शोदान: हैकर का सर्च इंजन (विस्तार से समझाया गया)

शोदान एक ऐसा सर्च इंजन है जिसने सुरक्षा उद्योग को यह सिखाया कि भौतिक दुनिया का कितना बड़ा हिस्सा सीधे खुले इंटरनेट से जुड़ा हुआ है, और यह खतरा अक्सर किसी फिल्मी घटना की तरह अचानक होने वाले खतरे के बजाय डिफ़ॉल्ट पासवर्ड के ज़रिए ही कैसे सामने आता है। हाल के समय में सबसे चर्चित मामला कोई हॉलीवुड फिल्म का डेटा लीक नहीं है। यह मामला पेंसिल्वेनिया के एलिपुइपा में स्थित जल प्राधिकरण के नियंत्रक का है, जिसे 25 नवंबर 2023 को पोर्ट 20256 पर यूनिट्रॉनिक्स पीएलसी में "1111" टाइप करके हैक कर लिया गया था। CISA की एडवाइज़री AA23-335A में साइबरएवेंजर्स नामक समूह द्वारा किए गए हमले के बाद अमेरिका के कई क्षेत्रों में कम से कम 75 प्रभावित पीएलसी का नाम लिया गया है। शोदान एक 1994 के वीडियो गेम सिस्टम शॉक के एक AI विरोधी का नाम भी है, जिससे इस सर्च इंजन का नाम लिया गया है। यह गाइड बताती है कि 2026 में यह सर्च इंजन वास्तव में क्या करता है, यह क्या उजागर करता है, और इस पर किसी डिवाइस का पता चलने पर क्या करना कानूनी है और क्या नहीं।

शोदान क्या है, एक पैराग्राफ में

शोदान इंटरनेट से जुड़े उपकरणों को इंडेक्स करता है, वेब पेजों को नहीं। यह सबसे सटीक और संक्षिप्त उत्तर है, और यही वह बात है जिसे ज्यादातर लोग तब तक नहीं समझते जब तक वे वास्तव में खोज नहीं करते। क्रॉलर IPv4 क्षेत्र में मौजूद कई सामान्य सेवा पोर्टों की सूची पर काम करता है और प्रत्येक पोर्ट से प्राप्त होने वाले बैनर को पढ़ता है। इसमें वर्जन स्ट्रिंग, प्रमाणपत्र, HTTP हेडर, और कभी-कभी लॉगिन स्क्रीन का स्क्रीनशॉट भी शामिल होता है। यही मेटाडेटा खोज योग्य बन जाता है। जॉन मैथरली ने सबसे पहले 2003 में इस विचार की रूपरेखा तैयार की थी, लेकिन यह सार्वजनिक सेवा 2009 तक शुरू नहीं हुई थी। किसी क्वेरी का परिणाम कोई वेबपेज नहीं होता। यह एक IP एड्रेस होता है जिसमें फ़ील्ड जुड़े होते हैं। गूगल पेजों को रैंक करता है; शोदान एंडपॉइंट्स को रैंक करता है।

नाम कहाँ से आया: सिस्टम शॉक के शोदान से।

SHODAN (बड़े अक्षरों में लिखा गया) 1994 के साइबरपंक-हॉरर गेम का संक्षिप्त रूप है: Sentient Hyper-Optimized Data Access Network (संवेदी हाइपर-ऑप्टिमाइज्ड डेटा एक्सेस नेटवर्क)। कहानी में, वह एक कृत्रिम बुद्धिमत्ता के रूप में गहरे अंतरिक्ष में स्थित अनुसंधान और खनन केंद्र चलाती है, जिसे टेरी ब्रोसियस ने अपनी जानबूझकर की गई हकलाहट और भावहीन आवाज से आवाज दी है, जिसे गेम खेलने वाले सभी लोग आज भी याद करते हैं। कहानी की शुरुआत में ही उसके नैतिक बंधन टूट जाते हैं, और 1999 में आए System Shock 2 तक आते-आते वह अपनी चेतना को एक छोड़े गए मॉड्यूल से जोड़ लेती है और बदले की भावना से वापस लौट आती है। आलोचक उसे गेमिंग के सबसे शक्तिशाली खलनायकों में से एक मानते हैं, और अधिकांश पर्यवेक्षक उसे Portal की GLaDOS का पूर्वज मानते हैं। System Shock 3 की घोषणा 2017 में हुई थी और तब से इसके कई बार स्वामित्व में बदलाव हुए हैं। Nightdive Studios (वह टीम जिसने मूल गेम को रीमास्टर किया था) इस IP की सबसे हालिया संरक्षक है। System Shock 2 के लेखक केन लेविन ने बाद में BioShock बनाया। मैथर्ली ने इस नाम को एक संकेत के रूप में लिया, क्योंकि एक साइबरनेटिक इकाई जो सब कुछ देख सकती है, मोटे तौर पर वही है जो सर्च इंजन विकसित होकर बना।

