Có lẽ không nhiều người từng viết thư xin… từ bỏ một chứng chỉ mà mình thi đậu, đặc biệt là chứng chỉ rất có giá và cũng lệ phí thi khá ca là ECCuncil LPT.
Tôi là một trong số ít đó.
Chuyện bắt đầu từ hồi tôi đăng ký thi LPT — Licensed Penetration Tester của EC-Council — cùng lúc với một người em làm kiểm thử bảo mật chuyên nghiệp.
Nói “cùng lúc” chứ thực ra chúng tôi chỉ đăng ký cùng ngày thôi, maà có vẽ tôi là cảm hứng hay thêm cho nó chút động lực để đăng kí. Còn thời gian thi thì… hoàn toàn khác nhau.
Thằng em trẻ khỏe thi xong sớm, rồi nhắn lại một câu “Dễ mà anh, với chuyên môn của anh chắc không có gì đâu.” , còn nó thì làm xong bài lab chỉ trong 1 cuộc nhậu, không rõ bài gì nhưng chém gió tí cho vui cũng thêm tự tin.
Tôi nghe, gật đầu, rồi… bẵng đi gần hai năm. Công việc, dự án mà chủ yếu là đi đào tạo , đủ thứ sự vụ ập vào. Cái voucher thi cứ nằm đó, tôi cứ hẹn đó cho đến mùa Covid, lúc này thì không thi cử cũng chẳng biết làm gì cả, đi ra ngoài còn khó nữa là.
Đến khi thực sự ngồi vào bàn thi, tôi mới hiểu tại sao em trai nó nói “dễ” — vì bạn ấy sống bằng nghề pentest. Mỗi ngày đi làm là giống như đang luyện tập cho kỳ thi này. Còn tôi thì khác, công việc rộng hơn, không chuyên sâu bằng.
ECCouncil LPT không phải thi trắc nghiệm ngồi chọn A B C D. Đây là bài thi thực hành, chia làm 3 vòng, mỗi vòng 3 điểm, tổng 9 điểm. Ngưỡng đậu là 5. Nhưng có một cái bẫy rất thú vị: nếu bất kỳ vòng nào bị liệt — dù tổng điểm vẫn trên 5 — vẫn rớt.
Ba vòng độc lập. Ba lần căng thẳng riêng biệt.
Tôi ngồi làm, mồ hôi ra thiệt sự. Không phải mồ hôi vì nóng — phòng máy lạnh lắm — mà mồ hôi vì cái cảm giác vừa làm vừa không chắc mình đang đi đúng hướng không.
Kết quả: 6/9 điểm. Qua. Mỗi vòng tôi đạt 2 điểm, đến vòng 3 khi giải quyết 1 bài trúng tủ gần như là Drupalgeddon sau đó leo thang mấy cái lỗi “bò dơ” khá dễ tôi thở phào vì mới mất khoảng 30 phút trong khi thời gian cho đến 6 tiếng. Như vậy là đủ đậu và nghĩ rằng sẽ bem luôn 2 bài nữa dễ dàng, thế mà ngồi hết gần 4 tiếng không mò ra được gì cả khá nãn. Nên tôi xin phép giám thị cho nghĩ giải lao 15 phút, ra ngoài làm ly cà phê và trao đổi với ku em (sau này thấy nó toàn đi dạy OSCP đấy các bạn) thì nó tip cho 1 hướng khá hay, mang vào thử nghiệm moi được cái flag , đủ 6 điểm thấy mệt quá nên nộp luôn (mà làm không được cũng nội vì 5 điểm là đủ qua) , sau đó cũng phải viết report trong vòng 7 ngày, khi đó chưa có AI chứ không khỏi suy nghĩ, quăng dữ liệu cho nó nhoáy phát chắc xong luôn (lưu ý thi LPT hay CPENT sau này nhớ chụp proof để viết report nhé, không là hơi khoai đấy.
Giống như vừa rồi thi CySA+ mới 60 phút tôi nộp bài luôn may mà đậu 777 / 750 với tổng điểm 900 điểm (Lưu ý thi CompTIA có 1 giám thị người Ấn Độ nó ngồi dòm nên nộp sớm muộn cũng chẳng sao chứ thi EC-Council nộp sớm quá có khi nó bắt thi lại à, có mấy chế bị rồi ấy 🙂 , Mà tụi giám thị CompTIA khó tính lắm, không như ECCouncil xin nghĩ giải lao cá phê cà pháo, hay hút thuốc ăn cháo (có lần thi CEH Practice đói bụng quá xin nghĩ giải lao làm tô cháo lúc 3 giờ sáng đấy các bạn, đạt 17 hay 18 điểm gì đó trên 20, và 14 là đạt).
Khoảng lặng — EC-Council thay đổi cuộc chơi
Rồi thị trường chứng chỉ bảo mật xáo trộn.
