Speaker

Clemens Hübner

Clemens Hübner

Software Security Engineer

Software Security Engineer

Munich, Germany

For more than ten years, Clemens Hübner has been working at the interface between software and security. After roles as a software developer and in penetration testing, he joined inovex in 2018 as a software security engineer. Today, he supports development projects at the conception and implementation level, trains colleagues, and advises on DevSecOps.

Clemens Hübner arbeitet seit mehr als zehn Jahren an der Schnittstelle zwischen Software und Sicherheit. Nach Stationen als Softwareentwickler und im Penetration Testing ist er seit 2018 als Software Security Engineer bei inovex tätig. Heute unterstützt er Entwicklungsprojekte auf der Konzeptions- und Implementierungsebene, schult Kollegen und berät zu DevSecOps.

Area of Expertise

  • Information & Communications Technology

Topics

  • Security
  • IT Security
  • Application Security
  • Software Security
  • Web Security
  • Web Application Security
  • Web Applications
  • DevSecOps
  • SecDevOps
  • java
  • Kotlin
  • JavaScript & TypeScript
  • Identity and Access Management
  • Software Development
  • Software Architecture
  • Software Testing & QA
  • Software Engineering
  • JavaScript
  • TypeScript
  • Web
  • Web Apps
  • Cloud Security

Sessions

Built-in security: Secure web apps using modern browser features en de

For the development of secure web applications, developers can make use of an increasing number of security functionalities in established browsers instead of having to develop them themselves at great expense or creating dependencies through 3rd-party libraries.

For example, the WebAuthn standard can be used to implement passwordless authentication. For cryptographic operations, the WebCrypto API provides simple interfaces for hashing, encrypting or signing in all common browsers. With the Reporting API, information about security events can be collected directly from the productive user environment, for example via CSP violations.

The talk will give an overview of the distribution of these features and demonstrate the possibilities for their use in development projects. Participants will learn about various security APIs in current browsers and their development status. They will learn how these features can be used in the development of secure web applications and gain practical insights for implementation and deployment in own software.

Passwordless future: WebAuthn and Passkeys in practice en de

Passwords are bad. How can we replace them?
With WebAuthn, a promising option for passwordless authentication in web browsers was published in 2019, but was rarely adopted. Just until 2022, when both Google and Apple introduced the integration of WebAuthn in their identity systems, giving hope for further progress.
This session will explain the basics of WebAuthn and Passkeys and evaluate the state of adoption both on client and server side. It will then focus on the practical realization when developing a web application: How to build a passwordless authentication yourself? Which features make it easier or more difficult to use in web applications? What are the impressions from practical use? In the end, the talk will also shed a light on future developments in the WebAuthn environment.

Learning from the mistakes of others: Understanding web security through counterexamples en de

New hacks and leaks in web applications are reported almost daily, which is why the importance of security is no longer seriously disputed by anyone. At the same time, there is often a lack of direct reference to existing risks in day-to-day development and security activities are subordinated to other tasks.
This presentation uses specific vulnerabilities and successful exploits to highlight the relevance of security measures in web development projects. Based on the OWASP Top Ten, specific security incidents will be explained, the errors identified and how they can be avoided.
Using real vulnerabilities, participants learn how they can avoid them themselves. Whether unsecured APIs, incorrect use of JWTs, poorly designed authentication processes or the use of hacked libraries: practical examples are used to illustrate the relevance of web security activities

Aus den Fehlern anderer lernen: Web Security verstehen durch Gegenbeispiele en de

