Shodan.IO é um SaaS (Software as a Service). Ele permite encontrar e contabilizar dispositivos ligados à internet. Não apenas servidores web, mas qualquer dispositivo (roteadores, webcams, servidores) ligado à World Wide Web.
Shodan permite, por exemplo, que você investigue o espaço cibernético à volta de seu provedor internet. Bem , o gratuito Advanced Port Scanner também te ajudaria nisso, mas o Shodan tem muito mais recursos e muito mais protocolos. Ele pode, por exemplo prestar informação sobre uma unidade de controle numérico de uma usina nuclear. Serve, inclusive, para achar e acabar com seus riscos e vulnerabilidades.
Deve-se ter cuidado, porque o uso do Shodan em equipamento não autorizado pode ser crime nos EUA.
O sistema foi lançado em 2009, segundo a Wikipedia.
De tempos em tempos, o criador do sistema, John Matherly [1], abre inscrições a preço único: US$ 5. Isso dá acesso à pesquisa de 50 dispositivos.
Localizando a cidade de seu IP e analisando sua própria máquina.
Salto 0 : Meu desktop
Uma boa ideia para dominar a ferramenta é tentar obter informações sobre nosso próprio endereço IP. Shodan localizou corretamente a minha cidade no mapa, embora sem a acurácia do Google Maps. No máximo, deu para saber em que parte da cidade, mas não exatamente o bairro.
Fiquei preocupado com esta mensagem aqui:
Assustador, não ? Mas é só uma mensagem infeliz. A análise dos detalhes melhorou a situação:
Salto 3
Resolvi subir de nível a pesquisa, passando agora para o roteador do provedor de casa, localizado via traceroute [3]. O resultado foi “No open ports discovered”. Ok.
Salto 5
- SNMP:
- Versions: 3
- Engine Boots: 6
- Engineid Data: 0000197f000010e8783db801
- Enterprise: 6527
- Engine Time: 800 days, 17:57:13
- Enterprise Name: Alcatel-Lucent (formerly ‘Panthera Networks, Inc.’)
Salto 7
Sem resultado.
Salto 9
- ae2.3601.ear1.Atlanta1.net.lumen.tech
- Level 3 Parent, LLC
- United StatesUnited States, Atlanta
- No data returned
Salto 10
Sem resultados.
Salto 11
Sem resultados.
Salto 13
Provedor. Muitas informações sobre certificados, chaves ssh, cache, servidor etc.
[continua]
Críticas à ferramenta.
- Seria interessante que pudéssemos reorganizar os item do monitor, simplesmente arrastando-os. Eles entram por ordem de chegada e só se pode incluí-los e apagá-los.
- A quantidade de endereços possíveis para o plano é pequena. O Advanced IP Scanner e o Advanced Port Scanner fazem melhor, porque trabalham por faixas. Assim, enquanto o Shodan é vertical, pesquisa endereço por endereço, os outros são horizontais, pesquisando pela faixa de cada endereço.
- Pelo menos 1 vez tivemos erro 500.
- Uma coisa extremamente difícil é fazer logout no Shodan, uma vez que tenha feito login errado pelo Google. E ai de você, que não responder ao e-mail de confirmação !
Observações:
[1] Acho perfeita a simplicidade de sua autodefinição no Linkedin: “I run a small company that finds the stuff that’s not on Google.” Seria interessante desafiar jovens mentes a “Criarem empreendimentos (por enquanto pequenos) que façam coisas que outros (grandes empreendimentos) ainda não façam.”.
[2] Em certo momento vi as portas BGP e SNMP abertas num determinado salto. Mas sumiram como por encanto. Isso quer dizer que as análises não podem ser estáticas. Elas precisam se repetir no tempo.
[3] O Shodan não analisa redes internas ! Claro, nem poderia, pois está baseado na web.
ChatGpt5 diz:
Nos Estados Unidos, o uso do Shodan—que realiza varreduras e indexa dispositivos conectados à Internet—não é explicitamente proibido, mas seu uso pode envolver riscos legais sérios dependendo da finalidade e da forma como é empregado. A seguir, destaco as principais leis envolvidas, o que dizem e as possíveis penalidades:
—
1. Lei Federal: Computer Fraud and Abuse Act (CFAA) – 18 U.S.C. § 1030
O que prevê
O CFAA criminaliza o acesso não autorizado a computadores “protegidos” (*protected computers*) — que inclui qualquer sistema usado em comércio interestadual, econômica ou governamental [Wikipedia, 1].
As condutas tipificadas incluem:
* Acessar intencionalmente um computador sem autorização ou além da autorização concedida e obter informações [Wikipedia, 1];
* Transmitir programas ou comandos que causem dano, de forma proposital, a um computador protegido [Wikipedia, 1].
Jurisprudência e interpretação recente
* Decisão da Suprema Corte no caso Van Buren v. United States (2021) determinou que violar políticas internas ou termos de uso não configura, por si só, violação da CFAA—é preciso haver violação de controles técnicos formais [iclg.com, 2].
* Casos como VC3 v. Moulton, envolvendo port scanning não autorizado, foram considerados fora do escopo do CFAA — a ação foi julgada sem mérito [Cybernews, 3], [nmap.org, 4].
