Firmas JA3 y JA3S. Definición y Usos

Qué son las firmas JA3 y JA3S 

El tema del que vamos a tratar hoy es arduo, ¡pero es importante! Así que vamos a tratar de desgranarlo de tal manera que te resulte sencillo comprenderlo. Para ello, debes saber que estas firmas JA3 y JA3S son unos métodos de firma digital. Estos se centran en analizar la primera etapa del protocolo TLS (Transport Layer Security), conocida como handshake. Este protocolo es el que permite que las comunicaciones sean cifradas, algo que ayuda a que nadie pueda ver qué es lo que estamos haciendo en internet.  

Este handshake es ese primer momento durante el cual se busca establecer una comunicación segura entre un cliente y un servidor dentro de internet. Es un punto crucial, puesto que es ahí donde se negocian los parámetros de seguridad. Es en ese momento en el que estas firmas se encargan de recopilar toda la información que consideran relevante. 

Para hacerlo de modo más sencillo, podemos definir estas firmas como huellas dactilares que, una vez se combinan, permiten que esta comunicación entre cliente y servidor sea mucho más fiel.  

Como dato curioso, debes saber que JA3 recibe ese nombre porque fue publicado por John Althouse, Jeff Atkinson y Josh Atkins, de Salesforce. Para ellos, era la solución ideal para identificar cualquier tipo de tráfico malicioso. Lo que buscaba era diseñar una técnica sencilla, y que les permitiera trabajar de forma más eficiente.  

Cómo funcionan las firmas JA3 y JA3S 

Vamos a profundizar un poco más en cómo funcionan exactamente estas firmas JA3 y JA3S. Como hemos señalado, este protocolo TLS permite que las comunicaciones sean cifradas y ayuda a incrementar nuestra ciberseguridad. Pero eso también hace que este punto sea muy interesante para aquellos que se dedican al mundo del malware, ya que en ocasiones los sistemas no detectan qué pasa.  

Lo que hacen estas firmas es funcionar como huellas, crear un método seguro de comunicación entre el cliente y el servidor. Y lo hacen de la siguiente manera: 

1. En primer lugar, el cliente es el que envía una secuencia de mensajes durante ese handshake TLS. 

2. Aquellos campos que se consideran relevantes de estos mensajes se utilizan para calcular lo que se conoce como un hash. 

3. Este hash es el que acaba por representar la firma del cliente, la JA3. 

4. El servidor responde al cliente durante ese handshake TLS. 

5. De nuevo, los campos que se consideran relevantes de los mensajes se usan para hallar un hash. 

6. Este hash es el que representa la firma JA3S del servidor.  

Generación y componentes de una firma JA3S

Mientras que JA3 se enfoca en la huella digital del lado del cliente en una conexión TLS, JA3S hace lo propio pero desde la perspectiva del servidor. La generación de una firma JA3S sigue un proceso similar al de JA3, pero utiliza los elementos específicos que el servidor presenta durante el «handshake» TLS. Este proceso asegura la creación de una huella digital única basada en cómo el servidor responde a las solicitudes de conexión, lo cual es crítico para la identificación precisa de servidores en la red.

Componentes Clave de una Firma JA3S

Una firma JA3S se compone de varios elementos extraídos del handshake TLS del servidor. Estos componentes incluyen:

• Cipher Suites: Las suites de cifrado ofrecidas por el servidor en su mensaje «Server Hello». Al igual que con JA3, el orden de estas suites puede proporcionar una indicación única de la configuración del servidor.
• Extensiones TLS: Las extensiones que el servidor está dispuesto a utilizar para la comunicación. Esto puede incluir extensiones como el soporte para HTTP/2 o ajustes específicos de cifrado.
• Versiones de TLS Soportadas: La versión de TLS que el servidor indica que puede usar para la comunicación. Aunque generalmente se espera que el servidor acepte la versión propuesta por el cliente, este campo puede usarse para identificar configuraciones de servidor inusuales o desactualizadas.
• Eliptical Curves (Curvas Elípticas): (Si es aplicable) Las curvas elípticas que el servidor está dispuesto a usar para el intercambio de claves. Este es un componente clave en la configuración de la seguridad de la conexión.
• Point Formats (Formatos de Punto): (Si es aplicable) Los formatos de punto que el servidor puede utilizar en el intercambio de claves basado en curvas elípticas.

Generación de la Firma JA3S

Para generar la firma JA3S, se concatenan los valores numéricos de los componentes mencionados en un string específico, separados por comas. Este string se pasa luego por una función de hash MD5 para producir la firma JA3S final. Aunque el uso de MD5 ha sido criticado debido a vulnerabilidades, en este contexto, se utiliza simplemente para crear un identificador único y no para propósitos de seguridad crítica.