Quasi täglich wird von neuen Hacks und Leaks in Web-Anwendungen berichtet, weshalb die Wichtigkeit von Security inzwischen von niemandem mehr ernsthaft bestritten wird. Gleichzeitig fehlt im Entwicklungsalltag oft der direkte Bezug zu den bestehenden Risiken und Security-Aktivitäten werden anderen Aufgaben untergeordnet.
Dieser Vortrag stellt anhand von spezifischen Schwachstellen und erfolgreichen Exploits die Relevanz von Security-Maßnahmen in Web-Entwicklungsprojekten in den Vordergrund. Ausgehend von den OWASP Top Ten werden konkrete Sicherheitsvorfälle erklärt, die Fehler benannt und erläutert, wie sich diese vermeiden lassen.
Die Teilnehmenden lernen anhand realer Schwachstellen, wie sie diese selbst vermeiden können. Ob ungesicherte APIs, fehlerhafte Nutzung von JWTs, schlecht designte Authentifizierungsprozesse oder die Nutzung gehackter Libraries: anhand praktischer Beispiele wird die Relevanz von Web-Security-Aktivitäten deutlich gemacht

Passwordless future: WebAuthn und Passkeys in der Praxis en de

Passwörter sind schlecht. Wie können wir sie ersetzen?
Mit WebAuthn wurde 2019 eine vielversprechende Option für die passwortlose Authentifizierung in Webbrowsern veröffentlicht, die jedoch kaum angenommen wurde. Dies änderte sich Mitte 2022, als sowohl Google als auch Apple die Integration von Passkeys in ihre Identitätssysteme einführten, was Hoffnung auf weitere Fortschritte macht.
In dieser Sitzung werden die Grundlagen von WebAuthn und Passkeys erläutert und der Stand der Einführung sowohl auf Client- als auch auf Serverseite bewertet. Anschließend wird der Schwerpunkt auf die praktische Umsetzung bei der Entwicklung einer Webanwendung gelegt: Wie kann man selbst eine passwortlose Authentifizierung aufbauen? Welche Merkmale erleichtern oder erschweren den Einsatz in Webanwendungen? Was sind die Eindrücke aus der praktischen Anwendung? Schließlich wird der Vortrag auch einen Blick auf zukünftige Entwicklungen im WebAuthn-Umfeld werfen.

Built-in security: Sichere Webapps dank moderner Browserfeatures en de

Zur Entwicklung von sicheren Javascript-Anwendungen können Webdeveloper:innen auf immer mehr Security-Funktionalitäten in Browsern zurückgreifen, anstatt sie aufwendig selbst entwickeln zu müssen oder Abhängigkeiten durch 3rd-party-Bibliotheken zu schaffen.

Beispielsweise kommt zur Umsetzung einer passwortlosen Authentifizierung der WebAuthn-Standard zum Einsatz. Für kryptografische Operationen bietet die WebCrypto-API in allen gängigen Browsern einfache Schnittstellen für Hashing, Verschlüsseln oder Signieren an.

Der Vortrag gibt einen Überblick über die Verbreitung dieser und weiterer Features und demonstriert die Möglichkeiten für einen Einsatz in Entwicklungsprojekten. Die Teilnehmer lernen verschiedene JavaScript-Security-APIs in aktuellen Browsern und deren Entwicklungsstand kennen. Sie erfahren, wie diese Features bei der Entwicklung von sicheren Webanwendungen genutzt werden können. Sie bekommen praxisorientierte Einblicke zur Umsetzung und Implementierung in eigenen Webanwendungen.

Navigating the Perils: The Threat Landscape of AI-based Software Systems en de

As the integration of Artificial Intelligence (AI) continues to permeate diverse domains, the prospect of embedding AI models into software systems presents both unparalleled opportunities and unprecedented challenges. This conference talk aims to shed light on the multifaceted threats associated with the integration of AI models, unraveling the complexities that arise at the intersection of classical software systems and machine intelligence.

The presentation will delve into the inherent vulnerabilities that surface when AI becomes an integral component of software systems. Drawing on real-world case studies and recent advancements in the field, the presentation will provide insights into the security risks of AI systems and the implications for user trust. Attendees will gain a comprehensive understanding of the delicate balance required to harness the power of AI within software systems while safeguarding against associated security risks.

Furthermore, the talk will propose strategies and best practices to mitigate these risks, emphasizing the importance of interdisciplinary collaboration between AI researchers, software developers, and security experts. By fostering a holistic approach to AI integration, the presentation aims to empower the audience to navigate the intricate landscape of AI-infused software systems responsibly, ensuring a valuable usage of these opportunities.

