📅 [Agenda completa da conferência](https://nullcon.net/event/nullcon-goa-2026/schedule/)

🖥[Gravações de vídeo das palestras principais](https://www.youtube.com/@nullcon)

Destacamos algumas palestras que valem a pena conferir:

🛑[A Máquina com Muitas Faces: Impersonação de Identidade em SPIFFE/SPIRE.](https://www.youtube.com/watch?v=rUQiuFVvT9g) O palestrante mostra como configurações incorretas do SPIFFE/SPIRE podem permitir que um serviço se passe por outro, roube SVIDs e se mova lateralmente entre serviços dentro de um cluster.

🛑[O Momento Meltdown: CVE-2025-21533 – Um Bypass de Armazenamento Especulativo no Oracle VirtualBox. ](https://www.youtube.com/watch?v=gjDw1V3KOPk) Os apresentadores dissecam o CVE-2025-21533 no Oracle VirtualBox — uma falha que permite que um usuário local de baixos privilégios acesse dados sensíveis via bypass de armazenamento especulativo e ataques de canal lateral baseados em cache.

🛑[Código Fantasma: Contornando o Windows 11 25H2 Através de Autoexclusão Baseada em POSIX e Injeção Furtiva.](https://www.youtube.com/watch?v=tzB6PdMl7Lw) Os autores mostram como as mudanças no NTFS no Windows 11 25H2 quebraram técnicas legadas de autoexclusão e demonstram um novo método para remoção completa de arquivos usando semântica POSIX. A palestra também cobre o trabalho com processos estrangeiros para evadir detecção.

🛑[Por-Tão-QUIC!? Corrida e Fuzzing de HTTP/3 com QuicDraw-UI.](https://www.youtube.com/watch?v=irc91zTMCg8) O palestrante explora HTTP/3 e QUIC do ângulo de um atacante e apresenta a ferramenta de código aberto QuicDraw para testar o protocolo. A sessão demonstra a exploração de uma vulnerabilidade real de 1 dia envolvendo uma condição de corrida HTTP/3.

🛑[Quando Seu Gerenciador de Pacotes Se Tornou uma Arma: Anatomia do Primeiro Worm de Cadeia de Suprimentos Autorreplicante.](https://nullcon.net/wp-content/uploads/2026/04/when-your-package-manager-became-a-weapon-goa26-1.pdf) Os autores analisam o worm npm Shai‑Hulud, que comprometeu mais de 500 pacotes, e explicam como detectar ataques similares sem assinaturas ou bancos de dados CVE — através de análise de fonte e monitoramento de comportamento de pacotes a nível de syscall.

🛑[Apenas Diga Olá: Exfiltração de Dados Furtiva Explorando o Handshake TLS com Firewalls de Nova Geração.](https://nullcon.net/wp-content/uploads/2026/04/stealthy-data-exfiltration-exploiting-tls-handshake-with-next-generation-firewalls-goa26-1.pdf) Os apresentadores introduzem a técnica de túnel Helol para exfiltração de dados encoberta e C2 sobre um TLS Client Hello, mostrando como tal canal pode contornar NGFWs modernos.

As gravações e slides das palestras principais no Nullcon Goa 2026 já estão online!