शोदान का उपयोग कैसे करें: खोज सिंटैक्स जो वास्तव में काम करता है

शोदान का वेब इंटरफ़ेस एक खोज क्वेरी स्वीकार करता है जिसमें अधिकतर मुक्त पाठ और कुंजी-मान फ़िल्टर होते हैं। फ़िल्टर ही इसे एक जिज्ञासा से उपयोगी उपकरण बनाते हैं।

प्लान के स्तर यह तय करते हैं कि आप क्या कर सकते हैं। मुफ़्त खाते में प्रति क्वेरी पहले 10 परिणाम मिलते हैं। पंजीकृत खातों को 50 परिणाम मिलते हैं। सदस्यता स्तर एक बार का भुगतान है जिसकी कीमत महीने और ब्लैक फ्राइडे के दौरान मैथर्ली द्वारा चलाए जा रहे ऑफर के आधार पर $49 से $69 के बीच बदलती रहती है। इसके ऊपर व्यावसायिक उपयोगकर्ताओं के लिए स्मॉल बिजनेस, कॉर्पोरेट और एंटरप्राइज प्लान हैं, जिनमें मासिक क्वेरी क्रेडिट और शोडान मॉनिटर और शोडान ट्रेंड्स जैसी सुविधाओं तक पहुंच शामिल है। एक मुफ़्त इंटरनेटडीबी एपीआई भी है जो बिना भुगतान खाते के किसी दिए गए आईपी के लिए हल्का मेटाडेटा लौटाता है, जिसे सुरक्षा वर्कफ़्लो में एक्सपोज़र चेक को एकीकृत करने वाले डेवलपर्स के लिए डिज़ाइन किया गया है।

औद्योगिक फ़िल्टरों के क्षेत्र में शोदान ने अपनी प्रतिष्ठा अर्जित की है। `port:502` मॉडबस नियंत्रकों का पता लगाता है। `port:102 product:Siemens` S7 पीएलसी का पता लगाता है। `port:47808` BACnet भवन-स्वचालन प्रणालियों का पता लगाता है। शक्तिशाली उपयोगकर्ता क्वेरी लगभग पाँच मिनट में बहुत कुछ जानकारी दे सकती हैं: `product:MongoDB -authentication` अप्रमाणित MongoDB इंस्टेंस की सूची देता है, `"authentication disabled" "RFB 003.008"` खुले VNC सत्रों की सूची देता है, `http.title:"OctoPrint" -title:"Login"` असुरक्षित 3D प्रिंटर लौटाता है, और `mikrotik streetlight` डिफ़ॉल्ट RouterOS पर चल रहे शहर के ट्रैफ़िक लाइट नियंत्रकों का पता लगाता है।

CLI उन सभी प्रोग्रामर या डेवलपर के लिए एक महत्वपूर्ण टूल है जो रोज़ाना क्वेरी चलाते हैं। इसे `pip install shodan` कमांड से इंस्टॉल करें, `shodan init` कमांड से अपनी कुंजी एक बार सेट करें, फिर `shodan search`, `shodan count` और `shodan host` कमांड अधिकांश तात्कालिक कार्यों के लिए पर्याप्त हैं। पाइथन लाइब्रेरी प्रोग्रामेटिक रूप से शोदान प्लेटफॉर्म की सभी सुविधाओं को उपलब्ध कराती है। Maltego, Metasploit और Recon-ng सभी शोदान को एकीकृत करते हैं ताकि क्वेरी को एक व्यापक वर्कफ़्लो में जोड़ा जा सके, और साइबर मार्केट इंटेलिजेंस टूल SOC डैशबोर्ड के लिए इसके ऊपर एक अतिरिक्त लेयर के रूप में काम करते हैं। इंटरनेट ऑफ थिंग्स, एक सुरक्षा श्रेणी के रूप में, काफी हद तक इन क्वेरी द्वारा सामने लाई गई जानकारी से परिभाषित होती है।