Navigating the Perils: Angriffe auf KI-gestützten Software-Systemen en de

Die Integration von Künstlicher Intelligenz (KI) durchdringt immer mehr verschiedene Bereiche. Die Möglochkeit, KI-Modelle in Softwaresysteme einzubetten, birgt sowohl einmalige Chancen als auch beispiellose Herausforderungen. Dieser Konferenzvortrag soll die vielfältigen Bedrohungen beleuchten, die mit der Integration von KI-Modellen verbunden sind, und die Komplexität verdeutlichen, die an der Schnittstelle zwischen klassischen Softwaresystemen und maschineller Intelligenz entsteht.

Der Vortrag befasst sich mit den Sicherheits-Schwachstellen, die entstehen, wenn KI zu einem integralen Bestandteil von Softwaresystemen wird. Anhand von Beispielen aus der Praxis und den aktuellen Fortschritten auf diesem Gebiet wird der Vortrag einen Einblick in die Sicherheitsrisiken von KI-Systemen und die Auswirkungen auf die Angriffsoberfläche von Systemen geben. Die Zuhörenden sollen einen umfassenden Überblick über die Bedrohungslage für KI-Systeme bekommen. Sie sollen erkennen, wie die Leistungsfähigkeit der KI in Softwaresystemen ohne die damit verbundenen Sicherheitsrisiken nutzbar gemacht werden kann.

Darüber hinaus werden Strategien und bewährte Verfahren zur Minderung dieser Risiken vorgestellt, wobei die Bedeutung der Zusammenarbeit zwischen KI-Forschern, Softwareentwicklern und Sicherheitsexperten betont wird. Durch die Förderung eines ganzheitlichen Ansatzes für die KI-Integration soll der Vortrag die Zuhörenden in die Lage versetzen, sich in der komplexen Landschaft der KI-gestützen Softwaresysteme zurechtzufinden und eine sicher Nutzung dieser Möglichkeiten zu gewährleisten.

Threat modeling for AI applications en de

With the increasing adaptation of AI in practice, security is becoming particularly important. The complexity of such systems, the concentration of relevant data and the still limited practical experience provide high incentives for potential attackers. A secure design therefore requires a systematic approach to cover all facets of the topic.

In this presentation, we will introduce our adaptation of the established threat modeling method for AI applications: Based on the well-known "Four Question Framework", the focus will be on the AI components, their special features and their threat situation, and the implementation in the development project will also be covered.

Participants will learn about the threat modeling method and how to use it in practice: From the identification of assets worthy of protection to the establishment of threat scenarios and the derivation of efficient countermeasures, we present the procedure using practical use cases.

Threat Modelling für KI-Anwendungen en de

Mit zunehmender Adaption von KI in der Praxis kommt der Sicherheit eine besondere Bedeutung zu. Die Komplexität von solchen Systemen, die Konzentration von relevanten Daten und die noch geringen praktischen Erfahrungen sorgen für hohe Anreize für potenzielle Angreifer. Ein sicheres Design bedarf deshalb eines systematischen Vorgehens, um alle Facetten des Themas abzudecken.

In diesem Vortrag stellen wir unsere Adaption der etablierten Methode Threat Modelling für KI-Anwendungen vor: Ausgehend vom bekannten "Four Question Framework" wird der Fokus auf die KI-Komponenten, ihre Besonderheiten und deren Bedrohungssituation gelegt und auch die Umsetzung im Entwicklungsprojekt behandelt.

Die Teilnehmenden lernen die Methode Threat Modelling kennen und wie Sie diese in der Praxis einsetzen: Von der Identifikation der schützenswerten Assets über die Aufstellung der Bedrohungsszenarien bis hin zur Ableitung von effizienten Gegenmaßnahmen stellen wir das Vorgehen anhand praktischer Use Cases dar.

Clemens Hübner

Software Security Engineer

Munich, Germany