ПРОБЛЕМЫ БЕЗОПАСНОСТИ В БЕСПРОВОДНЫХ
ЛВС IEEE 802.11
Д.С. Туранцев Научный руководитель - д.т.н., профессор Ю.А. Гатчин
В статье рассматриваются вопросы безопасности в беспроводных локальных сетях стандарта IEEE 802.11, а также уязвимости протоколов, которые используются в данных сетях.
Введение
С момента ратификации стандарта IEEE 802.11b в 1999 году беспроводные ЛВС получили широкое распространение. Сегодня их можно встретить во многих офисах, конференц-залах, на промышленных складах, в школьных классах, кафе в деловой части мегаполиса. Беспроводные ЛВС стандарта IEEE 802.11b представляют собой ряд новых проблем для администраторов сетей и систем безопасности. В отличие от проводных сетей Ethernet, беспроводные ЛВС стандарта IEEE 802.11b используют общедоступный радиоканал для связи с абонентами. Этот факт лежит в основе целого ряда новых сложных проблем, решение которых потребовало дополнений к стандарту IEEE 802.11.
Средства обеспечения безопасности, предусмотренные спецификацией IEEE 802.11 и применимые также к 802.11b, 802.11a, 802.11g, подверглись тщательному анализу и серьезной критике. Аналитиками были выявлены и продемонстрированы серьезные уязвимости в определенных стандартом механизмах аутентификации (authentification), обеспечения конфиденциальности (privacy) и целостности (integrity) данных.
На данный момент большинство фирм и предприятий все больше внимания уделяют использованию непосредственно Wi-Fi-сетей. Обусловлено это удобством, мобильностью и относительной дешевизной при связи отдельных офисов и возможностью их перемещения в пределах действия оборудования. В Wi-Fi-сетях применяются сложные алгоритмические математические модели аутентификации, шифрования данных, контроля целостности их передачи, что позволяет быть относительно спокойным за сохранность данных при использовании данной технологии. Однако такая безопасность относительна, если не уделять должного внимания настройке беспроводной сети. К данному моменту уже существует список «стандартных» возможностей, которые может получить хакер при халатности в настройке беспроводной сети:
• доступ к ресурсам локальной сети;
• прослушивание, воровство трафика (имеется в виду непосредственно Интернет-трафик);
• искажение проходящей в сети информации;
• внедрение поддельной точки доступа;
• рассылка спама от имени вашей сети.
1. Аутентификация в беспроводных локальных сетях стандарта IEEE 802.11
Беспроводные ЛВС, ввиду их широковещательной природы, требуют реализации дополнительных механизмов для:
• аутентификации абонентов (user authentication) с целью предотвращения несанкционированного доступа к сетевым ресурсам;
• обеспечения конфиденциальности данных (data privacy) с целью обеспечения целостности и защиты при передаче по общедоступному радиоканалу.
Стандарт IEEE 802.11 предусматривает два механизма аутентификации беспроводных абонентов: открытую аутентификацию (open authentication) и аутентификацию с общим ключом (shared key authentication). Также широко используются два других механизма, а именно назначение идентификатора беспроводной ЛВС (Service Set Identifier, S SID) и аутентификация абонента по его MAC-адресу (MAC address authentication). Ниже рассмотрены перечисленные механизмы и присущие им недостатки.
Ключи шифрования WEP (Wired Equivalent Privacy) могут быть использованы в качестве своего рода механизма ограничения доступа, поскольку абонент, не обладающий корректным WEP-ключом, не сможет ни принять, ни отправить данные в беспроводную ЛВС. Технология шифрования WEP стандарта IEEE 802.11 оперирует ключами длиной 40 либо 104 бита. Технология WEP и присущие ей недостатки рассмотрены в последующих разделах.
Идентификатор беспроводной ЛВС (Service Set Identificator, SSID). SSID представляет собой атрибут беспроводной ЛВС, позволяющий логически отличать сети друг от друга. В общем случае, абонент беспроводной сети должен задать у себя соответствующий SSID для того, чтобы получить доступ к требуемой беспроводной ЛВС. SSID ни в коей мере не обеспечивает конфиденциальность данных, равно как и не ау-тентифицирует абонента по отношению к точке радиодоступа беспроводной ЛВС.
