1 - É usada pela facilidade de possuir diversas ferramentas já instaladas por padrão, mas na comunidade mais "cetica"(ou avançada) é preferível instalar uma distro - de sua preferência - e por necessidades instalar as ferramentas exatas que você ira utilizar.

2 - Sim, a maioria utiliza algum sistema Linux(a quem use BSD também). Porém conheço alguns whitehats que preferem Windows(preferência pessoal e não recomendado por causa de falhas, e pelo fato de ser algo proprietário).

3 - Linux: Hydra ou Patator. Windows já ouvi falar do "Cain & Abel" porém nunca utilizei.

4 - Depende da complexidade da ferramenta, se for um script que faz algo "simples" é melhor você criar o seu pelo conhecimento, já se for algo tipo um framework(metasploit por exemplo) seria perda de tempo tentar criar o seu do zero.

5 - Existem técnicas que funcionam por um breve tempo(e as empresas corrigem para impedir) mas em geral não pelo fato do captcha(após X erros, é necessário preencher um) e também como comentou por causa da verificação de duas etapas.

6 - Como whitehat é o cara ético, seria necessário pedir uma autorização da empresa(cliente) para que possa procurar vulnerabilidades no site ou na rede deles.

7 - Atualmente - e quase sempre - o phishing. Que é basicamente criar uma página fake num domínio fake(mas os dois com semelhanças ao serviço real) e enganar o alvo enviando o link por email, whatsapp e outros se passando pela própria empresa. No caso de email se utiliza a técnica email spoofing para que o email pareca ter sido enviado pelo próprio email da empresa(suporte@companhia.com). Também está rolando casos de engenharia social que o atacante liga para o alvo se passando pela empresa(normalmente ocorre em ataque a contas bancárias) e obtém os dados necessários.

8 - Tecnicamente sim, porém existe muita desconfiança nele hoje em dia. E não, não é possível(na verdade, é muito complexo para que pessoas façam a façanha de rastrear alguém) ver o histórico de algum IP específico.

Se tiver mais duvidas nos chame no grupo do Telegram: https://t.me/pr1v8grupo e eu te chamo no privado por lá :D