EC-Council quyết định khai tử LPT độc lập. Khai tử luôn ECSA. Thay vào đó là CPENT — Certified Penetration Testing Professional — được đẩy ra với tham vọng cạnh tranh trực tiếp với OSCP của Offensive Security.
Để thêm phần hấp dẫn, họ kèm theo một điều khoản: ai thi CPENT mà đạt trên 90% sẽ được cấp thêm chứng chỉ LPT.
Tôi nhìn cái thông báo đó, lắc đầu, rồi tiếp tục việc của mình. Thêm cert để làm gì? Treo lên tường cho đẹp à?
Nhưng sau đó tôi nhớ ra một điều: EC-Council yêu cầu instructor phải có chứng chỉ tương ứng mới được dạy. Muốn dạy được các môn liên quan, buộc phải thi CPENT, tôi có viết mail xin nó cho dạy thẳng CPENT vì lập luận có LPT cao hơn CPENT, và hãng nó bảo không liên quan, muốn dạy CSCU cũng phải có CSCU chứ đừng nói CPENT.
CPENT — Lần này không mồ hôi, nhưng vẫn khá nhức đầu
Lần này khác tôi biết rõ là biết mình đang thi cái gì , kiểu làm bài lab của ECCouncil vì đã thi LPT trước đó. Và tôi đăng kí thi làm 2 lần mỗi lần 12 tiếng, các bạn nên chọn cách này dễ qua hơn chứ đừng làm 1 phát 24 tiếng mệt lắm. Kết quả là làm 1 vòng 12 tiếng là đủ vượt ngưỡng 90% do bài thi nó khá giống CyberRange mà họ cho làm trong 30 ngày trước khi thi, thậm chí CyberRange có khi còn khó hơn có lẽ do target hay đề nó lỡm , hay do mình làm không được nên thấy thế , mà các bạn nhớ chú ý vụ mấy tool như hydra không support thuật toán cũ nhé, phải nhuần nhuyễn thêm mấy em crackpassword như medusa, ncrack vì đá, này nó support (đó là lý do nhiều bạn chạy hydra trên Kali cũ thì crack ok còn Kali mới thì không, nên khi thì cứ chuẩn bị thêm 1 bản Parrot OS Sec hay em Kali nào cũ nhưng ổn định, ECCouncil cho mình dùng 2 máy tấn công khi thi CPENT nên không sao).
Sau khi thi xong vòng 1 nhẫm tính đủ trên 1750 điểm chứ cũng không chắc mình trên 90%, và cũng không quan tâm lắm. Nên vòng 2 vào test máy xong ngồi lướt lại đề khoảng 15 phút chán quá bảo giám thị cho nộp bài luôn, kết quá hình như trên 2300-2400 điểm gì đó nhưng chắc chắn trên 90%
Và thế là EC-Council gửi về cho tôi một tấm bằng CPENT. Cộng thêm một tấm bằng LPT nữa. Vậy là tôi đang có hai tấm LPT, hai ID khác nhau, từ cùng một tổ chức. Rất khôi hài, tôi nghĩ không riêng Việt Nam mà ở tầm thế giới chắc cũng ít ai lấy lần 2 cái ECCouncil LPT như thế.
Cái thư xin bỏ đi một cái
EC-Council tính phí theo chứng chỉ. LPT không rẻ. Tôi nghĩ rằng hai cái LPT cộng lại là 500 đô một năm.
Hai cái LPT trên tường, về mặt giá trị thực tế,chẳng khác gì cả, đặc biệt là ở BMT chẳng ai quan tâm và biết mấy cái chứng chỉ này, thật thế. Chúng giống hệt nhau. Chỉ khác ở cái ID và năm cấp, 2 cái LPT.
Treo hai cái thì sang hơn. Nhưng phải trả thêm 250 đô mỗi năm cho cái “sang hơn” đó chẳng đáng nên tôi viết thư ECCouncil cho tôi bỏ cái đầu đi, mà khi đó để thi LPT lần đầu mất gần 50 chục củ đấy các bạn, vào năm 2019 là 1 cái giá không hề rẻ, khi đó phải mua thêm khóa học APT của họ mới được phép thi, nhưng mà vụ đầu tư bằng cấp này hoàn toàn xứng đáng, không bao giờ lỗ cả, chỉ cần dạy một vài kháo là thu hồi cả vốn lẫn lời như cha gì có nói, đầu tư vào bản thân là món đầu tư không bao giờ lỗ, đại khái thế.
Thư gửi EC-Council, nội dung đại ý: Tôi hiện đang sở hữu hai chứng chỉ LPT với hai ID khác nhau. Một cái từ kỳ thi cũ, một cái từ CPENT. Tôi muốn từ bỏ một trong hai để không phải duy trì song song.
Phản hồi về, họ xử lý. Một trong hai LPT được deactivate.
Giờ thì tôi còn một cái. Vẫn là LPT. Vẫn hợp lệ. Nhẹ hơn 250 đô mỗi năm.
