O Shodan catalogou mais de 500 milhões de dispositivos ligados à internet em todo o mundo. Criado pelo engenheiro de software John Matherly em 2009, o motor de busca varre continuamente o ciberespaço à procura de câmaras web, routers, sistemas SCADA, bases de dados expostas e servidores com configurações vulneráveis. A plataforma tornou-se indispensável para investigadores de segurança, equipas de resposta a incidentes e jornalistas que documentam falhas de infraestrutura digital global.

Pontos-chave

  • Motor de busca para dispositivos IoT e serviços expostos na internet
  • Inventaria mais de 500 milhões de dispositivos em 200 países
  • Criado por John Matherly em 2009, sediado em Austin, Texas
  • Usado por FBI, equipas CERT e investigadores académicos
  • Versão gratuita com limites; contas pagas a partir de 59 dólares

O que é a ferramenta

Shodan é um motor de busca que indexa banners — as cadeias de texto que serviços de rede apresentam quando alguém se conecta. Em vez de rastrear páginas web como o Google, o Shodan liga-se a portas TCP e UDP em todos os endereços IPv4 públicos, recolhendo informação sobre que software corre em cada porta, qual a versão, que protocolo fala e que configurações apresenta.

O processo de recrutamento decorre 24 horas por dia a partir de servidores distribuídos globalmente. Quando o Shodan encontra uma câmara IP com a porta 80 aberta, guarda o banner HTTP, a geolocalização do IP, a organização proprietária do bloco de endereços e até screenshots da interface de login. O resultado é um catálogo pesquisável da infraestrutura digital exposta do planeta.

Para profissionais que utilizam ferramentas de investigação OSINT, o Shodan oferece o mesmo tipo de poder de pesquisa, mas focado em dispositivos físicos em vez de pessoas ou organizações. A complementaridade com ferramentas de mapeamento de superfície de ataque é directa.

Funcionalidades principais

A linguagem de pesquisa do Shodan permite consultas precisas. O operador country:BR port:3389 lista todos os serviços de Remote Desktop expostos no Brasil. product:Apache version:2.4.49 encontra servidores web com uma versão que contém uma vulnerabilidade crítica conhecida. A sintaxe suporta filtros por organização, sistema operativo, hostname, certificado SSL e até hash de favicon.

O Shodan Monitor é a funcionalidade orientada para defensores. Uma organização regista os seus blocos de IP e o sistema alerta quando novos serviços aparecem expostos — uma base de dados MongoDB aberta sem autenticação, uma porta SSH num servidor que deveria estar isolado, um painel administrativo acessível sem credenciais. A detecção ocorre antes que atacantes encontrem o serviço.

O módulo Shodan Images apresenta screenshots de câmaras web com autenticação por defeito. A funcionalidade gerou controvérsia ética desde o lançamento, mas demonstra o problema que o Shodan expõe: milhões de dispositivos IoT são vendidos com credenciais padrão que nunca são alteradas. A base de dados Exploits cruza os resultados com vulnerabilidades CVE conhecidas, permitindo verificar quais dispositivos encontrados têm falhas documentadas.

Casos de uso reais

Equipas CERT usam o Shodan para identificar ativos nacionais expostos. O CERT.br, centro de resposta a incidentes do Brasil, utiliza dados da plataforma para notificar organizações sobre serviços vulneráveis antes que sejam comprometidos. O processo — chamado scan responsável — evita que pesquisadores tenham de realizar varreduras próprias, que poderiam ser confundidas com ataques.

Jornalistas de investigação empregaram o Shodan em reportagens sobre infraestruturas críticas. Em 2016, investigadores da Kaspersky usaram dados do Shodan para documentar mais de 7.000 sistemas de automação industrial expostos à internet — incluindo estações de tratamento de água e subestações eléctricas. A reportagem levou a notificações governamentais em vários países europeus.

Pesquisadores académicos estudam tendências de segurança global através de dados do Shodan. Um estudo da Universidade de Harvard publicou em 2023 analisou 1,2 milhões de dispositivos IoT e concluiu que 38% corriam firmware sem actualizações há mais de dois anos. A pesquisa não teria sido possível sem o inventário global mantido pela plataforma.

Posição no mercado

O Shodan não tem equivalente directo. O Censys, criado por investigadores da Universidade de Michigan, oferece uma plataforma concorrente com foco em dados de certificados SSL e académico. O ZoomEye, chinês, cobre um território semelhante mas com menor penetração no Ocidente. O BinaryEdge, português, combina funções de scan com inteligência de ameaças.

A monetização da plataforma assenta em subscrições. A conta gratuita permite pesquisas limitadas com registo obrigatório. O plano Academic, a 59 dólares anuais, serve investigadores. O plano Corporate, a partir de 299 dólares mensais, inclui Monitor, API completa e acesso a dados históricos. Grandes organizações contratam planos Enterprise personalizados.

A Shodan Inc. permanece uma empresa privada de pequena dimensão, com menos de 20 funcionários. A receita provém maioritariamente de subscrições Enterprise e de licenciamento de dados a plataformas de inteligência de ameaças comerciais que integram feeds do Shodan nos seus produtos.

Considerações finais

A ferramenta atrai críticas por facilitar a identificação de alvos vulneráveis. John Matherly defende consistentemente que o Shodan apenas indexa informação publicamente acessível — se um dispositivo responde a conexões não autenticadas na internet pública, qualquer pessoa pode encontrá-lo. A plataforma acelera o processo, mas não cria a exposição. A responsabilidade pela segurança dos dispositivos cabe a quem os configura e implementa.

A cobertura geográfica tem limitações. Redes que bloqueiam scanners do Shodan ou dispositivos atrás de firewalls correctamente configurados não aparecem nos resultados. A ausência de um serviço do índice do Shodan não significa segurança — significa apenas que o scanner não conseguiu aceder.

Para equipas de segurança defensiva, jornalistas e investigadores, o Shodan tornou-se infraestrutura essencial de investigação. A capacidade de localizar em segundos dispositivos vulneráveis numa organização, numa cidade ou num país inteiro transforma a forma como a exposição digital é compreendida — não como um problema abstracto, mas como um inventário tangível e pesquisável de fragilidades concretas.