在物联网上冲浪，是怎样一种体验？

作为9102年的新时代网民，我们好像对于搜索引擎的存在已经习以为常了。已经不会有人再像小时候第一次上微机课那样，在搜索引擎上胡乱发散好奇心，体验网上冲浪的快感。

但当另一种形式的搜索引擎出现，一切可就不一样了。

最近在推特上火了一个话题，叫#ShodanSafari，既在一款名叫Shodan的搜索引擎上网上冲浪。而冲浪的收获，是话题下发布的一张张监控摄像头截图。

在90年代一款古老的射击游戏网络奇兵中，Shodan是其中的大BOSS，是一台遍布全场时刻监视玩家行动的电脑主机。在2009年，一名名为John Matherly程序员决定让Shodan降临于现实生活，研发了一款名为Shodan的搜索引擎。

和谷歌、Bing这样信息内容检索的搜索引擎不同，Shodan可以通过特定类型的网络地址、SCADA(管理控制与数据获取系统)等等特征来搜索网络上的在线设备。

具体来说，通过对主机域名、指定端口、指定公司和地区等信息的过滤，Shodan可以找到包括服务器、路由器、摄像头、公共打印机等一系列的物联网设备。

不仅搜索到，Shodan还可以拦截端口数据、设置索引并且显示结果。也就是说人们通过Shodan可以搜索到一栋大楼中空调控制系统，从而看到每个房间的空调温度是多少。或是搜索到某一家医院的心率监控器，默默地盯着某一个病人的心跳。更可怕的是，当利用Shodan进行公共摄像头搜索时，甚至能看到摄像头所拍下的内容。

在推特的#ShodanSafari话题中，大多也是人们对于全球各地摄像头的截图。其中有情趣用品店的监控摄像头、有种植大麻的房间，甚至还有私人的儿童卧室。

有推特网友评价到，利用Shodan在物联网上冲浪的体验就如同垃圾箱潜水，没人知道打开下个摄像头后能看到什么惊人又猎奇的画面。

其实从创作者的初衷来说，Shodan的作用就是用来寻找那些不够安全、可以被随意访问的物联网设备，可人们很快发现，不够安全的物联网设备实在太多了。

其中很大一部分原因在于，很多廉价的物联网设备只是简单的将信息采集/控制端口与信息传输协议相连接，并没有进行额外的安全加密。而且很多设备并没有设置权限密码，或者用户没有修改“password”“000000”这样形同虚设的原始密码，导致访问者可以轻易获得权限。

从2013年开始，媒体就开始对ShodanSafari这种行为进行猛烈的抨击，因为使用Shodan进行物联网设备搜索已经脱离了一开始的初衷，而变成了一种恶意满满的行为。

1、 利用Shodan侵犯儿童隐私

CNN曾经对Shodan进行过报道，将其称为“最危险的搜索引擎”。其中的导火索，就是有人进入了家庭婴儿房的摄像头，盗摄下婴幼儿的视频并发布到网上。这种行为无形中已经和儿童色情这一敏感话题脱不开关系，一下引起了大众对于Shodan的反感。

2、 利用Shodan探知商业机密

Shodan的另一特点，是可以根据产品的品牌、型号来进行特定搜索。这也让很多以往无法被探知的商业机密浮上水面。例如有好事者搜索了一家名为“蓝色山羊”的摄像头联网情况，结果在一些禁售国家地区的物联网网络中发现了这一品牌的产品。

3、 Shodan的出现进一步加大了物联网设备被攻击的风险

Shodan进入的不仅仅是监控摄像头，还有很多物联网设备的控制界面。从话题#ShodanSafari下的发言中，甚至能找到交通信号灯、火葬场、卡车等等一系列设备，其中不乏安检扫描仪、工厂污染泄露监控器等敏感设备，如果有人对此进行破解，将造成难以想象的意外。甚至根本不需要破解，很多物联网设备的控制账号密码都是“admin,password”这样的组合。

不过好在Shodan的使用方式本身也有一些门槛，目前使用Shodan的大多数是调研机构、学术机构和少部分技术宅。即使应用方向有所偏差，目前也没有声音提出要对Shodan进行禁封。

不仅没有禁封，实际在IoT设备即将泛滥的未来，物联网搜索将会是一项非常旺盛的需求，也会是一项不错的生意。

首先，物联网设备供应商自己有丰富的设备检修、升级需求。

就像上文提到那些通过Shodan发现可被访问的设备，是可以通过设备商端口来进行统一升级补丁的。但有些用户自己可能不了解安全问题的重要性，拒绝了自动升级。这时设备商就可以通过搜索引擎来快速定位到未升级的设备位置，从而进行针对性解决。