TLDR

  • Al 10 luglio 2026, la release Kali più recente è Kali Linux 2026.2, pubblicata il 29 giugno 2026.
  • Le novità che contano per chi usa VM sono boot più rapido, initrd ridotto, kernel 6.19 e passaggio graduale al formato APT deb822.
  • Per Hack The Box, Metasploit e CTF serve una workstation separata dalla vita quotidiana: snapshot, rete controllata, niente segreti personali.
  • Kali non sostituisce il metodo: enum, note, prove riproducibili, report e confini legali valgono più del numero di tool installati.

La distro non è il superpotere

Kali Linux ha un problema di reputazione: viene spesso raccontata come se fosse il martello definitivo.

Non lo è.

È una cassetta degli attrezzi.

Una buona cassetta, aggiornata spesso, piena di strumenti utili, con una community enorme e una storia lunga. Ma resta una cassetta. Se non sai cosa stai cercando, puoi passare ore a lanciare tool senza produrre conoscenza.

Hacker Journal negli anni ha costruito un filone intero intorno a Kali, CTF, Metasploit e laboratori vulnerabili. Quel materiale funziona ancora come idea: imparare facendo, ma dentro un recinto.

Nel 2026 il recinto migliore non è "il computer dove fai tutto".

È una workstation di laboratorio separata.

Cosa cambia con Kali 2026.2

Kali Linux 2026.2 è stata pubblicata il 29 giugno 2026. È una release da prendere sul serio soprattutto se usi Kali in macchina virtuale.

Le novità più importanti per un laboratorio quotidiano sono queste:

  • GNOME 50 e KDE Plasma 6.6 per chi usa ambienti desktop alternativi;
  • helper script più coerenti per avviare e fermare servizi legati ai tool;
  • passaggio del formato APT verso sources.list.d/kali.sources;
  • immagini VM più snelle, senza firmware grafico inutile nei casi virtualizzati;
  • initrd molto più piccolo e boot VM più rapido;
  • kernel 6.19 nella release, con possibilità di seguire pacchetti più freschi da kali-rolling o sperimentali;
  • nuovi tool aggiunti ai repository, tra cui utility OSINT, shell handler, helper AI da terminale e strumenti per crawling o credenziali.

La parte interessante non è il numero di tool.

È l'attenzione al flusso reale di chi lavora in VM: accendi, testi, rompi, resetti, prendi note, ricominci.

VM prima di eroismi

Per Hack The Box, Metasploit, CTF e lab locali, la scelta sana è quasi sempre una VM.

Non perché sia più cool.

Perché perdona.

Puoi fare snapshot prima di un esperimento, spegnere la rete, clonare un ambiente, tornare indietro, buttare via tutto senza piangere. Puoi separare la macchina di studio dal browser dove hai email, banca, password manager, progetti cliente e vita normale.

Una Kali da laboratorio dovrebbe avere:

  • disco sufficiente, ma non infinito;
  • snapshot pulito subito dopo installazione e aggiornamento;
  • clipboard condivisa disattivata quando provi codice non fidato;
  • cartelle host montate solo quando servono;
  • VPN e profili separati per ogni piattaforma;
  • browser senza account personali;
  • password manager non sincronizzato con quello principale;
  • note esportabili fuori dalla VM;
  • rete limitata quando studi malware, PoC o tool aggressivi.

La regola è semplice: se una macchina può eseguire roba ostile, non deve contenere segreti veri.

Hack The Box è palestra, non bersaglio generico

Hack The Box oggi offre Academy, Labs, Starting Point, Machines, Challenges, Sherlocks, Tracks, Pro Labs e Seasons. È un ecosistema enorme, non solo "macchine da bucare".

La differenza conta.

Starting Point ti insegna il giro base.

Machines e Challenges allenano enumerazione, web, crypto, reverse, privilege escalation e metodo.

Sherlocks sposta la testa sul blue team: log, indagini, timeline e incident response.

Pro Labs simulano infrastrutture più vicine a un ambiente enterprise.

La cosa bella è che il contesto è autorizzato. La cosa pericolosa è portare fuori da lì la stessa mentalità senza permesso.

Un comando che ha senso su una macchina HTB può essere un problema legale su un dominio trovato per caso.

Il laboratorio è laboratorio perché qualcuno ha disegnato i confini.

Metasploit senza mitologia

Metasploit Framework è già preinstallato in Kali, e la documentazione ufficiale lo dice chiaramente: è uno dei modi più rapidi per iniziare quando hai permesso di testare un ambiente.

