Kali Linux è una di quelle distribuzioni che non ha bisogno di grandi presentazioni nel mondo della sicurezza informatica, eppure continua a generare curiosità e, diciamolo, anche un po’ di confusione. Perché non è un sistema operativo pensato per navigare su internet, guardare video o scrivere documenti. È uno strumento. Punto. Basata su Debian, questa distribuzione GNU/Linux nasce con uno scopo preciso: fornire un ambiente già pronto, coerente e riproducibile per chi si occupa di auditing, analisi forense e test di sicurezza. Dal punto di vista tecnico, Kali Linux adotta un modello rolling release, il che significa che gli aggiornamenti dei pacchetti arrivano in modo continuo. Una scelta tutt’altro che casuale, visto che nel campo della sicurezza informatica strumenti e tecniche di attacco evolvono a una velocità impressionante. I repository sono gestiti direttamente da Offensive Security, con pacchetti mantenuti e testati per evitare conflitti tra strumenti che, per loro natura, sono spesso molto diversi tra loro.
Quello che rende Kali Linux diverso dalle distribuzioni tradizionali non è semplicemente il numero di tool preinstallati. È il modo in cui sono integrati. Librerie, dipendenze e versioni sono allineate per funzionare insieme senza i problemi tipici che si incontrano quando si cerca di installare manualmente questi strumenti su altre distribuzioni. Lo stack di rete è configurato per supportare attività avanzate come sniffing, packet injection e manipolazione del traffico. Il supporto ai driver hardware specializzati, soprattutto in ambito wireless, è particolarmente curato: Kali include driver compatibili con modalità avanzate come il monitor mode, essenziali per analizzare e testare reti WiFi. Funzionalità che in un sistema destinato all’uso quotidiano raramente sono disponibili o configurate a dovere. I tool integrati in Kali Linux coprono diverse categorie: dalla raccolta informazioni (Information Gathering e OSINT) all’analisi delle vulnerabilità, dagli attacchi wireless al testing di applicazioni web, passando per sniffing e spoofing, exploitation, forensics e reverse engineering.
Come usare Kali Linux da chiavetta USB e attivare la persistenza
Chi non vuole installare Kali Linux in modo permanente sul proprio PC può tranquillamente usare l’edizione Live, avviandola da una chiavetta USB. L’immagine ISO di Kali Linux Live non è più disponibile per il download diretto dal sito ufficiale, ma si può scaricare tramite torrent, utilizzando ad esempio una versione portabile del client qBittorrent. Una volta ottenuta la ISO, si può usare Ventoy per farla convivere con altre ISO e file VHDX in un’unica chiavetta avviabile, oppure in alternativa si può dedicare una chiavetta esclusivamente a Kali Linux usando Rufus. L’importante è che la chiavetta USB sia sufficientemente veloce (almeno USB Gen 1, 5 Gbps). In questo modo è possibile sfruttare tutte le risorse hardware del PC senza passare per la virtualizzazione. Un dettaglio da non dimenticare: Kali Linux non supporta Secure Boot, quindi va disattivato temporaneamente nel BIOS UEFI prima di procedere con l’avvio.
Di norma, come qualsiasi distribuzione Live, Kali Linux Live perde tutte le modifiche e le preferenze al riavvio. Ma esiste un modo per attivare la persistenza. Con Rufus è possibile creare una partizione dedicata specificandone la dimensione esatta, con capienza che può arrivare a decine di gigabyte. Con Ventoy, invece, serve creare un file di persistenza in formato .dat, formattato in ext4, e configurarlo tramite il file ventoy.json, associandolo alla ISO di Kali Linux. La differenza sostanziale è che con Ventoy la persistenza è limitata a 4 GB, mentre Rufus offre molta più libertà. Per lavorare comodamente, la prima cosa da fare è impostare il layout di tastiera italiano, usando dal terminale il comando setxkbmap it seguito da sudo dpkg-reconfigure keyboard-configuration e poi sudo systemctl restart keyboard-setup.
Guida pratica ai tool: dalla scansione di rete al cracking delle password
Entrare in Kali Linux senza sapere cosa cercare non ha molto senso. Il valore sta nel capire quando e come i tool risolvono problemi reali. Per identificare tutti i dispositivi attivi su una rete locale, anche quelli “invisibili” come stampanti, smart TV o dispositivi IoT, si possono usare comandi come sudo netdiscover o nmap -sn. Per scoprire quali servizi sono esposti su un dispositivo e su quali porte, basta un nmap -sV seguito dall’indirizzo IP del target. Per l’analisi delle vulnerabilità web, strumenti come nikto automatizzano la ricerca di configurazioni errate, file di debug lasciati online o versioni software obsolete, senza attaccare il sistema ma evidenziando debolezze strutturali.
Sul fronte delle password, Kali Linux offre un ecosistema completo. La wordlist rockyou.txt, che contiene milioni di password reali provenienti da leak storici, è già inclusa. Lo strumento cewl permette di estrarre parole rilevanti dai contenuti di un sito specifico. Hashcat è il riferimento per provare in parallelo milioni di password calcolandone gli hash e verificando le corrispondenze, mentre John the Ripper adotta un approccio diverso, più intelligente: applica regole che trasformano le parole di una wordlist simulando i comportamenti tipici degli utenti, generando varianti come “Ciao123” da “ciao” o “P@ssw0rd” da “password”. Per generare combinazioni personalizzate si usa crunch, mentre hash-identifier aiuta a riconoscere l’algoritmo utilizzato per una stringa hash.
Per l’analisi del traffico di rete, Wireshark permette di rendere visibile ciò che normalmente resta nascosto. Ogni dispositivo connesso genera traffico continuo, anche in standby. Gran parte di questo traffico oggi è crittografato, quindi quello che si osserva sono soprattutto metadati: chi comunica con chi, con quale frequenza e attraverso quali protocolli. I filtri dns e tls permettono rispettivamente di monitorare i domini contattati in tempo reale e di identificare i server di destinazione delle connessioni cifrate tramite il campo SNI dei certificati.