Аутентификация абонента в IEEE 802.11. Аутентификация в стандарте IEEE 802.11 ориентирована на аутентификацию абонентского устройства радиодоступа, а не конкретного абонента как пользователя сетевых ресурсов. Стандарт предусматривает два режима аутентификации: открытую и с общим ключом.[5]
Процесс аутентификации абонента беспроводной ЛВС IEEE 802.11 состоит из следующих этапов (рис. 1).
1. Абонент (Client) посылает фрейм probe request во все радиоканалы.
2. Каждая точка радиодоступа (access point, AP), в зоне радиовидимости которой находится абонент, посылает в ответ фрейм probe response.
3. Абонент выбирает предпочтительную для него точку радиодоступа и посылает в обслуживаемый ею радиоканал запрос на аутентификацию (authentication request).
4. Точка радиодоступа посылает подтверждение аутентификации (authentication reply).
5. В случае успешной аутентификации абонент посылает точке радиодоступа association request.
6. Точка радиодоступа посылает в ответ фрейм association response.
7. Абонент может теперь осуществлять обмен пользовательским трафиком с точкой радиодоступа и проводной сетью.
Ниже детально описаны процессы, происходящие на каждом из этапов.
Обмен фреймами Probe Requests, Probe Responses
При активизации беспроводной абонент начинает поиск точек радиодоступа в своей зоне радиовидимости с помощью управляющих фреймов probe request. Фреймы
Рис. 1. Процесс аутентификации абонента IEEE 802.11
probe request посылаются в каждый из радиоканалов, поддерживаемых абонентским радиоинтерфейсом, в попытке найти все точки радиодоступа с требуемыми клиенту идентификатором SSID и поддерживаемыми скоростями радиообмена.
Каждая точка радиодоступа из находящихся в зоне радиовидимости абонента, удовлетворяющая запрашиваемым во фрейме probe request параметрам, отвечает фреймом probe response, содержащим синхронизирующую информацию и данные о текущей загрузке точки радиодоступа. Абонент определяет, с какой точкой радиодоступа он будет работать, путем сопоставления поддерживаемых ими скоростей радиообмена и загрузки. После того, как предпочтительная точка радиодоступа определена, абонент переходит в фазу аутентификации.
Открытая аутентификация (Open Authentication)
Открытая аутентификация по сути не является алгоритмом аутентификации в привычном понимании. Точка радиодоступа удовлетворит любой запрос открытой аутентификации. На первый взгляд, использование этого алгоритма может показаться бессмысленным, однако следует учитывать, что разработанные в 1997 г. методы аутентификации IEEE 802.11 ориентированы на быстрое логическое подключение к беспроводной ЛВС. Кроме того, многие IEEE 802.11-совместимые устройства представляют собой портативные блоки сбора информации (сканеры штрих-кодов и т.п.), не имеющие достаточной процессорной мощности, требующейся для реализации сложных алгоритмов аутентификации [5].
В процессе открытой аутентификации происходит обмен сообщениями двух типов:
• запрос аутентификации (authentication request);
• подтверждение аутентификации (authentication response).
1. Запрос аутентмфикации -*■
2. Подтверждение успешной-
аутентификации ПрОВОД H а Я . 3. Запрос/подтверждение -> сеть
ассоциирования 4. Фрейм с данными.
1*»»>Д
Точка
зашифрованными WEP Абонент радиодоступа
WEP ключ 123456 WЕР ключ 112233
5. Несовпадение ключей ^^^^
Фрейм отброшен
Рис. 2. Открытая аутентификация с несовпадающими WEP-ключами
Таким образом, при открытой аутентификации возможен доступ любого абонента к беспроводной ЛВС. Если в беспроводной ЛВС не используется шифрование, то любой абонент, знающий идентификатор SSID точки радиодоступа, получит доступ к сети. При использовании точками радиодоступа шифрования WEP сами ключи шифрования становятся средством контроля доступа. Если абонент не располагает корректным WEP-ключом, то даже в случае успешной аутентификации он не сможет ни передавать данные через точку радиодоступа, ни расшифровывать данные, переданные точкой радиодоступа (рис. 2).
Аутентификация с общим ключом (Shared Key Authentication)
Аутентификация с общим ключом является вторым методом аутентификации стандарта IEEE 802.11. Аутентификация с общим ключом требует настройки у абонента статического ключа шифрования WEP. Процесс аутентификации иллюстрирует рис. 3.
1. Абонент посылает точке радиодоступа запрос аутентификации, указывая при этом необходимость использования режима аутентификации с общим ключом.