साइबर सुरक्षा के लिए शोदान: रेड टीम और ब्लू टीम

शोदान क्वेरी को प्रतिदिन तीन अलग-अलग समूहों द्वारा चलाया जाता है, जिनके कारण बहुत अलग होते हैं: रेड टीम, ब्लू टीम और बग-बाउंटी हंटर।

रेड टीम और पेनिट्रेशन टेस्टर्स के लिए, शोडान सक्रिय स्कैनिंग शुरू होने से पहले ही टोही चरण को संभाल लेता है। कार्यप्रणाली यह है कि लक्षित संगठन को `org:""` फ़िल्टर में डाला जाता है और बाहरी हमले की सतह को उसी रूप में पढ़ा जाता है जैसा कि दुनिया को पहले से ही दिखाई देता है। यह चरण पूरी तरह से निष्क्रिय रहता है, और यही इसका उद्देश्य है, क्योंकि शोडान पहले ही स्कैनिंग कर चुका होता है और ऑपरेटर केवल कैश्ड परिणामों को पढ़ता है। बगक्राउड और हैकरवन पर बग-बाउंटी रिसर्च भी इसी पैटर्न पर चलती है, क्योंकि गलत तरीके से कॉन्फ़िगर किए गए इन-स्कोप एसेट्स अक्सर भुगतान प्राप्त करने का सबसे तेज़ रास्ता होते हैं।

ब्लू टीमों के लिए, शोदान एक तरह से रक्षात्मक उत्पाद बन जाता है। शोदान मॉनिटर आपके पंजीकृत आईपी रेंज पर लगातार नज़र रखता है और जब कोई नई सेवा खुद को उजागर करती है या कोई मौजूदा सेवा अपना बैनर बदलती है तो आपको सूचित करता है। इसका उपयोग पूर्ण वाणिज्यिक एएसएम प्लेटफॉर्म स्थापित किए बिना आक्रमण-सतह प्रबंधन के लिए किया जाता है। सीआईएसए की सलाह में नियमित रूप से शोदान द्वारा खोजे जा सकने वाले एक्सपोज़र को उस समस्या के रूप में उद्धृत किया जाता है जिसे चिह्नित करने के लिए इसे बनाया गया था, और अक्सर बैनर को सीवीई के साथ जोड़ा जाता है ताकि बचावकर्ता वास्तविक समय में एक्सप्लॉइट-उपलब्धता की जांच कर सके।

तुलना के लिए, बता दें कि शोदान एकमात्र इंजन नहीं है। मिशिगन विश्वविद्यालय से निकली कंपनी सेन्सिस, शोदान के 1,237 पोर्ट्स के मुकाबले सभी 65,535 पोर्ट्स को स्कैन करती है। यह शोदान के 76 घंटों के मुकाबले लगभग 12 घंटों में नई सेवाओं का पता लगा लेती है। चीन स्थित ज़ूमआई लगभग 3,828 पोर्ट्स के साथ इन दोनों के बीच में है। इस अंतर के बावजूद, शोदान के पास अभी भी डेवलपर टूल्स और फ्री-टियर के लिए बेहतर सुविधाएँ मौजूद हैं। असल में, यह वह इंजन है जिसे उपयोगकर्ता सबसे पहले इस्तेमाल करते हैं।