La firma JA3S complementa la información proporcionada por JA3, ofreciendo una visión completa de ambos lados de la conexión TLS. Esto es particularmente útil para la detección de servidores maliciosos o comprometidos. Al identificar patrones inusuales o sospechosos en las respuestas del servidor, los analistas de seguridad pueden detectar la presencia de infraestructura de comando y control (C2), servidores de phishing, o cualquier otro servidor malintencionado que intente ocultar su verdadera naturaleza.

Aplicaciones Prácticas de JA3 y JA3S

Uso en la Detección de Malware y Actividades Sospechosas. Las firmas JA3 y JA3S son herramientas esenciales en la identificación de clientes y servidores maliciosos en una red. Al generar huellas digitales únicas para cada combinación de TLS/SSL, permiten a los administradores de sistemas identificar tráfico sospechoso o anómalo. Por ejemplo, un malware conocido puede tener una firma JA3 específica; si se detecta esta firma en la red, se puede tomar acción inmediata.

Implementación en Sistemas de Seguridad Informática. En sistemas de seguridad como IDS (Sistemas de Detección de Intrusos) y IPS (Sistemas de Prevención de Intrusos), las firmas JA3 y JA3S son utilizadas para reforzar las capacidades de monitoreo y respuesta. Al integrar estas firmas en las reglas de seguridad, es posible filtrar y bloquear tráfico malicioso más eficientemente. Además, en entornos con tráfico cifrado, donde la inspección de paquetes es limitada, JA3 y JA3S ofrecen una alternativa para mantener un alto nivel de vigilancia.

Beneficios de Utilizar Firmas JA3 y JA3S

Mejora en la Identificación de Tráfico Cifrado. Uno de los mayores desafíos en la seguridad de redes es la inspección y el monitoreo del tráfico cifrado sin comprometer la privacidad y la integridad de los datos. Las firmas JA3 y JA3S permiten abordar este desafío, proporcionando una manera de identificar el tráfico de manera indirecta, sin necesidad de descifrarlo. Esto es particularmente útil para detectar y bloquear conexiones cifradas maliciosas.

Ejemplos de Eficacia en Entornos de Red. En entornos corporativos, donde la seguridad de la información es crítica, las firmas JA3 y JA3S han demostrado ser efectivas en la detección precoz de brechas de seguridad. Por ejemplo, en una empresa con empleados trabajando de forma remota, las firmas JA3 pueden ayudar a identificar si los empleados están utilizando versiones de software no autorizadas o potencialmente inseguras. De manera similar, en el sector financiero, donde las transacciones en línea son un objetivo común para los ciberdelincuentes, las firmas JA3S pueden ser utilizadas para detectar y prevenir intentos de fraude o phishing.

Importancia de las firmas JA3 y JA3S en seguridad informática  

Entonces ¿por qué son importantes estas firmas?, puede que te estés preguntando.  

1. Detección de amenazas: cuando se analizan las firmas JA3 y JA3S, los analistas de ciberseguridad son capaces de identificar cualquier tipo de comunicación maliciosa o actividad que sea sospechosa. Incluso aquellas que estaban cifradas, 

2. Prevención de ataques al sistema: por supuesto, al permitir detectar estas amenazas, también permiten prevenir diferentes ataques. Sobre todo, el malware, las intrusiones o los bots más preocupantes. 

3. Identificación de malware cifrado: es cierto que hay casos de malware que se encuentran cifrados, pero estas firmas permiten también identificar sus patrones. 

4. En caso de que uses Windows, debes saber que los atacantes pueden acceder a PowerShell y descargar códigos maliciosos, o ejecutar cualquier programa perjudicial. Para solventar este problema, se puede monitorizar estas firmas JA3.  

5. Por último, en caso de que realmente se dé el ataque cibernético, estas firmas permiten proporcionar pistas sobre los atacantes, los servidores involucrados y mucho más.  

Casos de uso y ejemplos  

Normalmente, estas firmas se usan para los siguientes fines: 

• Prevenir ataques DDoS. 
• Detectar botnets. 
• Identificar comunicaciones que pudieran ser maliciosas, y bloquear este tipo de tráfico. 
• Monitorizar amenazas que son persistentes en el tiempo, realizadas incluso por grupos de espionaje cibernético. 

Mientras que estas huellas digitales permanecen inalterables, hay otros datos que sí que pueden cambiar, como las direcciones IP, los puertos o diferentes certificados. Y esto las convierte en la forma más fiable de identificar cualquier problemática. Sin duda, un concepto de ciberseguridad que debes conocer y en el que debes indagar para proteger tu privacidad en internet. 

▶️ Qué es un softphone