2. Точка радиодоступа посылает подтверждение аутентификации, содержащее challenge text.
3. Абонент шифрует challenge text своим статическим WEP-ключом и посылает точке радиодоступа запрос аутентификации.
4. Если точка радиодоступа в состоянии успешно расшифровать запрос аутентификации и содержащийся в нем challenge text, она посылает абоненту подтверждение аутентификации, таким образом предоставляя доступ к сети.
Абонент WEP ключ 123456
1. Запрос аутентификации
2. Подтверадение аутентификации + Challenge
- 3. Запросассоциироеания —
+ зашифрованный Challenge
4. Подтверждение ассоциирования
/
Проводная сеть
Г.»» А
Точка
радиодоступа WЕР ключ 12345G
Л
У
Рис. 3. Аутентификация с общим ключом
Рис. 4. Аутентификация по MAC-адресу
Аутентификация по MAC-адресу (MAC Address Authentication)
Аутентификация абонента по его MAC-адресу не предусмотрена стандартом IEEE 802.11, однако поддерживается многими производителями оборудования для беспроводных ЛВС, в том числе Cisco Systems. При аутентификация по MAC-адресу происходит сравнение MAC-адреса абонента либо с хранящимся локально списком разрешенных адресов легитимных абонентов, либо с помощью внешнего сервера аутентификации (рис. 4). Аутентификация по MAC-адресу используется в дополнение к открытой аутентификации и аутентификации с общим ключом стандарта IEEE 802.11 для уменьшения вероятности доступа посторонних абонентов.
2. Уязвимость механизмов аутентификации
Проблемы идентификатора беспроводной ЛВС
Идентификатор SSID регулярно передается точками радиодоступа во фреймах beacon. Несмотря на то, что фреймы beacon играют чисто информационную роль в радиосети, т.е. совершенно «прозрачны» для абонента, сторонний наблюдатель в состоянии с легкостью определить SSID с помощью анализатора трафика протокола 802.11, например Sniffer Pro Wireless. Некоторые точки радиодоступа, в том числе Cisco Aironet, позволяют административно запретить широковещательную передачу SSID внутри фреймов beacon. Однако и в этом случае SSID можно легко определить путем захвата фреймов probe response, посылаемых точками радиодоступа.
Идентификатор SSID не разрабатывался для использования в качестве механизма обеспечения безопасности. Вдобавок к этому отключение широковещательной передачи SSID точками радиодоступа может серьезно отразиться на совместимости оборудования беспроводных ЛВС различных производителей при использовании в одной радиосети. Вследствие этого Cisco не рекомендует использование SSID в целях реализации режима безопасности [2].
Уязвимость открытой аутентификации
Открытая аутентификация не позволяет точке радиодоступа определить, является ли абонент легитимным или нет. Это становится серьезной брешью в системе безопасности в том случае, если в беспроводной ЛВС не используется шифрование WEP. Cisco не рекомендует эксплуатацию беспроводных ЛВС без шифрования WEP. В случаях, когда использование шифрования WEP не требуется или невозможно (например, в беспроводных ЛВС публичного доступа), методы аутентификации более высокого уровня могут быть реализованы посредством Cisco Service Selection Gateway (SSG) [1].
Уязвимость аутентификации с общим ключом
Аутентификация с общим ключом требует настройки у абонента статического WEP-ключа для шифрования challenge text, отправленного точкой радиодоступа. Точка радиодоступа аутентифицирует абонента посредством дешифрования его ответа на challenge и сравнения его с отправленным оригиналом.
Рис. 5. Уязвимость аутентификации с общим ключом
Обмен фреймами, содержащими challenge text, происходит по открытому радиоканалу и, следовательно, подвержен атакам со стороны стороннего наблюдателя (man-in-the-middle attack). Наблюдатель может принять как нешифрованный challenge text, так и тот же challenge text, но уже в шифрованном виде (рис. 5). Шифрование WEP производится путем выполнения побитовой операции XOR над текстом сообщения и ключевой последовательностью (key stream), в результате чего получается зашифрованное сообщение (ciphertext). Важно понимать, что выполнение побитовой операции XOR над зашифрованным сообщением и ключевой последовательностью имеет результатом текст исходного сообщения. Таким образом, наблюдатель может легко вычислить сегмент ключевой последовательности путем анализа фреймов в процессе аутентификации абонента.
