O Shodan é o primeiro serviço de buscas que permite encontrar computadores e dispositivos conectados à rede. Nessa lista estão as Webcams, roteadores domésticos e empresariais, Smartphone, tablets, telefones VoIP, computadores, servidores, sistemas de videoconferência , monitores de bebê e até o sistema de refrigeração dos prédios. Além de informações sobre esses dispositivos, ele ainda rastreia e recolhe informações sobre servidores HTTP, FTP, SSH, Telnet, SNMP, SIP, etc. Na verdade, ele é uma das ferramentas mais perigosas já inventadas para esse fim. Por exemplo : Imagine que você comprou um roteador doméstico para configurar o Wi-Fi da sua casa, mas nunca mudou a senha padrão. Com o Shodan, alguém pode facilmente buscar o seu equipamento - já que o IP associado é público - e ter acesso à sua rede para fazer o que bem entender. Agora pense em quantas pessoas nunca alteraram a senha que vem de fábrica. Fiz uma pequena pesquisa só prá demonstrar a " fome " desse buscador. Pesquisei pela palavra Sony e ele retornou instantaneamente o que achou pelo mundo - na verdade encontrou mais de 1.000 dispositivos, mas selecionei os 3 primeiros só prá exemplificar - Endereço de Ip , endereço de rede, localização, provedor, sistema operacional , modelo do dispositivo e a data da ultima modificação. Só isso. :)
Para explicar o Shodan, o criador dele , John Matherly tem uma frase bem interessante : " O Google procura por websites. Eu procuro por dispositivos". Só prá se ter uma idéia da gravidade dessa " arma " , em uma procura rápida por uma rede Wi-Fi podem aparecer mais de 40 mil outros dispositivos iguais ou parecidos, e todos estão sujeitos a ataques. Na verdade o Shodan era para ser um serviço que poderia ser usado por empresas como a Cisco, Juniper ou Microsoft, para procurar dispositivos dos seus competidores pelo mundo. Mas o que aconteceu foi bem diferente : Os caras criaram o mecanismo de busca mais perigoso do planeta. Eles dizem saber que o mecanismo é usado por hackers e sabem que a invenção pode ser usada com más intenções, mas garantem que ninguém vai usar o serviço para , por exemplo, assumir o controle de uma usina de energia nuclear. Bem...quem sabe ? Isso não vai acontecer porque segundo eles o serviço não é anônimo. Para conseguir 50 resultados, o usuário precisa fornecer informações pessoais e de pagamento - Bom, eu acredito que não, porque rapidamente eu dei um balão no sistema e arranquei mais de 1.000 resultados - E outra coisa : o que é impossível para um hacker ? Fica valendo aquela máxima que eu sempre cito aqui : use senhas. Use senhas até para ir ao banheiro, mas senhas seguras, com muitos dígitos e sempre misturando números, letras maiúsculas, minúsculas e símbolos. Vai adiantar Rebolinho ? 100% não, mas dificulta bastante o trabalho...