Ma Metasploit va capito prima di essere usato.

Non è "premi exploit".

È un framework modulare che mette insieme:

  • moduli di exploit;
  • moduli ausiliari;
  • payload;
  • sessioni;
  • database;
  • import di risultati;
  • log e report;
  • documentazione tecnica dei moduli.

In un percorso serio, Metasploit arriva dopo l'enumerazione, non prima.

Prima capisci servizi, versioni, configurazioni, utenti, porte, superfici e ipotesi.

Poi scegli se un modulo serve davvero.

Poi verifichi cosa fa.

Poi documenti.

Se inizi da "cosa posso lanciare?", stai studiando il tool. Se inizi da "cosa sto osservando?", stai studiando sicurezza.

La sequenza sana

Una sessione di studio buona ha una forma riconoscibile.

Prima: scegli il target autorizzato. Una macchina HTB, un lab locale, una VM vulnerabile, un challenge CTF.

Seconda: scrivi l'obiettivo. Non "fare root", ma "capire SMB", "allenare web enum", "leggere log", "ripassare privilege escalation Linux".

Terza: raccogli informazioni senza rumore inutile.

Quarta: fai ipotesi.

Quinta: provi una cosa alla volta.

Sesta: prendi note mentre succede, non dopo.

Settima: ripulisci, resetti e scrivi cosa hai imparato.

La flag è dopamina.

Le note sono competenza.

Errori classici

Il primo errore è installare tutti i tool possibili.

Più tool non significa più metodo. Spesso significa più confusione, più output da interpretare male e più tempo perso.

Il secondo errore è non aggiornare mai la VM.

Kali rolling vive di pacchetti freschi. Una VM abbandonata per mesi può avere tool rotti, exploit vecchi, dipendenze incoerenti e repository cambiati.

Il terzo errore è copiare comandi da write-up senza capire.

Il write-up è una mappa, non una patente.

Il quarto errore è usare la stessa Kali per tutto: HTB, lavoro, malware, PoC GitHub, browser personale, crypto wallet, documenti.

Quella non è comodità.

È una pentola a pressione.

AI, CTF e scorciatoie

Nel 2026 l'AI entra anche nei CTF e nei lab. Ci sono studi recenti su agenti che abbassano la barriera iniziale, aiutano a strutturare strategie e riducono il carico cognitivo.

È vero.

Ma c'è un conto da pagare: dipendenza, falsa sicurezza e comprensione superficiale.

Usare un assistente per farsi spiegare un concetto è ottimo.

Usarlo per incollare comandi fino alla flag è allenare la mano sbagliata.

La domanda da farsi dopo ogni suggerimento è:

so spiegare perché questa prova ha senso?

Se la risposta è no, fermati.

Non sei in ritardo.

Sei nel punto in cui si impara.

Setup mentale

La workstation Kali ideale per HTB e Metasploit non è quella più piena.

È quella più chiara.

Una VM aggiornata.

Un browser pulito.

Un sistema di note.

Snapshot prima degli esperimenti.

Target autorizzati.

Niente segreti personali.

Tool usati con intenzione.

Confini legali scritti in testa prima ancora che nel terminale.

Kali 2026.2 rende il laboratorio più comodo.

Il resto lo fai tu: metodo, disciplina, curiosità e quella cosa poco scenografica che salva sempre la giornata.

Leggere l'output.

FAQ

Qual è l'ultima versione di Kali Linux?

Al 10 luglio 2026, l'ultima release annunciata sul blog ufficiale è Kali Linux 2026.2, pubblicata il 29 giugno 2026.

Kali è necessaria per Hack The Box?

No. Puoi usare anche Parrot, una Debian/Ubuntu preparata bene o Pwnbox. Kali resta comoda perché concentra molti tool e Metasploit è già presente, ma non è una scorciatoia magica.

Meglio Kali in VM o bare metal?

Per quasi tutti, VM. Snapshot, isolamento, reset veloce e meno rischio di mischiare tool offensivi con file personali. Bare metal ha senso solo se devi usare hardware specifico, per esempio radio o Wi-Fi.

Posso usare Metasploit su macchine pubbliche?

Solo se hai autorizzazione esplicita e scope chiaro. Su HTB, CTF e lab locali va bene; su servizi reali senza permesso diventa abuso.

Cosa cambia davvero in Kali 2026.2 per un principiante?

Meno attrito: VM più snelle, desktop aggiornati, helper script più coerenti e repository APT modernizzati. Ma la parte importante resta imparare a documentare ogni passaggio.

Fonti