Уязвимость аутентификации по MAC-адресу
Стандарт IEEE 802.11 требует передачи MAC-адресов абонента и точки радиодоступа в открытом виде. В результате этого в беспроводной ЛВС, использующей аутентификацию по MAC-адресу, хакер может обмануть метод аутентификации путем подмены своего MAC-адреса на легитимный. Подмена MAC-адреса возможна в беспроводных адаптерах, допускающих использование локально администрируемых MAC-адресов. Хакер может воспользоваться анализатором трафика протокола IEEE 802.11 для выявления MAC-адресов легитимных абонентов [4].
Атаки с фрагментацией
Существует достаточно много методов формирования пакетов WEP без знания ключа шифрования. Наиболее эффективным является использование фрагментации на канальном уровне 802.11. Суть этого метода заключается в эксплуатации атаки с известным открытым текстом. Используя предсказуемый формат заголовков LLC, можно восстановить 8 байт гаммы (выхода алгоритма PRGA в RC4, далее PRGA). Для этого первые 8 из зашифрованных байт складываются по модулю 2 с константой, содержащей стандартное значение заголовков LLC (рис. 6).
802.11 header Encrypted payload
G В
Standard LLC header (0xAA)
PRGA
Рис. 6. Восстановление отрезка гаммы
Как видно из рис. 7, в заголовке LLC два последних байта могут меняться. Их значение определяет тип используемого протокола вышестоящего уровня. Возможные значения данных полей описаны в документах IANA.
0xAA 0xAA 0x03 0x00 0x00 0x00 ???? ????
DSAP SSAP CTRL OU Рис. 7. Стандартный заголовок LLC Y Ether type
В большинстве случаев беспроводные сети используются для передачи IP-трафика. Следовательно, поле Ether type может принимать одно из трех возможных значений:
• 0x0800 - при передаче IP пакетов;
• 0x0806 - для пакетов ARP;
• 0x86DD - для пакетов IPv6.
Пакеты ARP легко отличить от других по их фиксированному размеру (28 байт данных). Использование протокола IPv6 достаточно просто идентифицируется по наличию широковещательных пакетов на MAC-адреса 33:33:xx:xx:xx:xx, используемых протоколом IPv6 NDP. Полученные 8 байт гаммы могут быть использованы для передачи в сеть произвольных данных той же длины. Но с практической точки зрения это не представляет большого интереса, поскольку все 8 байт в передаваемом пакете будет занимать заголовок LLC. Чтобы обойти это ограничение, может использоваться функция фрагментации на канальном уровне. Беспроводные сети реализуют механизм, позволяющий передать один пакет вышестоящего уровня в нескольких (до 16) фрагментах 802.11. После перехвата одного из пакетов клиента и восстановления PRGA отправляемый пакет разделяется на несколько фрагментов, содержащих по 4 байта данных. Каждый их них передается как отдельный фрейм с использованием функции фрагментации 802.11. Пакеты дополняются контрольной суммой (WEP ICV) и зашифровываются с использованием отрезка восстановленной гаммы. Таким образом, без знания ключа WEP в сеть можно передать пакеты длиной до 64 байт [3].
На практике в сеть можно передать пакеты большего размера. Для этого используется IP-фрагментация, а также структура некоторых служебных пакетов. Например, при перехвате пакета ARP пакета можно восстановить не 8, а 24 байта гаммы. Для этого используются крайне предсказуемые значения заголовков LLC, ARP, а также MAC-адрес отправителя, указанный в заголовках 802.11 в открытом виде (рис. 8).
