在2009年舉辦的黑客大會DEFCON會上，一位名叫約翰·馬瑟利的黑客發布了一款名為“Shodan”的搜索引擎。其名字取自風靡一時的電腦游戲System Shock中的邪惡主機。Shodan誕生不久后，一些媒體驚呼，“世界上最可怕的搜索引擎”來了!

Shodan的力量

谷歌、百度等搜索引擎通過引用返回的內容進行檢索，而Shodan則通過來自各種設備的HTTP header以及其它標志性信息進行檢索。Shodan可以收集這些設備的信息，并根據其所屬國家、操作系統、品牌以及許多其它屬性進行分類。可以大致把谷歌、百度看做是網站內容搜索，而把Shodan看做是網絡設備搜索。國內與之類似的則是知道創宇于去年發布的Zoomeye，但Shodan只關注聯網設備的搜索，而Zoomeye除了聯網設備還可搜索網站組件，可以用來對web服務進行細節分析。

烏云的知識庫中這樣介紹Shodan：

Shodan能找到的設備：

服務器
路由器
交換機
公共ip的打印機
網絡攝像頭
加油站的泵
Voip電話和所有數據采集監控系統

Shodan能做的：

用戶搜索制定的項目
Shodan尋找端口并攔截數據
Shodan為攔截的數據設置索引
顯示結果

就在本月中旬，Shodan的創造者馬瑟利又高調地宣稱，Shodan將被打造成面向物聯網的嶄新搜索引擎。Shodan不僅能夠搜到某個區域的思科路由器，通過同樣的機制，它還可以搜到攝像頭、視頻廣告牌、車牌掃描儀、巨大的風力渦輪機以及許許多多的其它在線設備。

Shodan的性能十分靈活，很多人使用它是出于好奇心。舉例而言，馬瑟利使用Shodan搜到了連接到互聯網的車牌掃描儀，并發現1.3%的底特律司機使用的車牌是個性車牌，比如embalmer(尸體防腐劑)。

Shodan的力量可以被用在好的方面。制造商可以通過Shodan定位那些沒有打上最新版補丁的物聯網設備。銷售部門則可以使用它發現新的消費機會。比如通過一條Shodan搜索指令，就可以找到十所大學中需要調試的惠普打印機。

安全顧慮

盡管使用Shodan的人們可能是為了好奇或是研究，但它還是引發了許多需要考慮的安全因素。

Shodan并不能找到物聯網上的所有設備，它只是在互聯網上搜尋看上去是“可連接”的設備而已。物聯網設備中的大多數都是通過“智能Hub”(物聯網設備的路由器)單向傳輸數據的傳感器，它們都接入到和云端以NAT架構連接的家庭網絡中。

不過，根據馬瑟利的說法，物聯網Hub往往沒有選擇最優的安全策略。很多設備仍然啟用了Telnet，其密碼可能是默認密碼甚至是沒有密碼。如果這些Hub直連到互聯網上，Shodan就可以找到它們。而且，如果有人能夠通過互聯網訪問Hub，他就能監控穿過這些傳感器的探測數據。通過這種方法將可以監控那些將運動傳感器數據存儲在云端的家庭。竊聽者可以通過傳感器數據來確定是否有人在家。

使用Shodan搜索的下一步可能是入侵或登錄一個暴露在互聯網上的家庭路由器，因此Shodan可能會被用作一個指向性的DIY攻擊搜索引擎，但與一般搜索不同的是，它的目標是新近出現的消費設施。

如果是研究人員或白帽子使用Shodan，它就會成為在物聯網早期的混亂年代中的清道夫。在研究人員負責任的提交漏洞信息后，他們可以和物聯網設備制造商合作，在全網范圍內跟蹤那些沒有打上補丁的設備。使用良性的漏洞掃描循環可以讓每個人身邊的物聯網變得更安全。

但同樣，該引擎也可被惡意黑客毫無限制的利用。因此，它從誕生起就注定會引起無休止的爭議。

奧威爾的《動物農莊》中有句話，戰爭即和平。聯合國安全理事會的五大常任理事國分別為美、英、俄、法、中，但有多少人知道這五個國家同時也是世界上最大的武器供應商?