Innumerevoli dispositivi come router, impianti di riscaldamento, stampanti, impianti telefonici e altre macchine per ufficio dispongono ora di funzionalità di rete. Ma anche sistemi visibili al pubblico come telecamere di sicurezza, autolavaggi o persino segnali stradali. Questa circostanza viene presa in considerazione Motore di ricerca Shodan da utilizzare e visualizza un numero enorme di dispositivi dotati di connessione Internet e pochissimi di essi sono protetti. L'accesso a tali dispositivi è quasi impossibile per l'utente medio di Internet, ma ridicolmente facile per un esperto. Soprattutto i dispositivi come le stampanti di rete vengono spesso esclusi dalle misure di sicurezza. Il risultato: una stampante non protetta con dati di accesso standard può essere facilmente hackerata e presa in consegna tramite una connessione Internet.
Shodan-Nutzer haben bereits Kontrollsysteme für einen Wasserpark, eine Tankstelle, einen Weinkühler in einem Hotel und ein Krematorium gefunden. Sicherheitsexperten ist es sogar gelungen ein Kommando- und Kontrollsystem für ein Atomkraftwerk sowie einen Zyklotron Teilchenbeschleuniger zu lokalisieren. Viele dieser Systeme waren überhaupt nicht oder nur ungenügend geschützt. Jeden Monat fügt Shodan rund 500 Millionen neue Geräte zu ihrer Datenbank hinzu. Eine kurze Suche nach «Default Password» zeigt Unmengen an Routern, Druckern und Servern mit Standardlogins und «1234» als Passwort. Viele benötigen nicht einmal Zugangsdaten und alles was man zum Zugriff braucht, ist ein Webbrowser.
Durante la conferenza sulla sicurezza informatica Defcon dello scorso anno, il tester della sicurezza Dan Tentler ha dimostrato con quanta facilità Shodan può essere utilizzato per cercare dispositivi controllabili. Ha trovato un autolavaggio che poteva essere acceso e spento e una pista di hockey su ghiaccio in Danimarca che poteva essere sbrinata premendo un pulsante. Tramite Internet è possibile testare il sistema di controllo del traffico di un'intera città. Si è imbattuto anche in un sistema di controllo per una centrale idroelettrica in Francia. Molti di questi dispositivi non necessitano nemmeno di essere connessi a Internet. Molte aziende acquistano soluzioni di controllo complete che offrono loro il massimo controllo possibile. Per poter controllare ad esempio un impianto di riscaldamento tramite computer, l'impianto di riscaldamento non è collegato direttamente al computer di controllo, bensì direttamente ad un web server. Ora è possibile accedere al controllo del riscaldamento tramite Internet. Qui quasi nessuno pensa alla sicurezza.
Lo stesso Shodan viene utilizzato principalmente per scopi legali. La ricerca è limitata a dieci risultati senza account e non consente alcuna personalizzazione. Anche con un account utente gratuito, Shodan è ancora limitato a poche pagine e non mostra tutte le voci. Se vuoi vedere tutto, devi fornire più dati personali, una lettera di motivazione e un compenso. Gli utenti principali di Shodan sono tester della sicurezza, ricercatori e forze dell'ordine. Inoltre, i criminali informatici hanno solitamente accesso a botnet che forniscono loro le stesse informazioni, con minori rischi. Con Shodan gli esperti di sicurezza cercano di informare gli operatori interessati e istruirli sulle vulnerabilità del sistema. Tuttavia, decine di migliaia di dispositivi, dalle stampanti alle centrali elettriche, sono ancora vulnerabili agli attacchi via Internet.