JA3 è stato creato da persone in Salesforce ed è un modo di creare impronte digitali TLS / SSL a causa del fatto che la negoziazione viene eseguita in chiaro. Secondo JA3, queste impronte digitali danno a qualcuno la possibilità di identificare le applicazioni client utilizzando i dettagli nel pacchetto Hello Client SSL.
Secondo Salesforce:
JA3 gathers the decimal values of the bytes for the following fields in the Client Hello packet; SSL Version, Accepted Ciphers, List of Extensions, Elliptic Curves, and Elliptic Curve Formats. It then concatenates those values together in order, using a "," to delimit each field and a "-" to delimit each value in each field.
TLS / SSL è ottimo, ma ha presentato alcuni problemi per i difensori. Ad esempio, i beacon che richiamano a casa tentano di nascondersi nel traffico crittografato. Per non parlare di tutti i tipi di malware che non possono essere ispezionati senza decrittografia TLS / SSL al confine.
Ho un paio di domande basate su JA3.
1.) Come può un aggressore sfruttarlo? I server supportano in genere TLS1.0 / 1.2 / 1.3 (e alcuni SSL3), non è possibile che un utente malintenzionato modifichi facilmente le proprie impronte digitali?
2.) Lo vedi come un modo efficace per identificare il traffico dannoso che passa il perimetro (in entrata e in uscita)?