LLC ^Hearder
ARP Header
Sender MAC
Sender IP
Target MAC
Target IP
24 octets
Рис. 8. Пакет ARP
При использовании в сети IPv6 можно восстановить и больший отрезок гаммы. Например, при перехвате пакетов IPv6 NDP Neighbor Solicitation или Router Solicitation можно восстановить до 50 байт гаммы (заголовки LLC + заголовки IP + 2 байта заголовков ICMP). Это связанно с тем, что в заголовке IPv6 отсутствует поле контроля целостности. Кроме того, при использовании Local-Link адресации адрес IPv6 можно восстановить по MAC-адресу в заголовках 802.11, если узлом не используется механизмы рандомизации адресов. Отличить разные типы сообщений IPv6 можно по MAC-адресам получателей и размеру. Например, пакет IPv6 Router Solicitation имеет длину 70 байт и передается на MAC-адрес 33:33:00:00:00:02. С использованием 50 байт PRGA в сеть можно передать пакеты размером до 736 байт ((50-4)*16), что более чем достаточно для практических целей. Генерация трафика при использовании атаки с фрагментацией у злоумышленника, установившего ложную точку доступа, позволяет передать подключившейся станции зашифрованный пакет, которой будет гарантированно обработан получателем. Таким образом, остается только сформировать пакет, на который клиент ответит. Примером подобного пакета является ARP-запрос. Дополнительным плюсом является тот факт, что ARP-пакеты не блокируются персональными межсетевыми экранами. Однако для того, чтобы станция ответила на ARP-запрос, необходимо, чтобы поле Target IP содержало текущий IP-адрес интерфейса. Этой информацией злоумыш-
ленник не обладает, поскольку адрес передается в пакетах в зашифрованном виде. Чтобы получить IP-адрес станции, можно воспользоваться ARP-сканированием, т.е. отправкой ARP-запросов на различные адреса получателей и ожиданием ответа на один из них. Если ответ был получен, значит, станция использует запрошенный IP-адрес.
В качестве диапазонов для сканирования могут выбираться адреса из диапазона APIPA (169.254/32) или распространенные адреса RFC 1918 (например, 192.168.0/24). После того, как IP-адрес станции был определен, используется повторная передача ARP-запроса с целью получения необходимого для KoreK-атак количества пакетов с различными векторами инициализации. В случае поддержки станцией IPv6 ситуация упрощается. Поскольку большинство реализаций стека IPv6 отвечает на широковещательные (например, направленные на адрес ff02:: 01) ICMPv6-echo запросы, то злоумышленнику достаточно отправить подобный пакет в сеть [1].
Также в IPv6 может применяться пакет IPv6 Neighbor Solicitation (аналог ARP-Request в IPv4). В этом случае осуществлять подбор IP-адреса нет необходимости, поскольку Local-Link IP-адрес может быть определен по MAC-адресу стации.
Уязвимости стандарта беспроводной безопасности 802.11Í
Данный стандарт зиждется на двух китах. Первый - уже упомянутый протокол контроля доступа на базе портов 802.1х с надстройками в виде EAP. Использование 802.1х/EAP в основанных на 802.11i протоколах сертификатов беспроводной безопасности WPAv1 и WPAv2 принципиально не отличается. Главное отличие между WPAv1 и WPAv2 - использование принципиально различных систем симметричного шифрования (TCIP в WPAv1, CCMP в WPAv2) и хеширования (MIC в WPAv1, CBC-MAC в WPAv2).
Атаки, не связанные с уязвимостями 802.1х/ЕАР
В настоящее время WPAv2 является новоиспеченным стандартом, и атаки на WPAv2, не связанные с уязвимостями 802.^/EAP, остаются теоретическими. Пока они сводятся всего лишь к DoS, например, путем истощения ресурсов беспроводного шлюза с поддержкой WPAv2 при помощи создания множества процессов аутентификации с использованием произвольных MAC-адресов несуществующих клиентов. Еще один вектор DoS атаки против WPAv2 - инъекция подделанного первого пакета четырехпа-кетного обмена при установлении ассоциации точка доступа - клиент с использованием WPAv2. Эта атака возможна потому, что данный пакет не использует хеширования для проверки целостности пакета во избежание потенциальных атак повтора пакета, если используется общий статический ключ CCMP. Так как известных практических имплементаций и доказательств эффективности этих атак пока не существует, мы не будем заниматься их подробным рассмотрением в этой статье.