Penas previstas
Dependendo da conduta e do contexto, podem variar de:
* Até 1 ano de prisão em casos classificados como contravenção (misdemeanor), a…
* Até 10 anos ou mais, caso haja agravantes como lucro financeiro, danos significativos ou reincidência [LegalClarity, 5], [Wikipedia, 6].
Adicionalmente, podem haver ações civis por danos causados à vítima—como custos de investigação ou de reparo [LegalClarity, 5].
—
2. Leis Estaduais
Cada estado possui suas próprias normas sobre crimes cibernéticos, geralmente circundando acesso não autorizado ou danos a sistemas, com penalidades que variam significativamente. Exemplos:
* California: Penal Code § 502, até US$ 10.000 de multa e 3 anos de prisão [Wikipedia, 7].
* Texas: Acesso sem consentimento pode chegar a pena de 1ª grau (primeiro grau) — cárcere de longa duração, até prisão perpétua em casos graves, além de multa até US$ 10.000 [Bitcoin Insider, 8].
* Outros estados (Utah, Virginia, West Virginia etc.) têm variações que podem ir de contravenção a crime grave, com penas graves [HackerNoon, 9], [Bitcoin Insider, 8].
—
3. E quanto ao Shodan especificamente?
* Segundo a própria Wikipedia, usar o Shodan em relação a um dispositivo que você não possui pode ser considerado crime de felonia em alguns estados dos EUA, mesmo sem causar dano físico [Wikipedia,10].
* No entanto, ferramentas como Shodan são consideradas duais (dual-use): seu uso passivo, para reconhecimento ou pesquisa, é geralmente tolerado; mas toda ação ativa (como exploração, tentativa de acesso ou invasão) requer autorização expressa, ou pode ser ilegal [StationX, 11], [Border Cyber Group, 12], [Information Security Asia, 13].
* Comunidade especializada comenta:
> “Shodan is just a tool… It’s how the data it provides is used that determines legality” [Reddit, 14].
Outro usuário observa:
> “Shodan is an OSINT tool that is perfectly legal to use in the US… The grey area starts when you cross the red line of accessing someone’s system without permission.” [Reddit, 15]
—
—
Conclusão
Se você acessa ou explora sistemas alheios sem autorização, corre risco de ser acusado sob a CFAA ou leis estaduais — com penas que variam de prisões curtas a longas e multas expressivas. Já usando o Shodan apenas para visualização passiva (busca de banners, IPs visíveis), o risco é baixo, desde que não ultrapasse o limite técnico da mera pesquisa.
Mas vale sempre o bom senso ético e legal: usar a ferramenta com autorização expressa se o objetivo for teste ou exploração de sistemas, e evitar ações que possam ser interpretadas como invasão ou dano.
[1]: https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act?utm_source=chatgpt.com “Computer Fraud and Abuse Act”
[2]: https://iclg.com/practice-areas/cybersecurity-laws-and-regulations/usa?utm_source=chatgpt.com “Cybersecurity Laws and Regulations Report 2025 USA”
[3]: https://cybernews.com/editorial/port-scanning-legality-explained/?utm_source=chatgpt.com “Port scanning and legality | Cybernews”
[4]: https://nmap.org/book/legal-issues.html?utm_source=chatgpt.com “Legal Issues | Nmap Network Scanning”
[5]: https://legalclarity.org/when-is-port-scanning-considered-illegal/?utm_source=chatgpt.com “When Is Port Scanning Considered Illegal? – LegalClarity”
[6]: https://en.wikipedia.org/wiki/National_Information_Infrastructure_Protection_Act?utm_source=chatgpt.com “National Information Infrastructure Protection Act”
[7]: https://en.wikipedia.org/wiki/California_Comprehensive_Computer_Data_Access_and_Fraud_Act?utm_source=chatgpt.com “California Comprehensive Computer Data Access and Fraud Act”
[8]: https://www.bitcoininsider.org/article/36108/cyber-crimes-and-penalties-state-state-list?utm_source=chatgpt.com “Cyber Crimes and Penalties: A State-By-State List | Bitcoin Insider”
[9]: https://hackernoon.com/cyber-crimes-and-penalties-a-state-by-state-list-aba0891a7dcd?utm_source=chatgpt.com “Cyber Crimes and Penalties: A State-By-State List | HackerNoon”
[10]: https://en.wikipedia.org/wiki/Shodan_%28website%29?utm_source=chatgpt.com “Shodan (website)”
[11]: https://www.stationx.net/how-to-use-shodan/?utm_source=chatgpt.com “How to Use Shodan for Pentesting: A Step-By-Step Guide”
[12]: https://bordercybergroup.com/blog/posts/shodan-internet-search-open-intelligence?utm_source=chatgpt.com “Shodan: The Search Engine for the Internet of Things”
[13]: https://informationsecurityasia.com/what-is-shodan?utm_source=chatgpt.com “What is Shodan?”
[14]: https://www.reddit.com/r/AskNetsec/comments/rgkmn0?utm_source=chatgpt.com “Is Shodan illegal in any context?”
[15]: https://www.reddit.com/r/sysadmin/comments/mglsda?utm_source=chatgpt.com “Should I report this?”