Innumerables dispositivos como enrutadores, sistemas de calefacción, impresoras, sistemas telefónicos y otra maquinaria de oficina tienen características de red en estos días. Pero también sistemas visibles públicamente como cámaras de seguridad, lavado de autos o incluso señales de tráfico. Esto hace que el Motor de búsqueda Shodan utilizar y visualizar una gran cantidad de dispositivos con conexión a Internet y de los cuales muy pocos están protegidos. El acceso a estos dispositivos apenas es posible para el usuario medio de Internet, pero es ridículamente fácil para un experto. Los dispositivos como las impresoras de red en particular a menudo quedan fuera de la ecuación cuando se trata de medidas de seguridad. El resultado: una impresora no segura con datos de acceso estándar se puede piratear y controlar fácilmente a través de una conexión a Internet.
Los usuarios de Shodan ya han encontrado sistemas de control para un parque acuático, una gasolinera, una vinoteca de hotel y un crematorio. Los expertos en seguridad han conseguido incluso localizar un sistema de mando y control de una central nuclear y un acelerador de partículas ciclotrón. Muchos de estos sistemas no estaban protegidos en absoluto o estaban insuficientemente protegidos. Cada mes, Shodan añade alrededor de 500 millones de nuevos dispositivos a su base de datos. Una búsqueda rápida de "Contraseña predeterminada" muestra toneladas de enrutadores, impresoras y servidores con inicios de sesión predeterminados y "1234" como contraseña. Muchos ni siquiera requieren datos de inicio de sesión y todo lo que necesita para acceder es un navegador web.
Durante la conferencia de ciberseguridad de Defcon el año pasado, el probador de seguridad Dan Tentler demostró lo fácil que es buscar dispositivos controlables con Shodan. Encontró un túnel de lavado que se podía encender y apagar y una pista de hockey sobre hielo en Dinamarca que se podía descongelar con solo presionar un botón. El sistema de control de tráfico de toda una ciudad podría ponerse en modo de prueba a través de Internet. Incluso se encontró con un sistema de control para una central hidroeléctrica en Francia. Muchos de estos dispositivos ni siquiera necesitan estar conectados a Internet. Muchas empresas compran soluciones de control completas que les brindan el mayor control posible. Para, por ejemplo, controlar un sistema de calefacción por computadora, el sistema de calefacción no está conectado directamente a la computadora de control, sino directamente a un servidor web. Ya se puede acceder al control de calefacción desde Internet. Casi nadie piensa en la seguridad aquí.
El propio Shodan se utiliza principalmente con fines legales. La búsqueda está limitada a diez accesos sin una cuenta y no permite ninguna personalización. Incluso con una cuenta de usuario gratuita, Shodan todavía está limitado a unas pocas páginas y no muestra todas las entradas. Si quieres verlo todo, tienes que enviar más información personal, una carta de motivación y una tarifa. Los usuarios principales de Shodan son probadores de seguridad, investigadores y agentes del orden. Además, los ciberdelincuentes suelen tener acceso a botnets que les proporcionan la misma información con menos riesgos. Los expertos en seguridad intentan utilizar Shodan para informar a los operadores afectados y educarlos sobre los puntos débiles del sistema. Sin embargo, decenas de miles de dispositivos, desde impresoras hasta centrales eléctricas, aún pueden ser atacados a través de Internet.