Die renommierte IT-Sicherheitskonferenz ASIA CSS hat das Paper „ROPdefender: A Detection Tool to Defend Against Return-Oriented Programming Attacks“ mit dem Test of Time Award ausgezeichnet. Die 2011 veröffentlichte Arbeit geht auf die Masterarbeit von Lucas Davi zurück, die er unter der Betreuung von Dr. Marcel Winandy und Prof. Ahmad-Reza Sadeghi verfasste. Heute ist Lucas Davi selbst Professor und Direktor von paluno – The Ruhr Institute for Software Technology und PI am Exzellenzcluster CASA.
Die Informatik ist ein außergewöhnlich dynamisches Forschungsfeld. Umso bemerkenswerter ist es, wenn eine wissenschaftliche Arbeit auch 15 Jahre nach ihrer Veröffentlichung noch Wirkung entfaltet und die Weiterentwicklung von Forschung und Praxis nachhaltig prägt.
Das ausgezeichnete Paper stellt mit ROPdefender ein Werkzeug vor, das eine damals hochaktuelle und bis heute relevante Angriffstechnik adressiert: das Return-Oriented Programming (ROP). Bei ROP schleusen Angreifer keinen eigenen Schadcode ein, sondern missbrauchen vorhandene Codefragmente im Speicher eines Programms. Diese werden zu einer Kette zusammengesetzt, die schädliche Operationen ausführen kann. Der Aufbau der Kette wird dabei über die Maschineninstruktion für einen Funktionsrücksprung (bei Intel basierten System die RET Instruktion) realisiert.
Wie gefährlich ROP ist, zeigte sich unmittelbar rund um den Zeitpunkt der Veröffentlichung von ROPdefender. Es kam zu den ersten aufsehenerregenden Angriffen auf Adobe Reader und Adobe Flash Player. Ferner wurde ROP im Stuxnet-Angriff eingesetzt, der Zero-Day-Lücken im Windows-Betriebssystem ausnutzte. Klassische Schutzmechanismen wie Data Execution Prevention (DEP) waren gegen ROP machtlos.
Mit ROPdefender wurde ein neuer Software-basierter Ansatz vorgestellt, der auf einem Shadow Stack basiert und direkt beliebige, bereits installierte Programme absicherst: Bei jedem Funktionsaufruf wird bei dieser Lösung eine geschützte Kopie der Rücksprungadresse abgelegt. Beim tatsächlichen Rücksprung wird die Adresse dann mit der gespeicherten Kopie verglichen. Weichen sie voneinander ab, ist dies ein sicheres Zeichen für einen Angriff. Das Potential dieses Ansatzes wurde von der Fachwelt früh anerkannt. 2010 wurden Lucas Davi, Macel Winandy und Ahmad-Reza Sadeghi hierfür mit dem 2. Platz beim Deutschen IT-Sicherheitspreis ausgezeichnet.
Das Shadow-Stack-Prinzip hat inzwischen Eingang in moderne Prozessorarchitekturen gefunden und trägt dort zur Härtung gegen klassische ROP‑Angriffe bei. Beispielsweise nutzen Intel-Prozessoren die Erweiterung CET (Control-Flow Enforcement Technology) für einen Hardware-basierten Shadow Stack.
Doch die Auseinandersetzung mit ROP ist nicht abgeschlossen. Heute entwickeln Angreifer weiterführende Varianten von Return-Oriented-Programming-Techniken, die neue Herausforderungen für die IT-Sicherheit mit sich bringen. Der Test of Time Award macht damit zweierlei sichtbar: dass grundlegende Forschungsfragen in der IT‑Sicherheit eine lange Halbwertszeit besitzen und dass gute Ideen, konsequent weiterentwickelt, ihren Weg in die Praxis finden und reale Systeme nachhaltig beeinflussen können.
Referenz
Lucas Davi, Ahmad-Reza Sadeghi and Marcel Winandy: ROPdefender: A Detection Tool to Defend Against Return-Oriented Programming Attacks. In: Proc. of 6th ACM Symposium on Information, Computer and Communications Security (ASIACCS), 2011.
Weiterführende Links:
Link zum Paper: https://dl.acm.org/doi/10.1145/1966913.1966920
ACM ASAICCS 2026: https://asiaccs2026.cse.iitkgp.ac.in/
Artikel über IT-Sicherheitspreis 2010 auf heise-online: https://www.heise.de/news/Deutscher-IT-Sicherheitspreis-2010-fuer-Crypto-Light-1143445.html
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.
