New Toy Alert: A Quick Review of Keysy - Black Hills Information Security, Inc.

在BHIS，我们总是在寻找新玩具。特别是如果能在渗透测试中使用它们。作为渗透测试员，我们都有一个习惯使用的工具集，放在我们的跳线包里。根据在物理评估中遇到的情况，我们会使用诸如Rubber Ducky、Konboot、Lan Turtle、proxmark3、crowbar（试试看能否通过TSA安检）等工具。当我们发现一些令人兴奋的东西时，就像一群小孩子一样，我们会与大家分享，当然每个人都想要一个。

几个月前，我和Brian Fehrman聊天，他告诉我TINYLABS有一个新的Kickstarter活动，叫做Keysy。我立刻去查看，并最终支持了这个项目。Keysy被描述为一个可以存储、重放和克隆RFID钥匙卡和钥匙扣的设备。实际上，我直到本周早些时候收到它们时才想起来。因此，让我们来做一篇快速的评测博客文章。

当我注册支持这个项目时，我选择了当时40.00美元的选项，这样做我会收到两个设备。这些设备包装在一个盒子里，每个都有自己类似零售的包装。

包装正面和背面

我注意到包装背面说明该设备兼容大多数125kHz RFID。因此，这个设备只适用于低频RFID卡。高频、超高频和微波频率卡在更高的频率下运行。

以下是卡片类型及其频率的细分：

• 低频（LF）：120-1355 kHz（HID Prox、EM、Nedap NeXS）
• 高频（HF）：13.56MHz（MIFARE Classic、DESfire、HID iCLASS、Legic）
• 超高频（UHF）：860-980 MHz（RAIN RFID/EPC Gen 2）
• 微波：2.45 GHz +（Nedap TRANSIT）

每个包装中包含Keysy设备、说明书、一张便条和一个可重写的RFID钥匙扣。

Keysy包装内容

便条上写着：

“由于不同RFID读取器之间的不一致性以及Keysy天线的小几何形状，Keysy标签模拟无法与每个读取器一起工作。Keysy标签模拟已经过测试，并与大多数商业读取器良好工作。在Keysy模拟不起作用的情况下，Keysy和随附的可重写RFID标签仍然可以用于制作原始标签的副本。请参阅说明以获取有关克隆标签的更多信息。”

使用Keysy

我按照说明首先尝试将一张iCLASS卡读入Keysy。正如我所料，该卡无法被Keysy读取。这是因为iCLASS卡在Keysy预期使用频率之外运行。

iCLASS卡读取失败

然后我拿了我当地娱乐中心的卡，这是一张HID Prox卡，并尝试用Keysy设备读取它。

HID Prox卡成功读取

该卡成功读取，绿灯指示。说明还指出，要确认您成功捕获，可以按下遥控器上的按钮，绿色LED应该亮起。我按照指示操作，得到了绿色LED。

以下是我在使用Keysy设备读取卡片时的观察：

• 要将RFID卡复制到设备中，您必须将Keysy非常靠近卡片。我测试了Keysy可以离卡片多远才能成功读取。根据我的观察，我必须将Keysy保持在离卡片一英寸以内才能成功读取。
• 读取RFID卡大约需要17到20秒。

我还成功将捕获的数据写入随附的RFID钥匙扣。说明说要将Keysy靠在钥匙扣上，并按下我编程卡片的按钮5次。通过观察Keysy LED闪烁三次，克隆被发现成功。

Keysy写入钥匙扣成功

Keysy与读取器的角度

现在是时候在我当地的娱乐中心尝试它了。首先，我尝试使用Keysy重放RFID卡，并发现它成功了。我必须稍微调整一下，将其指向读取器的甜点。我发现如果您以轻微的角度握住它，如下所示，效果最好。

然后我使用了克隆的钥匙扣，发现它就像普通卡一样工作。

我绝对可以看到这在渗透测试中用于捕获或克隆卡片，但由于您必须多么接近以及读取卡片所需的时间，它可能不适合所有情况，就像其他设备可能那样。

从蓝队的角度评估这个设备，我可以看到个人能够克隆或制作卡片副本的问题。我在下面列出了它们：

• 有人为朋友克隆卡片，并能够为自己制作副本。
• 某人克隆自己的卡片，并丢失其中之一或原始卡片，而没有通知安全人员。
• 有权访问您的Keysy的人如果有可写卡片或钥匙扣，可以制作副本。

从我的测试中，我发现Keysy对于其预期用途来说是一个非常酷的设备。它似乎很坚固，并且如广告所述工作。如果我有几张兼容的RFID卡，我可以看到自己使用这个。事实上，我可能只会使用我的RFID钥匙扣来进入我的娱乐中心，因为我可以把它放在我的钥匙圈上。

我认为负责低频建筑访问控制的人员开始教育员工并制定关于复制或RFID卡片或使用像Keysy这样的设备的政策和程序可能为时过早。