WPAv1 является временным решением при переходе от WEP к WPAv2, не требующем модернизации аппаратной части. Помимо теоретических, не связанных с 802.1х, атак против WPAv1, таких как атака на хэш временного ключа (снижающая сложность извлечения ключа с 2Л128 до 2Л105) и DoS атака искажения контрольной суммы MIC (реализация которых намного сложнее, чем кажется на первый взгляд), существуют и прикладные атаки против WPAv1-SOHO, использующего предварительно разделенный ключ, общий для всех узлов с одним ESSID в большинстве реализаций WPAv1-SOHO. Первая атака представляет собой генерацию временных ключей других клиентских узлов, если известен постоянный общий ключ (PSK). Таким образом, практически эта атака представляет ценность для легитимного пользователя сети, который желает прослушивать и манипулировать трафиком других легитимных пользователей (вариант сотрудника, атакующего соединение своего руководителя). Несмотря на то, что каждый узел на сети, защищенной WPAv1-SOHO, имеет свой зашифрованный ка-
нал соединения с точкой доступа, временные ключи для защиты этого канала генерируются с помощью PSK, двух случайных величин из двух первых пакетов четырехстороннего квитирования WPAvl-SOHO и MAC адресов участвующих узлов. Таким образом, атакующий, уже обладающий PSK, может легко перехватить MAC-адреса вовлеченных узлов и инициировать процедуру квитирования с помощью DoS атаки фреймами деассоциации для перехвата первых двух пакетов обмена с нужными величинами. Имея эти данные под рукой, несложно сгенерировать временный ключ для атакуемого канала.
Если же атакующий не знает PSK, он может воспользоваться атакой перебора по словарю или даже случайного перебора против временного ключа, а затем, имея величины, упомянутые выше, сгенерировать PSK из угаданного временного ключа, осуществив действия первой описанной атаки в обратном порядке.
Атаки против 802.^/EAP
Данные атаки можно подразделить на атаки против 802.1х, вне зависимости от используемого типа EAP, и атаки против отдельных ЕАР разновидностей. К первым относится посылка фальшивых EAP-Failure и EAPOL-logoff (EAP через локальную сеть) фреймов, затопление фреймами EAPOL-Start и циклическим перебором идентификаторов EAP, а также преждевременной отправкой фреймов EAP-Success. Так как принцип работы подобных атак понятен, и мы не особенно заинтересованы в DoS атаках (хотя они могут иметь большое значение в проведении атак «человек в середине», всегда есть «старые добрые» фреймы деаутентификации), мы не будем акцентироваться на них и перейдем к атакам на специфические типы EAP. Самый первый стандартизированный тип EAP - это EAP-MD5, который использует схему аутентификации, аналогичную аутентификации CHAP. Сейчас EAP-MD5 практически вышел из употребления и может быть встречен, в основном, в случае режима подстраховки, когда по какой-то причине более совершенные типы EAP не работают. Основной уязвимостью EAP-MD5 является отсутствие какой-либо аутентификации с «серверной» стороны, сопряженное с отсутствием туннелирования трафика этого протокола. Таким образом, кракер может представить свою «пиратскую» точку доступа с большей силой сигнала и сопряженным RADIUS сервером, «переманив» клиентские машины на ее сторону после массовой DoS атаки фреймами деаутентификации. Подобные атаки на MD4 хэши длиной всего 6 байт отличаются значительной скоростью, позволяющей использовать радужные таблицы больших размеров. В настоящее время Cisco рекомендует использовать более новый и безопасный EAP-FAST вместо EAP-LEAP.
Заключение
На настоящий момент относительно безопасными можно считать только сети стандарта 802.11, защищенные с помощью WPAvl c 802.1x и WPAv2 c 802.1x при условии использования типов EAP с поддержкой туннелирования и взаимной аутентификацией обоих концов туннеля. К таким типам EAP относятся EAP-TLS и EAP-FAST. При этом EAP-TLS требует наличия сертификатов аутентификации на всех клиентских хостах, что делает установку и менеджмент массивных сетей, защищенных с использованием этого протокола, весьма трудоемкой. В то же время EAP-FAST поддерживается по преимуществу аппаратным обеспечением Cisco и требует покупки дополнительного программного обеспечения для поддержки систем, отличных от Windows XP, Windows 2000 и Windows CE. Таким образом, дизайн защищенных сетей стандарта 802.11 является более сложной задачей, чем представляют себе многие архитекторы и администраторы таких сетей, даже при рассмотрении исключительно протоколов 802.11i и без учета альтернатив, таких как IPSec.
Литература
1. The Radical Realm of RADIUS, 802.1x, and You. 2007. Rodney Thayer, Beetle, Shmoo Group, LayerOne.
2. Message Attack on the 4-Way Handshake. 2006. ChangHua He, John C. Mitchell. Stanford University.
3. Attacks against Michael and Their Countermeasures. 2004. Dan Harkins. Trapeze Networks.
4. Weakness in a Temporal Key Hash of WPA. 2006. Vebjorn Moen at al., Bergen University.
5. Fast and Secure Roaming in WLAN. 2007. Magnus Falk, Linkoping University.