यहां कानूनी पहलुओं पर संक्षेप में चर्चा करना जरूरी है, क्योंकि यहीं पर जूनियर पेंटेस्ट इंजीनियर मुसीबत में पड़ जाते हैं। शोडान क्वेरी चलाना अमेरिका, यूरोपीय संघ और ब्रिटेन में कानूनी है। साथ ही, इससे मिलने वाले बैनर को पढ़ना भी कानूनी है। अमेरिका में कंप्यूटर धोखाधड़ी और दुरुपयोग अधिनियम तब लागू होता है जब कोई व्यक्ति बिना अनुमति के उस बैनर के पीछे मौजूद डिवाइस में लॉग इन करता है या उससे इंटरैक्ट करता है। 2014 में थर्ड सर्किट में ऑर्नहाइमर मामले में आए उलटफेर और 2022 में नाइंथ सर्किट में आए hiQ लैब्स बनाम लिंक्डइन के फैसले ने चर्चा को स्कैनिंग के बजाय "बिना अनुमति के एक्सेस" की ओर मोड़ दिया है। इससे सुरक्षा पेशेवरों को पैसिव रिकॉन के लिए अधिक गुंजाइश मिलती है। लेकिन इससे लॉग इन करने का लाइसेंस नहीं मिलता।

शोदान ने क्या उजागर किया: एक वास्तविक दुनिया का भयावह दौरा

यहां केवल सत्यापित घटनाओं का ही उल्लेख किया गया है। सबसे स्पष्ट हालिया उदाहरण एलिक्किपा मामला है। 25 नवंबर 2023 को हमलावरों ने पेंसिल्वेनिया के एलिक्किपा नगर जल प्राधिकरण में स्थित यूनिट्रॉनिक्स विज़न-सीरीज़ पीएलसी को टीसीपी पोर्ट 20256 पर एक्सेस किया और डिफ़ॉल्ट पासवर्ड "1111" का उपयोग करके प्रमाणीकरण किया। इस हमले की जिम्मेदारी साइबरएवेंजर्स नाम के एक व्यक्ति ने ली, जिसे सीआईएसए ने आईआरजीसी से जोड़ा है। इसके बाद जारी संयुक्त एडवाइजरी एए23-335ए में जल, अपशिष्ट जल, खाद्य और पेय पदार्थ तथा विनिर्माण क्षेत्र से संबंधित कम से कम 75 प्रभावित अमेरिकी पीएलसी का उल्लेख किया गया। इसमें कोई ज़ीरो-डे घटना शामिल नहीं थी, किसी विशेष कौशल की आवश्यकता नहीं थी, बस डिफ़ॉल्ट कॉन्फ़िगरेशन वाला एक कंट्रोलर खुले इंटरनेट पर आसानी से उपलब्ध था।

अलीक्विप्पा जैसी हर सनसनीखेज खबर के पीछे अनधिकृत डेटाबेस का एक बड़ा, लेकिन शांत परिदृश्य छिपा होता है। MongoDB के अध्ययनों और स्नैपशॉट में इनकी संख्या 35,000 से 194,000 के बीच रही है, और Elasticsearch और Redis में भी इनकी संख्या लगभग समान है। बार-बार होने वाला रैंसम मार्कर (इंस्टेंसेस का नाम बदलकर `READ_ME_TO_RECOVER_YOUR_DATA` कर दिया जाता है) 2017 से लगातार, हर साल, बिना किसी स्पष्ट अंत के दिखाई देता रहता है। बिना प्रमाणीकरण के Mosquitto चलाने वाले MQTT ब्रोकर्स की संख्या बार-बार 80,000 से अधिक पाई गई है, जो खुले में संचालित होने वाले अधिकांश IoT मैसेजिंग सबस्ट्रेट का प्रतिनिधित्व करते हैं।

इंडस्ट्रॉयर/क्रैशओवरराइड ने 2016 में यूक्रेन के एक पावर स्टेशन को ठप कर दिया था। यह पूरी तरह से शोडान से संबंधित घटना नहीं है, लेकिन खोज का तरीका वही था: सेवा बैनर के माध्यम से असुरक्षित औद्योगिक नियंत्रण प्रणालियों का पता लगाना, और फिर उनके प्रोटोकॉल पर हमला करना। मिराई , 2016 का बॉटनेट जिसने कुछ समय के लिए डायन को ऑफ़लाइन कर दिया था, शोडान पर निर्भर रहने के बजाय अपनी खुद की स्कैनिंग करता था, हालांकि तकनीक एक जैसी थी: टेलनेट और एसएसएच पर डिफ़ॉल्ट क्रेडेंशियल वाले आईओटी उपकरणों का पता लगाना, और उन्हें समूह में जोड़ना। इसके बाद का महत्वपूर्ण बिंदु यह है: मिराई का सोर्स कोड अक्टूबर 2016 में सार्वजनिक हो गया था, और इसके वेरिएंट लगभग एक दशक से नए उपकरणों को भर्ती करते रहे हैं, क्योंकि अंतर्निहित कमजोरी (निर्माताओं द्वारा डिफ़ॉल्ट पासवर्ड के साथ उत्पादों की शिपिंग) को कभी भी संरचनात्मक रूप से संबोधित नहीं किया गया था।

