JA3 e la sua utilità

0

JA3 è stato creato da persone in Salesforce ed è un modo di creare impronte digitali TLS / SSL a causa del fatto che la negoziazione viene eseguita in chiaro. Secondo JA3, queste impronte digitali danno a qualcuno la possibilità di identificare le applicazioni client utilizzando i dettagli nel pacchetto Hello Client SSL.

Secondo Salesforce:

JA3 gathers the decimal values of the bytes for the following fields in the Client Hello packet; SSL Version, Accepted Ciphers, List of Extensions, Elliptic Curves, and Elliptic Curve Formats. It then concatenates those values together in order, using a "," to delimit each field and a "-" to delimit each value in each field.

TLS / SSL è ottimo, ma ha presentato alcuni problemi per i difensori. Ad esempio, i beacon che richiamano a casa tentano di nascondersi nel traffico crittografato. Per non parlare di tutti i tipi di malware che non possono essere ispezionati senza decrittografia TLS / SSL al confine.

Ho un paio di domande basate su JA3.

1.) Come può un aggressore sfruttarlo? I server supportano in genere TLS1.0 / 1.2 / 1.3 (e alcuni SSL3), non è possibile che un utente malintenzionato modifichi facilmente le proprie impronte digitali?

2.) Lo vedi come un modo efficace per identificare il traffico dannoso che passa il perimetro (in entrata e in uscita)?

    
posta pm1391 17.10.2018 - 02:14
fonte

0 risposte

Leggi altre domande sui tag