„Shodan“ kūrėjas Johnas Matherly vadiną ją pavojingiausia interneto paieškos sistema: skirtingai nuo kitų, kurios pasauliniame tinkle ieško vartotojus dominančio turinio, „Shodan“ jame ieško vartotojų kompiuterių.
Skirtingai nei „Google“ paieškos robotai, be perstojo ropojantys po interneto serverius ir ieškantys naujos informacijos, „Shodan“ košia internetą ieškodama prie interneto prijungtų galinių įrenginių: serverių, asmeninių kompiuterių, maršrutizatorių, interneto vaizdo kamerų, spausdintuvų ir kitų IP adresus turinčių prietaisų, skelbia CNN.
Kiekvieną mėnesį ši paieškos sistema surenka informaciją apie maždaug 500 milijonų tokių įrenginių. Pasak CNN, tiesiog stulbina, ką „Shodan“ suranda pagal paprastus paieškos raktažodžius: tai ir prie interneto prijungtos apsauginės vaizdo kameros, šviesoforai, namų automatinio valdymo sistemos, šildymo prietaisai bei gausybė kitos įrangos.
„Shodan“ galimybių tyrinėtojai yra aptikę vandens parkų kontrolės sistemų, degalinių, viešbučio vyno vėsinimo įrenginį, krematoriumą ir netgi atominių elektrinių valdymo sistemas bei dalelių greitintuvus. Nesunku suprasti, kodėl „Shodan“ laikoma tokia pavojinga piktavalių rankose: anaiptol ne visi prie interneto prijungti galiniai įrenginiai yra pakankamai gerai apsaugoti nuo įsilaužėlių. Tereikia tik pabandyti prisijungti prie kurių nors iš daugybės aptiktų maršrutizatorių naudojant gamyklinius gamintojų slaptažodžius, kad įsitikintum nuostabą keliančiu interneto vartotojų nerūpestingumu.
Su „Admin“ prisijungimo vardu ir gamykliniu slaptažodžiu „1234“ ar „password“ galima prisijungti prie daugybės spausdintuvų, WWW kamerų ir įvairios per tinklą valdomos įrangos, sakoma pranešime. Dar daugiau prie interneto prijungtų įrenginių net nereikalauja autentifikavimo procedūros: viskas, ko reikia, tai interneto naršyklė. Praėjusių metų „Defcon“ kibernetinio saugumo konferencijoje nepriklausomas ekspertas Danas Tentleris vaizdžiai pademonstravo, kaip, pasitelkęs „Shodan“, rado prie interneto prijungtą automobilių plovyklos kompiterių sistemą ir galėjo internetu įjungti arba išjungti automobilio plovimo procesą.
Danijoje jis aptiko čiuožyklos šaldymo įrangą ir galėjo vienu mygtuko spustelėjimu ištirpinti ledo ritulio aikštę. Buvo aptikta ir vieno miesto eismo reguliavimo sistema, prie kurios prisijungus buvo galima tam tikra komanda perjungti ją į bandymo režimą. D. Tantleris taip pat parodė, kaip jis galėtų kontroliuoti vieną Prancūzijoje veikiančią hidroelektrinę su dviem 3 MW galios turbinomis.
Pasak ekspertų, didelė dalis „Shodan“ aptinkamų įrenginių iš viso neturėtų būti prijungti prie interneto. Įvairios bendrovės, įsigijusios komputerių tinklais valdomą ir kontroliuojamą įrangą, užuot tiesiogiai prijungusios ją prie savo vidinio tinklo nurodo IT personalui prijungti ją per interneto serverį. Žinoma, specialistai stengiasi užtikrinti reikiamą saugumo lygį, bet internetas platus, ir jame daug programinės įrangos spragas išmanančių įsilaužėlių.
Saugumu rūpinasi ir „Shodan“ kūrėjas. Užsiregistravusiems vartotojams jis apribojo paieškų skaičių iki 50, o neregistruotiems – iki 10. Jei kažkam to per maža ir norisi visų šios paieškos sistemos galimybių, „Shodan“ administracija paprašys pateikti apie save išsamių žinių, kad įsitikintų, jog šis asmuo nėra įsilaužėlis, ir, žinoma, paprašys susimokėti už paslaugas.
„Shodan“ labiausiai naudoja apsaugos nuo įsilaužėlių sistemas kuriantys specialistai, kompiuterių saugumo ekspertai, mokslininkai, teisėsaugos tarnybos, sakoma pranešime.