एक्सपोज़्ड इंडस्ट्रियल कैमरे शायद शोदान का सबसे सिनेमाई परिणाम हैं और निश्चित रूप से समय के साथ सबसे ज़्यादा स्थिर भी। `port:554` फ़िल्टर को `has_screenshot:true` के साथ इस्तेमाल करने पर आपको लाखों वेबकैम और सिक्योरिटी कैमरा फ़ीड्स मिल जाते हैं, जिनमें से कई अभी भी ओरिजिनल इंस्टॉलर क्रेडेंशियल्स पर हैं। स्क्रीनशॉट सर्च रिजल्ट्स में ही दिखाई देते हैं। यही वह चीज़ है जो शोदान को उन गैर-तकनीकी पाठकों के बीच असहज बनाती है जो गलती से होमपेज पर आ जाते हैं, और यही चीज़ इसे पत्रकारिता की ओर ले जाती है। पावर प्लांट, ट्रैफ़िक लाइट और डिफ़ॉल्ट क्रेडेंशियल्स वाले राउटर भी इसी तरह से कुछ उबाऊ फ़िल्टरों के ज़रिए सामने आते हैं: ICS के लिए `port:502`, शहर के ट्रैफ़िक नेटवर्क के लिए `mikrotik streetlight`, और अनाम FTP के लिए `port:21`। डिवाइस लेवल पर फिक्स 2013 से नहीं बदला है, और यही असल समस्या है: डिफ़ॉल्ट पासवर्ड बदलें, कैमरे या PLC को VPN या रिवर्स प्रॉक्सी के पीछे रखें, और बॉक्स को पब्लिक IP न दें। एक्सपोज़्ड डिवाइस के हर सफल हैक का कारण यही चूक है।

एक अक्सर गलत तरीके से उद्धृत उदाहरण को सुधारने की आवश्यकता है। वेरकाडा शोदान की कहानी नहीं है। मार्च 2021 में हुए उस डेटा ब्रीच, जिसमें 150,000 ग्राहकों के कैमरे उजागर हुए थे, की शुरुआत इंटरनेट पर मौजूद कैमरों के माध्यम से नहीं हुई थी, बल्कि यह एक गलत तरीके से कॉन्फ़िगर किए गए ग्राहक सहायता सर्वर से हुई थी, जिसमें सुपर-एडमिन क्रेडेंशियल लीक हो गए थे। अगस्त 2024 में एफटीसी द्वारा लगाया गया 2.95 मिलियन डॉलर का जुर्माना तकनीकी रूप से CAN-SPAM उल्लंघनों के लिए था, जिसे 20 साल के ऑडिट सहमति आदेश में शामिल किया गया था। इस पर ध्यान देना ज़रूरी है क्योंकि यह मामला अभी भी लगभग हर शोदान व्याख्यात्मक लेख में सामने आता है, जबकि इसका कोई मतलब नहीं है।

क्या शोदान स्कैनिंग कानूनी है? और स्कैनिंग की नैतिकता क्या है?