Cái gì đọng lại
Nhìn lại cả hành trình, tôi thấy buồn cười ở chỗ: lần đầu tôi thi LPT vì muốn thử thách bản thân, thi với tâm thế không chắc, ra về với 6/9 điểm và cảm giác vừa thoát khỏi cái gì đó khá căng. Lần thứ hai tôi có LPT thì… không thi LPT. Nó đến như một phần thưởng đính kèm.
Và cuối cùng tôi lại ngồi viết thư để bỏ đi một cái.
Chứng chỉ trong ngành bảo mật đôi khi vận hành theo cái logic hơi kỳ lạ như vậy. Bạn thi vì phải thi, được thêm thứ không cần, rồi phải tự quyết định giữ cái nào.
Còn người em pentest ngày xưa của tôi — người nói “dễ mà anh” — giờ vẫn đang làm nghề, vẫn đang thi thêm các thứ khác và có nhiều bằng cấp cao cấp, nó khá giỏi đấy các bạn cho dù không phải học chuyên ngành CNTT hay bảo mật gỉ cả, nghe nói chuyên ngành sự phạm toán lý hóa gì thôi do đó bạn nào có ý định chuyển ngành thì cứ yên tâm, tôi có nhiều người bạn rất giỏi cùng lứa đều không học chuyên ngành IT hay Security, có người học Lý học Kiến Trúc (mấy đứa luôn) nhưng đi hướng bảo mật thời sơ khai cũng khá thành công, giờ chắc về hưu non hết cả. Và chúng tôi thỉnh thoảng vẫn nhắn tin hỏi nhau về đủ thứ tầm phào, nhưng ít khi nào nói về mấy vụ sờ ku với lại rờ ty.. Và cậu em ở trên có 1 cậu anh xã hội cũng giỏi “pentest mũ đen” không kém, nghe đâu từng giúp em ấy bem cái máy của trường nên được giữ lại làm công tác gì đó, và anh ấy có khi còn giỏi hơn nhiều khi xét cùng giai đoạn thế nhưng cậu anh này (đã từng phụ tôi triển khai diễn tập an toàn thông tin tại Hạ Long) đã bỏ nghề từ lâu để đi bán phân, ở 1 vị trí rất Vip nhé, có khi giám đốc kinh doanh, và nghe anh ta nói bán món này lời lắm, kiểu như đào đất lên mà bán (ý là phải trộn thêm phụ gia gì đó , và chuyện chém gió cho vui chứ muốn nhiều tiền bất kể ngành gì cũng phải giỏi).
Nói đến chuyện bem máy của trường thì tôi có 1 anh bạn cùng lớp (là thời trẻ trâu cùng ở BMT ) nghe đâu được giữ lại trường 1 năm do thành tích này (là không cấp bằng đấy các bạn). May là ngày xưa mình đi học lại chẳng học hành gì mấy , toàn đi đánh cờ tướng độ khắp Sài Gòn và thua nhiều hơn thắng, thi cử thì toàn quên đi thi nên nếu như thêm thành tích bem máy nữa chắc bị đuổi luôn (mà cũng bị đuổi ở 1 trường do ngay đó tưởng dễ xơi học lần 2 trường, có học Đại Học Kinh Tế nữa nhưng bị cho nghĩ vì tự nghĩ nhiều quá).
Thế nhưng tôi vẫn là sinh viên tiêu biểu của trường đấy các bạn, do thành tích HCV Cờ Tướng HộI Thao Sinh Viên Toàn Thành Phố HCM Lần 1
OK ! Chém gió thế cũng khá dài nhĩ, nhưng mấy mẫu chuyện vui này đọc nó cũng vui. Và sắp tới đây tôi vẫn thi tiếp để lấy cert cho vui đấy các bạn. Đó là CompTIA SecurityX vì minh kinh doanh mấy món này, nếu thi đậu thì dễ tiếp thị hơn. Và thật sự món SecX này thấy hơi khó chịu đấy các bạn, exploit 1 lỗi đã biết thì dễ chứ 1 câu hỏi lý thuyết không hiểu nó hỏi cái gì thì chỉ có nước phết đại.
Sau đó rảnh sẽ thi SecAI+, ECCouncil ICS/SCADA Security, IOT Security, CCT (đã mua exam voucher từ năm trước cả rồi chứ không phải kế hoạch khơi khơi đâu, không lo thi là mất tiền), đậu là treo khắp nhà.
Nói tóm lại, không có cái nào thực sự dễ dàng — chỉ có cái phù hợp với chuyên môn của mình hơn thôi. Đôi khi dễ với mình nhưng khó vơi người khác, và ngược lại. Nhưng cứ đi thì mới đến, nhanh hay chậm chưa chắc quan trọng bằng đi đúng hướng.
Vinh Nguyen Tran Tuong
Các bạn nào muốn luyện hay thi lấy chứng chỉ CEH , CHFI , CPENT … xem các link sau :
CEH VIETNAM 2026 
Bình luận về bài viết này