều này là khả thi, bởi các nhà sản xuất thiết bị phun nước không cung cấp các sản phẩm IoT khác, nên trường tìm kiếm được thu hẹp.
Các nhà khoa học khẳng định, nếu bị tấn công mạng, các hệ thống phun nước tự động có thể gây ảnh hưởng đến việc cung cấp nước cho thành phố.
