Ik heb 2 keer vakantiejob gedaan voor een beveiligingsonderneming, specifiek in de toegangscontrole. Hier is wat ik weet:
RFID kaarten zijn niet in de wet gekend maar worden in de praktijk gelijkgesteld met een gewone "sleutel".
Sleutels mag je zeker WEL kopieren. Er is niets in de wet die dit verbiedt. Ook sleutels die niet jouw eigendom zijn. Ook sleutels met een certificaat mag je zonder certificaat kopieren! De reden waarom sleutelmakers dit niet doen is veeleer op basis van hun contract met de fabrikant van de certificaatsleutel die hen dit verbiedt dan iets anders. Als een sleutelmaker een certificaatsleutel zonder certificaat kopieert dan kan hij niet vervolgd worden, misschien wel zijn contract met de sleutelfabrikant verliezen. Als jij als huurder je sleutel van je appt kopieert en in het contract staat dat dit niet mag, dan kan je verhuurder niet naar de politie stappen hiervoor maar wel je huurcontract vervroegd verbreken.
Het is niet omdat je een sleutel naar hartelust mag kopieren dat je er mee mag doen wat je wil! Als je ergens gaat inbreken en je gebruikt hiervoor een sleutel die je gekopieerd hebt (of gestolen) dan is dat een enorme verzwarende omstandigheid (op gelijke voet met "geweld of bedreigingen" gebruiken om in tebreken). Als jij ergens ontslagen wordt en je gaat na het einde van je contract nog zonder toestemming binnen bij je werkgever met een gekopieerde RFID, dan is dat inbraak met vervalste sleutel met zware straffen.
Fictief voorbeeld dat letterlijk in onze opleiding gegeven werd: als jij de sleutel van de bankkluis van de Nationale Bank kopieert zonder toestemming van de NBB, en jij bewaart die sleutel in je thuis tot het einde van je dagen, en je doet er niks mee, gaat de NBB je nooit kunnen aanklagen. Je mag die sleutel in je bezit hebben (maar ook niet meer).
Als jij een sleutel (RFID of klassiek) voor jezelf kopieert om toegang te krijgen tot een parking, en je mag die parking betreden, dan is er geen enkel wettelijk probleem. Je moet enkel zien in je contract met je werkgever dat het daar niet verboden wordt, anders riskeer je je job. Maar als het daar ook niet in staat, dan kan men u niets maken.
Nu het wettelijke aspect opgehelderd is, nog het praktische aspect:
RFID kaarten kan je kopieren, maar niet zomaar op blanks. Het probleem is dat de UID (user id) van een kaart meestal door de fabrikant op vastgezet wordt en dit kan je niet meer wijzigen. De UID wordt ook doorgestuurd naar de server voor beoordeling. Wat je dan nodig hebt zijn blanks die wel toelaten om de UID te schrijven (meestal kan je dit maar 1 keer doen op een kaart, daarna kan je niet meer wijzigen). Dat ga je niet vinden in het klassieke circuit, wel via eBay en China. Maar opnieuw: zo'n kaarten bestellen en importeren en in bezit hebben is NIET illegaal, de douane kan/mag dit niet tegenhouden.
Dan moet je dan ook nog apparatuur hebben om te schrijven en heel wat kennis. Bij mijn vakantiejob heb ik de schrijvers gezien maar dat zijn professionele exemplaren. Er circuleren ook exemplaren voor "particulier" gebruik die niet veel kosten (proxmark dacht ik). Die lezen een kaart dan volledig uit, en herschrijven die data dan op een blank. Maar dit zijn geen zaken waar je zomaar mee aan de slag kan want je moet echt wel weten wat je doet. Er zijn ook veel verschillende protocollen van kaarten.
Maar als je goede blanks hebt, en je hebt een schrijver, en je weet hoe je het moet doen dan kan je zeker een RFID kopieren. Bij ons op het werk hebben ze nog nooit een gekopieerde RFID onderschept, waarschijnlijk omdat het al veel vergt om ene te maken en dan ben je meestal ook wel zo slim genoeg om dat goed te verbergen. Het is ool zo dat onze apparaten het verschil niet kunnen zien eenmaal een kaart perfect gekopieerd is. Een perfect gekopieerde kaart wordt toegang verleend.
Nog hoe de toegangscontrole gebeurt: ja meestal is het met verificatie server-side. Vaak is er dan nog per lezer een cache ingebouwd zodat elke lezer ook een tijdje geisoleerd kan functioneren mocht de server down vallen (dus als jij je badge aanbiedt en de server zegt het is ok, dan houdt de lezer dat nog even in zijn geheugen, als jij een uur later komt en de server ligt plat dan kan de lezer op basis van zijn cache alsnog toegang geven). Maar er zijn ook cheap-ass plaatsen waar ze lezers hebben die altijd geisoleerd werken zonder server-side verificatie, en als je daar dan een badge kopieert en ze trekken die later in dan kan je nog altijd binnen met het gekopieerde exemplaar. Natuurlijk niet in Doel of Brussels Luchthaven!