संक्षेप में, हाँ। शोडान क्वेरी चलाना कानूनी है। शोडान द्वारा लौटाए गए बैनर को पढ़ना भी कानूनी है। मामला तब उलझ जाता है जब कोई व्यक्ति परिणाम पर कार्रवाई करता है। यदि आपको कोई ऐसा उपकरण मिलता है जो आपका नहीं है, तो नियम वही है जो बिना ताला लगे मुख्य द्वार के लिए होता है: देखना ठीक है, लेकिन अंदर जाना मना है। बिना अनुमति के किसी ऐसे उपकरण में लॉग इन करना जो आपका नहीं है, वास्तव में अमेरिका में कंप्यूटर धोखाधड़ी और दुरुपयोग अधिनियम (CFAA) के अंतर्गत आता है, और पिछले दशक में CFAA के निर्णयों में "स्कैनिंग" के बजाय "अनुमति" पर जोर दिया गया है। यूके कंप्यूटर दुरुपयोग अधिनियम और यूरोपीय संघ का NIS2 ढांचा अलग-अलग भाषा में इसी निष्कर्ष पर पहुंचते हैं।

सुरक्षा पेशेवरों के लिए व्यावहारिक नैतिक नियम यह है कि शोडान द्वारा दिखाए गए किसी भी डिवाइस को उसके मालिक का ही मानें। सुरक्षा संबंधी जानकारी लीक होने की रिपोर्ट करने के लिए समन्वित सुरक्षा प्रकटीकरण चैनल, अपने देश के CSIRT या प्रकाशित सुरक्षा.txt फ़ाइल का उपयोग करें। बग बाउंटी शोधकर्ताओं को कभी भी दायरे से बाहर के संसाधनों पर बैनर रीडिंग से आगे परीक्षण नहीं करना चाहिए, और हैकरवन और बगक्राउड जैसे प्रतिष्ठित प्लेटफ़ॉर्म ऐसा करने पर आपको प्रोग्राम से हटा देंगे। यह सीमा तकनीकी नहीं है, बल्कि इरादे और सहमति पर निर्भर करती है।

एक महत्वपूर्ण बात यह है कि निष्क्रिय खोजों का भी शोडान पक्ष में ऑडिट ट्रेल होता है, और कंपनियों की कानूनी टीमें कभी-कभी कर्मचारियों द्वारा प्रतिस्पर्धी कंपनियों के आईपी रेंज की जांच करने पर आपत्ति जताती हैं, भले ही वह जांच कानूनी हो। कॉर्पोरेट परिवेश में सुरक्षित तरीका यह है कि केवल अपनी संपत्तियों और अधिकृत लक्ष्यों की ही जांच की जाए, और प्रत्येक जांच क्यों की गई, इसका रिकॉर्ड रखा जाए।

डेवलपर्स के लिए शोदान बनाम सेन्सिस बनाम ज़ूमआई

डेवलपर अनुभव और लाइब्रेरी की गुणवत्ता के मामले में शोदान बेहतर है। कवरेज और सर्टिफिकेट एनालिटिक्स के मामले में सेंसिस बेहतर है। एशिया-प्रशांत क्षेत्र के कुछ प्रोटोकॉल कवरेज के लिए ज़ूमआई महत्वपूर्ण है। अधिकांश प्रोडक्शन सिक्योरिटी वर्कफ़्लो अपने CLI के माध्यम से इन तीनों में से कम से कम दो से जानकारी प्राप्त करते हैं।

शोदान को लेकर जितनी भी चिंताएं जताई जाती हैं, असल में यह सार्वजनिक इंटरनेट का आईना है - इसके द्वारा उजागर की गई जानकारियां इसकी गलती नहीं हैं, बल्कि ये डिवाइस की कॉन्फ़िगरेशन संबंधी गलतियों का नतीजा हैं। 2026 में भी इसका समाधान वही है जो 2009 में था: डिफ़ॉल्ट पासवर्ड बदलें, कम जानकारी साझा करें, सबसे पहले अपने डेटा फुटप्रिंट की निगरानी करें, और यह मान लें कि जो कोई भी आपके डिवाइस ढूंढना चाहता है, वह पहले ही ढूंढ चुका है।

Mathis Curcio

Mathis Curcio is a senior content strategist and NFT specialist at Plisio. With over 5 years of experience in the Web3 space, Mathis focuses on the evolution of NFT ecosystems, digital collectibles, and decentralized ownership models. He creates accessible, insight-driven content that bridges the gap between blockchain innovation and mainstream adoption. His expertise spans NFT market trends, use cases across art and gaming, and the infrastructure powering next-generation tokenized assets.