JA3 fue creado por la gente de Salesforce y es una forma de crear huellas digitales TLS / SSL debido a que la negociación se realiza de manera clara. De acuerdo con JA3, estas huellas dactilares le dan a alguien la capacidad de identificar aplicaciones cliente usando los detalles en el paquete Hola del Cliente SSL.
Según Salesforce:
JA3 recopila los valores decimales de los bytes para los siguientes campos en el paquete de saludo del cliente; Versión SSL, cifrados aceptados, lista de extensiones, curvas elípticas y formatos de curvas elípticas. Luego concatena esos valores juntos en orden, usando "," para delimitar cada campo y "-" para delimitar cada valor en cada campo.
TLS / SSL es excelente, pero ha presentado algunos problemas para los defensores. Por ejemplo, las balizas que vuelven a llamar a casa intentan esconderse en el tráfico cifrado. Sin mencionar todos los tipos de malware que no pueden ser inspeccionados sin el descifrado TLS / SSL en la frontera.
Tengo un par de preguntas basadas en JA3.
1.) ¿Cómo podría un atacante explotar esto? Normalmente, los servidores admiten TLS1.0 / 1.2 / 1.3 (y algunos SSL3), ¿no podría un atacante cambiar fácilmente su huella digital?
2.) ¿Ves esto como una forma efectiva de identificar el tráfico malicioso que pasa por tu perímetro (entrante y saliente)?