Sim, é razão para ter medo. O Shodan é um motor de busca que não dá as respostas comuns de uma pesquisa, mas que poderá dar acesso a tudo o que esteja ligado à rede
Enquanto o Google pesquisa por websites, o Shodan procura servidores, webcams, routers ou impressoras. Mas não se fica por aqui: pode localizar e permitir acesso a qualquer dispositivo ligado à rede, como smartphones, iPhones ou mesmo electrodomésticos e sistemas de domótica. No total, são 500 milhões de dispositivos e serviços postos a nu pelo Shodan.
Os utilizadores do Shodan conseguiram localizar os sistemas de controlo de um parque aquático, um posto de gasolina, semáforos e mesmo de centrais nucleares e de um acelerador de partículas.
O que torna o Shodan um motor de busca assustador não é o facto de localizar estes dispositivos, mas a falta de segurança que estes apresentam. H. D. Moore, chefe de segurança do Rapid7, afirma à CNN que é possível a ligação "a metade da internet com uma password por defeito". O Rapid 7 tem, ele mesmo, uma base de dados semelhante à do Shodan para efeitos de investigação. "É uma falha de segurança massiva", acrescenta.
Uma busca por "default password" revela uma infinidade de impressoras, servidores e sistemas de controlo que utilizam "admin" como nome de utilizador e "1234" como palavra-passe, e muitos outros que nem sequer pedem credenciais. Na conferência Defcon, Dan Tentler, um investigador independente, demonstrou ser capaz de ligar e desligar remotamente uma lavagem automática ou um ringue de hóquei no gelo que podia ser descongelado através de um clique.
Nas mãos erradas, o Shodan pode causar estragos imensuráveis: "pode fazer estragos sérios com isto", disse Tentler. Numa era em que é possível controlar até as fechaduras de casa com um iPhone, o maior problema é o facto de muitos destes dispositivos não devessem estar sequer ligados a uma rede de internet global. Ao invés de ligar sistemas internos a uma intranet, muitas equipas de IT de empresas ligam-nos simplesmente à rede global, inadvertidamente partilhando-os com o resto do mundo. John Matherly, criador do Shodan, diz ser "óbvio não haver segurança nestas coisas", mas que "não pertencem à internet, em primeiro lugar". O lado positivo é que o Shodan tem sido usado exclusivamente com bons propósitos.
O motor de busca limita as pesquisas a 10 sem conta e 50 com conta. Para ver tudo o que o Shodan consegue alcançar, é necessária muita burocracia e pagamento. Os principais utilizadores do motor de busca são "penetration testers", profissionais de segurança e investigadores académicos. Matherly admite que o Shodan pode ser utilizado como ponto de partida para hackers mal intencionados, mas acrescenta que os cibercriminosos normalmente utilizam botnets que conseguem fazer a mesma tarefa sem serem detectados. Até agora, maior parte dos ciberataques limitaram-se a roubar dinheiro ou propriedade intelectual, sem sequer haver um registo de tentativas de ataques maiores.
